Gateway 是什麼?為什麼需要 Gateway?
Gateway 是系統內的核心代理伺服器組件,負責中繼使用者的連線請求,並建立受控的安全連線。它能確保數據傳輸的安全性與合規性,同時提升連線效率與穩定性。
Gateway 的管理邏輯:
- 系統如何選擇 Gateway 的方式:當使用者連線至某資源時,系統會根據資源是否標記 Gateway 區段的 Tag 來決定如何選擇 Gateway:(例如:
gateway-office1):
- 資源未標記 Tag:系統會隨機選擇一個可用的 Gateway 完成請求。這種情況適用於一般性需求,無特定代理伺服器要求。
- 資源已標記 Tag:系統會隨機選擇該區段內的一個可用 Gateway,確保連線高效且符合特定需求。
- 確保 Gateway 可用性:系統會定期同步每台 Gateway 的狀態(每 15 秒一次),並在發現異常時自動重試。如果某台 Gateway 無法使用,系統會記錄錯誤並顯示連線失敗。
- 執行連線:成功選擇 Gateway 後,系統建立連線並啟動會話記錄(Session Recording),記錄完整的操作歷程。若連線失敗,則僅產生審計日誌(Audit Log)。
連線失敗處理:
- 若無可用 Gateway 或代理無法連線至目標裝置,系統將記錄錯誤日誌,並顯示連線失敗。
- 只有成功建立連線後,才會啟用 Session Recording;連線失敗則只會產生 Audit Log。
支援協議:
- 目前支援 RDP、VNC、SSH 和 SFTP,適應企業內外部多樣化的訪問需求。
什麼是 Tunnel 功能?
Tunnel 功能可確保所有連線通過系統預設的 Gateway,實現封閉網絡的安全訪問。提供數據流量加密與隔離,減少內網暴露風險。
什麼情境需要使用 Gateway Management 和 Tunnel 功能?
情境 1:未標記 Tag 的資源
某公司有一個內部檔案伺服器未標記任何 Gateway 區段,該資源對代理伺服器沒有特定需求。
- 當使用者嘗試連線時,系統會隨機從所有可用的 Gateway 中選擇一台進行代理,確保連線成功並受控。
- 這種情況適用於一般性資源,無需額外的代理規劃。
情境 2:根據雲環境區分的資源
公司有多個資源分佈在不同的雲服務供應商上,例如 AWS 和 GCP。為了提升連線效率,管理者將這些資源標記為不同的 Gateway 區段:
- AWS 資源:標記為
gateway-aws區段; - GCP 資源:標記為
gateway-gcp區段。
當使用者嘗試連線 AWS 或 GCP 資源時:
- 系統會依據標記的 Gateway 區段,在對應區段內隨機選擇一台 Gateway 完成連線。
- 例如,使用者連線到 AWS 資源時,系統只會選擇
gateway-aws區段中的 Gateway,避免跨雲環境的代理,降低延遲並提升連線效率。
情境 3:滿足企業合規需求的內網連線
某企業為了滿足資安與合規性要求,決定啟用 Tunnel 功能,確保公司所有資源的存取均經過預設的內部 Gateway,避免內網直接暴露在公共網路上。
當 Tunnel 功能啟用後:
- 所有連線請求 都會先通過系統預設的內部 Gateway,即使資源未標記任何特定區段,依然強制通過內部代理。
- 系統自動為所有連線流量提供加密通道,實現端到端的數據保護,避免數據外洩或攔截風險。
- 即便是外部使用者(如第三方供應商)進行連線,連線路徑也會受到嚴格限制,並經由內部 Gateway 過濾與控制,確保資源存取的安全性。
這種模式適用於(v1.19.0 以上版本系統預設為此模式):
- 全域資源保護: 不區分內部與外部使用者,所有連線皆需經由內部 Gateway,確保統一的安全策略。
- 合規需求: 適用於對資安有高度要求的企業,如金融、醫療或政府機構,需遵循嚴格的內網隔離與審計規範。
- 內部隔離: 減少資源與公共網路的直接接觸,降低內網被攻擊的可能性。
FAQ
Q1:我該如何管理我的 Gateway?
A1:請於 Gateway 管理頁面進行操作
- 步驟 1:定義區段
請為每台 Gateway 命名區段,並下載相關設定檔至遠端 Gateway 進行安裝,例如gateway-office1。 - 步驟 2:標記資源
在資源列表頁的「標籤」欄位,新增對應的 Gateway 區段名稱,例如gateway-office1。 - 步驟 3:填寫公鑰
完成安裝後,記得回填公鑰至 Gateway 管理頁內的那台伺服器,以啟用安全連線。 - 步驟 4:測試連人
等待約 10 分鐘,確認 Gateway 狀態同步成功,並測試連線是否正常運作。
Q2:Tunnel 有什麼作用?
