挑战二：运维习惯的改变

　　堡垒机是个逻辑串联设备，所有的SSH、RDP连接都需要通过堡垒机进行代理转发，堡垒机才能够实现审计和控制。那这个过程的变化，就给运维的习惯带来了很大的影响。因为有运维、开发人员2000多人，一个小小的习惯变更，意味着要有2000多次的配置。这对推广堡垒机的安全部门来说，压力相当大。

　　部署堡垒机后，一次普通的SSH连接过程就会变成如下图样子：

▲

　　(图4)

　　也就是说不管连接任何设备，都必须先连接堡垒机进行认证，然后在堡垒机里面选择目标服务器。这个变化意味着，运维人员secureCRT/xshell里面的主机登录配置全部失效，运维人员得重新配置。

　　通过双方的深入沟通，确定了三种运维方案，并行推广：

　　1) 跳板机登录(运维人员优先推荐)：运维人员在没有堡垒机之前，基本都是通过一台跳板机进行登录服务器。跳板机通过AD域的方式建立了所有运维人员的帐号，每个运维人员通过自己的帐号先登录到跳板机，然后在跳板机里面再登录目标服务器运维。部署堡垒机后，只需要在原跳板机上进行一次SSH的代理网关设置，所有的运维习惯都能够保留下来。具体的代理网关原理和设置方法和上文自动化运维一致，请参考上文理解。

　　2) web界面B/S登录(开发人员优先推荐)：开发人员SSH登录技能水平参差不齐，所以主推WEB方式运维，通过堡垒机的web界面认证，在堡垒机里面选择一台服务器进行登录即可。这种方式方便易用，开发人员还是比较容易接受。

▲

　　(图5)

　　3) 运维脚本导入CRT/putty：SecureCRT/Xshell/putty等运维工具应用还是非常广泛，很多运维人员已经将自己经常要登录的服务器信息添加到工具会话信息中了。但是部署了堡垒机后，这些配置好的会话信息都无法登录了。安恒堡垒机的运维脚本导出功能可以缓解这个问题，每个运维人员只需要从堡垒机web界面下载一个自己的脚本导入到SecureCRT中，又可以直接登录相应目标服务器了。而且运维人员一次性打开多个主机，并在多个主机批量执行命令等高级功能都可以支持。

▲

　　(图6)