单位的堡垒机是纯信创的吗？

背景

随着信创化的不断推进，堡垒机作为企业的安全接入中枢，肯定是重中之重，但在具体落地过程中存在很多利益博弈。

多数堡垒机原本能够运行在信创环境下，但是由于堡垒机依赖于第三方客户端软件如：SecureCRT/XShell/Putty/WinSCP/FileZilla/PLSQL/Navciat等SSH或者数据库管理客户端。这些客户端软件中很多只能运行在Windows下，几乎都不支持龙芯、申威CPU架构。怎么办？处理这种事情的大聪明还是很多的，拉起Windows虚拟机，把这些客户端运行在Windows虚拟机不就行了吗？

坦率来说，用windows虚拟机运行客户端实现堡垒机流程的方式不可取，是地道的假信创，因为这种方式不但中间有大量的虚拟化性能消耗，而且安全性和没信创化之前相比没有一点提升。另外由于是信创项目，所以SecureCRT/XShell这些收费客户端还没有办法采购，只能使用网上的盗版，一通梭哈后，安全性可能还降低了，所以属于纯粹的形式主义。

如何实现纯信创堡垒机呢？今天咱们就来讨论一下这个问题。

DESK倚天剑+DBCS屠龙刀打造纯信创堡垒机

无论使用DESK或者DBCS和堡垒机对接都非常容易，而且能够运行在各种信创操作系统和CPU架构上。以DESK拉起SSH终端和服务器为例：

首先堡垒机读取信息生产一个类似如下的json配置文件：

[
{
"type": "SSH",
"encoding": "UTF-8",
"port": 22,
"is_sftp": false,
"auth_mode": "PASSWORD",
"ip": "192.168.23.13",
"user": "git",
"password": "123456",
"name": "app_13_git"
}
]

然后堡垒机进入DESK的安装目录，如下图运行命令：

./jdk/bin/java -jar desk.jar /tmp/tmp_ssh.json

如果需要打开文件窗口，修改配置文件的"is_sftp": true，运行过程完全相同。

DESK和DBCS对于各种堡垒机对接的更多信息请参考：

1. 倚天剑术20—SSH信息代填和堡垒机对接
2. 屠龙刀法19——连接信息代填和堡垒机对接

写到最后

DESK和DBCS与堡垒机对接不是纸上谈兵，其实这种方案在要求严苛的金融企业已经落地。除了全信创无缝运行这个基础需求之外，客户对于功能和易用性要求非常高。DESK终端一定要至少齐平SecureCRT，DBCS的数据库管理一定要不亚于Navicat。经过DeskUI团队的努力，我们都达到了，部分场景已经超越。这种东西其实光说是没有用的，欢迎大家从官网https://www.deskui.com下载测试，把您的测试结果留在评论区。

DESK倚天剑

• 全名：运维桌面工具套装软件
• 集办公、运维、开发场景常用功能于一体的桌面工具软件
• 管理操作系统、交换机、防火墙等设备的超级终端
• 图形化FTP/SFPT/SMB/WebDAV/S3上传下载文件的利器
• 文件管理（运行、编辑、压缩、搜索、复制、删除）的好帮手
• 批量处理图片/PDF的大师
• 信创系统下一键访问Windows/Linux桌面的途径
• 信创操作系统下办公、运维、开发人员的“倚天剑”

DBCS屠龙刀

• 全名：通用数据库管理桌面软件
• 强大、易用的数据库桌面端管理工具
• 支持管理20多种国内外主流数据库
• 支持运行于X86\ARM\龙芯\申威架构CPU
• 支持部署在信创、Windows、Linux、MAC操作系统
• 数据库运维、管理、开发人员或者学习者的“屠龙刀”

XGuard玄武之域

全名：全资源管控平台

继承DBCS和DESK运维功能于一体的Web平台版本，实现多人运维协作，并增加了管控和审计功能。平台不但能够补充替代传统堡垒机功能，而且克服了堡垒机“依赖客户端”、“审计粒度不够”、“不支持事中拦截”的三个安全性弊端。能够满足支持国内外20多种主流数据库、文件上传下载、操作系统远程接入等数据运维、开发需求的安全管控，并且可部署于信创环境，为政企单位提供一站式高安全数据管控解决方案。