A2:Tunnel 開啟時,可確保所有連線皆先通過預設代理伺服器,並為連線提供加密與隔離,減少內網暴露風險。
Q3:Gateway 是否有自動同步與重試機制?
A3:系統每 15 秒會同步遠端 Gateway 的狀態,確保各代理伺服器的可用性。且當同步失敗時,會自動進行多次重試,提升可靠性。
Q4: 找不到可用的 Gateway,該如何處理?
A4: 請確認 Gateway 是否正確安裝並在系統中同步。如果仍有問題,請檢查 Proxy 的連線設定與網絡狀態。
Q5: 是否可以指定多個 Gateway 嗎?
A5: 可以。同一區段內可以有多個 Gateway,系統會隨機選擇可用的 Gateway 進行連線,確保穩定性。
Q6: 什麼時候需要標記 Gateway?
A6: 標記 Gateway 的情境通常如下:
- 資源放置於特定區域:
- 當需要針對某個區域內的資源(如 AWS 或 GCP 的伺服器)指定代理伺服器時,可以在資源上新增對應的 Gateway Tag,例如
gateway-aws或gateway-gcp。
- 當需要針對某個區域內的資源(如 AWS 或 GCP 的伺服器)指定代理伺服器時,可以在資源上新增對應的 Gateway Tag,例如
- 提升連線效率:
- 當資源數量龐大且分散於多個區域,標記 Gateway 可讓系統在對應區域內隨機選擇一台可用的 Gateway,優化連線速度和穩定性。
- 滿足業務需求:
- 如果某些資源需要通過特定 Gateway 處理,例如內網伺服器或敏感數據資源,標記 Gateway 可確保符合業務要求。
- 避免資源混用:
- 當企業有多個 Gateway 並希望區分不同部門或業務使用的資源,標記區段能幫助達成分離與管理。
Q7: Gateway(閘道器)是如何運作的?它和 MAVIS、目標機器之間的連線原理是什麼?
A7: Gateway 是系統中的核心代理元件,負責中繼並轉發使用者的連線請求。
連線流程簡單說就是:
-
使用者(MAVIS 客戶端)先連到 Gateway,
-
Gateway 再代理連線到目標機器(伺服器或桌面等)。
這樣的架構可以集中管理權限,確保數據安全,並且支援會話錄影與操作記錄,方便審計。
Q8: Gateway 與 MAVIS、目標機器之間使用哪些通訊協定與 Port?需要開放哪些網路端口?
A8: 系統會使用幾個主要的網路通訊端口,確保連線正常與安全:
-
TCP 443(HTTPS):用於 MAVIS 與 Gateway 之間的管理與身份驗證。
-
TCP 7993、7994、7995(系統專用端口):用於 Gateway 與目標機器間的代理流量轉發。
連線方向 協定 端口範例 用途 MAVIS → Gateway TCP 443 管理通訊與身份驗證 Gateway → 目標機 TCP 7993-7995 代理連線(RDP、VNC、SSH 等)
建議做法:
- 預設狀況下,為了確保系統功能完整與連線穩定,建議防火牆或網路策略在 CLI 中將 TCP 443 及 7993~7995 端口全部開放。這是系統正常運作的基本需求。
- 特殊情況下,如果企業有嚴格的安全規範或網路限制,且系統管理員對端口使用有清楚掌握,可以依實際使用協定及部署需求,選擇性開放部分端口。
- 若不確定,請先開啟全部端口,確保系統正常,之後再根據需要逐步調整。
Q9: 為什麼一定要開這些端口?沒開會有什麼影響?
A9: 這些端口是 Gateway 與 MAVIS 及目標機器間正常通訊的關鍵。
若端口未開放,可能導致:
-
使用者無法成功透過 Gateway 連線到目標機器,造成服務中斷。
-
會話錄影與審計日誌無法完整產生,影響稽核需求。
-
連線可能不穩定、頻繁斷線,影響使用體驗。
因此,請務必確認相關防火牆、路由器及雲端安全組態已允許這些端口通過。
Q10: 端口 7993、7994、7995 分別代表什麼?有標準用途嗎?
A10: 端口 7993、7994、7995 是系統內部專用的代理連線端口,用於 Gateway 與目標機器間流量轉發。
-
這些端口無業界統一標準,依系統設計需求分配。
-
通常用於支援多組並行連線,確保代理流量穩定且分散負載。
-
每個端口對應的協定(如 RDP、VNC、SSH 等)會依系統設定有所不同。
建議參考系統部署文件或請系統管理員確認實際配置。