开放端口
堡垒机入站、从堡垒机到受管控机器,需要分别开放什么端口?
当用户操作堡垒机出现网络问题时,例如登录不了堡垒机,可参照下面入站规则和受管控机器提供的端口,检查对应端口号是否有开通。
入站规则
从客户端到堡垒机,需要开放的端口如下表所示:
端口号 | 说明 | 协议 | 备注 | 是否必开 |
61903 | SSH/SFTP/FTP/文件共享 | TCP | 字符协议及文件传输访问端口 | 是 |
443 | HTTPS | TCP | Web 管理端口 | 是 |
3392 | RDP2 | TCP | RDP2 单点登录和审计播放 | 是 |
10050 | - | TCP | 字符审计录像播放 | 是 |
11020 | - | TCP | 认证端口 | 是 |
8443 | HTTPS | TCP | 证书认证登录 | 否 |
说明
堡垒机安全组的出站规则已自动配置,一般情况下,无需再对出站规则进行其他配置。
受管控机器
堡垒机管控的后端资源服务器的安全组里放开如下端口(可根据自身服务器端口开启)。
端口号 | 说明 |
20 | FTP/SFTP(主动模式) |
21 | FTP/SFTP(主动/被动模式) |
22 | SSH |
23 | Telnet |
389 | AD LDAP |
3389 | RDP |
说明
对于 xwindow、vnc 协议,其端口采用实际使用的端口。
登录认证说明
系统登录主要的工作就是系统认证。系统登录界面随系统配置的认证方式不同而有所差异。堡垒机系统支持的认证方式包括静态口令认证、证书认证、动态口令认证、域认证等。
无论堡垒机系统配置哪种认证方式,登录堡垒机都需要在浏览器中输入服务地址。例如:
https://192.168.23.107。在该例中,192.168.23.107为堡垒机系统 IP 地址(堡垒机系统出货设置的管理 IP,为购买后的内外网 IP)。当在浏览器中输入示例内容后,敲击回车(堡垒机系统配置双向认证时,如果需要域名方式访问的情况除外)系统自动转向到登录界面。