什么是堡垒机

文章目录

• 参考文章
• 一、堡垒机
• • 1、为什么需要堡垒机（数据安全）
  • 2、主要干什么
• 二、功能
• • • 核心功能
    • 主要功能
• 三、堡垒机分门别类
• • • 3.1 堡垒机从使用拓朴上说，分为网关型堡垒机和运维审计堡垒机二种，下面对这二种堡垒机进行说明。
    • • 3.1.1 运维审计型堡垒机的部署类型
      • 3.1.2 网关型堡垒机
    • 3.2 公司里一般怎么用
    • • 3.2.1、使用开源堡垒机
      • 3.2.1、内部自研
      • 3.2.1、使用传统硬件堡垒机
      • 3.2.1、使用云堡垒机
• 参考文章

---

参考文章

个人笔记，不同意见，望有交流
直接可以点击跳转连接

作者
老炮说java

百度百科

Andot蚁点
​

一、堡垒机

1、为什么需要堡垒机（数据安全）

随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险。

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

堡垒机是从跳板机（也叫前置机）的概念演变过来的。早在2000年左右，一些中大型企业为了能对运维人员的远程登录进行集中管理，会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器，所有运维人员都需要先远程登录跳板机，然后再从跳板机登录其他服务器中进行运维操作。

2、主要干什么

其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。

核心功能

堡垒机的核心思路是逻辑上将人与目标设备分离，建立“人-〉主账号（堡垒机用户账号）-〉授权—>从账号（目标设备账号）的模式;在这种模式下，基于身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号-〉登录—〉访问操作-〉退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计

二、功能

核心功能

1. 登录
2. 账户管理
3. 身份认证
4. 资源授权
5. 访问控制
6. 操作审计

主要功能

1. 身份认证及授权管理
2. 细粒度、灵活的授权
3. 实时监控
4. 违规操作实时告警与阻断
5. 对常见协议能够记录完整的会话过程
6. 详尽的会话审计与回放
7. 丰富的审计报表功能
8. 应用发布

三、堡垒机分门别类

3.1 堡垒机从使用拓朴上说，分为网关型堡垒机和运维审计堡垒机二种，下面对这二种堡垒机进行说明。

3.1.1 运维审计型堡垒机的部署类型

• 单机部署（直接部署在服务器旁边）
• HA高可靠部署， （旁路部署两台堡垒机 ，中间有心跳线连接，同步数据。对外只提供一个ip）
• 异地同步部署 ：通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。
• 集群部署（分布式部署）：将n多台堡垒机进行集群部署。其中两台堡垒机一主一备，其他n-2台堡垒机作为集群节点，给主机上传同步数据，整个集群对外提供一个虚拟IP地址。
• 开源产品 ：常用的堡垒机有收费和开源两类。收费的有行云管家、纽盾堡垒机，开源的有jumpserver。这几种各有各的优缺点，如何选择，大家可以根据实际场景来判断。

3.1.2 网关型堡垒机

一般采用二层透明桥方式接入网络，一般拓朴位置在运维人员前方，运维人员做运维时，流量通过网关堡垒机，堡垒机对用户的操作进行审计。这种堡垒机在2012年前在国外的一些厂商曾经这样设计，国内厂商很少有这样设计。因为这种堡垒机上线需要修改网络拓朴，并且难实现SSO（Single
Sign On，单点登录）、应用发布等功能，因此，目前已经非常少见，市场占有率不到1%。

3.2 公司里一般怎么用

3.2.1、使用开源堡垒机

目前的开源堡垒机方案有很多，目前做的较好的诸如有CrazyEye、Teleport、Jumpserver、GateOne、麒麟开源堡垒机等。

3.2.1、内部自研

堡垒机是多种技术协调整合形成的。可以说，堡垒机技术是一个看似简单，其实复杂而精细的分布式系统集群。

中小企业或创业公司其实并不推荐自己开发堡垒机。对于每个企业或创业者来说，保持专注是我们必备的品质，我们不可能什么都自己做。有些机遇注定是他人的机遇，我们要做的就是专注于自己的业务和选择的道路，同时借助第三方的力量，做出一款了不起的产品。
内部研发堡垒机在性能和稳定性上都会有所欠缺，出问题后，同事不能登录，影响很多团队干活，尤其在处理业务故障的时候，突然发现某服务器进不去，别提多尴尬了，严重影响周围团队对运维团队的满意度。

3.2.1、使用传统硬件堡垒机

传统堡垒机供应商诸如：齐治、网御神州、绿盟科技、极地安全、方正安全、捷成世纪等。

3.2.1、使用云堡垒机

现在云堡垒机产品在功能上比较成熟，借助云计算平台，云堡垒机在资源的交互性、易用性、性价比、维护成本、产品自身安全性等方面又得到了进一步提升，尤其解决了以往的单点故障问题。云堡垒机提供了一套多维度运维操作管控与审计的解决方案，使得管理人员可以面对多种云资源（什么是云资源？）进行集中管理与细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。

参考文章

个人笔记，不同意见，望有交流
直接可以点击跳转连接

作者