堡垒机开放到公网如何保证安全

堡垒机开放到公网如何保证安全

堡垒机开放到公网，如果不使用VPN模式，需要打开22、3389、443端口，建议将ssh、rdp、https修改为其它端口，同时目前一般的入侵都是发生在web应用层，因此如果打开https双向证书认证，则没有安装证书不能访问公网的WEB，可以非常有效的保证堡垒机的安全 开启方法:

1. 使用admin登录到参数配置-证书配置中，先点击添加增强堡垒机公网IP，然后点击证书重置重新生成证书

   

2. 到其它-工具下载，下载gongyou.pfx证书，并且在每个客户端PC上安装，如果不安装这个证书则开启双向认证后无法打开堡垒机页面，证书安装密码为12345678

3. 在证书配置中将开启认证修改为是，并且点击后面的保存修改，修改后如果不安装gongyou.pfx将无法打开堡垒机页面

   

4. 关闭证书配置，如果未下载安装gongyou.pfx，则堡垒机页面将无法打开，使用如下方法可以关闭堡垒机双向证书认证

   登录堡垒机后台

   vi /opt/freesvr/nginx/conf/nginx.conf

   找到如下行加上#注释，并且 使用如下命令重启nginx

   /opt/freesvr/nginx/sbin/nginx -c /opt/freesvr/nginx/conf/nginx.conf -s reload