【网络安全设备系列】14、堡垒机

0x00 定义：

堡垒机是在一个特定的网络环境下，保障网络和数据不受来自外部和内部用户的入侵和破坏，实时收集和监控网络环境中每个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责，有效解决了运维安全两大难题。

是一个主机系统，其自身通常经过了一定的加固，具有较高的安全性，可抵御一定的攻击。堡垒机将需要保护的信息系统资源与安全威胁的来源进行隔离，从而在被保护的资源前面形成一个坚固的"堡垒"，并且在抵御威胁的同时又不影响普通用户对资源的正常访问，堡垒机还集成了行为审计和权限控制，从而加强了对操作和安全的控制。

0x01 分类：

根据实际使用场景的不同和业务需要，堡垒机主要分为网关型堡垒机和运维审计型堡垒机。

 1、网关型堡垒机

  网关型堡垒机主要部署在外部网络和内部网络之间，本身不直接向外部提供服务，而是作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。

  网关型堡垒机不提供路由功能，将内外网从网络层隔离开来，除授权访问外，还可以过滤掉一些针对内网的、来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈，因此，网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。

2、运维审计型堡垒机

  运维审计型堡垒机，也被称作"内控堡垒机"，这类堡垒机也是当前应用最为普遍的一种。运维审计型堡垒机被部署在内网中服务器和网络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计。

  运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又可对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成为性能的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速发展。

(author https://www.cnblogs.com/Shepherdzhao/)

0x02 工作原理：