堡垒机 漏洞扫描设备

堡垒机

堡垒机是什么？请从名词解释、功能作用、合规性、部署位置、系统架构（由哪些组件组成，各有什么用途）、有哪些授权

堡垒机是集身份认证，账户管理，控制权限，日志审计于一体，支持多种字符终端协议，文件传输协议，图形终端协议，远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力的统一安全管理与审计产品。堡垒机主要用于内部运维人员的操作管控，而不是针对外部攻击者。事前提供账号统一管理，权限管理，身份认证，事中访问授权，指令授权，实时监控，事后检索，操作回放，报表统计；符合等级保护安全审计，身份鉴别，系统管理，审计管理，安全管理等要求项。一般旁路部署在交换机旁，若有其他设备的辅助，实现物理旁路，逻辑串行。同时需要另外注册应用发布服务器，以实现对运维管理工具的集中管控，并扩展更多的运维工具。

 

堡垒机协议

常见的运维协议

字符协议：SSH（TCP22），Telnet（TCP23），Rlogin（1023）

图形协议：VNC（TCP5900），RDP（TCP3389），X11（TCP6000）

文件传输：FTP（TCP20，21），SFTP

web应用：HTTP，HTTS

数据库访问：Oracle（TCP1521），SQLServer（TCP1433），DB２，Mysql(TCP3306)

工作原理

堡垒机在实际应用场景中，堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。

堡垒机管理员的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后，在堡垒机内部，“策略管理”组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。

“应用代理”组件是堡垒机的核心，负责中转运维操作用户的操作，并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后，调用“策略管理”组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配置库，如此次操作不符合安全策略，“应用代理”组件将拒绝该操作行为的执行。

运维人员的操作行为通过“策略管理”组件的核查之后，“应用代理”组件则代替运维人员连接目标设备完成相应操作，并将操作返回结果返回给对应的运维操作人员；同时此次操作过程被提交给堡垒机内部的“审计模块”，然后此次操作过程被记录到审计日志数据库中。

最后，当需要调查运维人员的历史操作记录时，由审计员登录堡垒机进行查询，然后“审计模块”从审计日志数据库中读取相应日志记录，并展示在审计员交互界面上。

 

堡垒机部署方式

基础配置部署

1. 系统升级
2. 接口信息配置
3. 静态路由配置
4. 添加资源
5. 添加用户
6. 添加授权信息
7. 日志外发

应用发布服务器部署

1. 服务器安装角色，角色管理器，创建全局对象，修改远程桌面会话主机用户
2. 安装应用发布软件
3. 注册设备
4. 工具发布

 

漏洞扫描系统

堡垒机是什么？请从名词解释、功能作用、合规性、部署位置、系统架构（由哪些组件组成，各有什么用途）、有哪些授权

漏洞扫描系统基于漏洞数据库，通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测渗透攻击设备；每个系统都有漏洞，采用适当的工具，就能在黑客利用这些常见的漏洞前，查出网络的薄弱之处；符合等保安全计算环境入侵防范的要求；通常单臂模式部署在运维管理区域，服务器区域，尤其要注意配置路由，给业务口使用；常见的授权有硬件维保授权，系统漏洞库升级授权，web漏洞库升级授权，单个扫描任务最大ＩＰ数量授权，全部任务最大IP数量总和授权，web网站扫描并发数量授权。

 

工作原理

扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方操作系统类型，开放端口，提供的服务等敏感信息。

 

主机扫描与网站扫描区别

1. 网站扫描针对的是部署在中间件上的web系统
2. 主机扫描针对的是操作系统，网络设备，中间件自身
3. 网站扫描目标可以是IP也可以是域名
4. 主机只能是IP
5. 网站扫描时，漏扫设备发出的探测包多为HTTP请求，可能会携带恶意代码，会被WAF　IPS拦截
6. 主机扫描时，漏扫设备发出的探测包为ICMP包，携带少量的恶意代码，会被IPS拦截

主机扫描与基线配置核查

1. 主机扫描结果是安全漏洞
2. 基线配置核查的结果是配置上的不合规
3. 主机扫描可以不登录
4. 基线配置核查必须要登陆
5. 主机扫描时，漏扫设备发出的探测包为ICMP包，携带少量的恶意代码，会被IPS拦截
6. 基线配置核查时，漏扫设备时登陆到被扫描设备上，并执行相应的检测脚本，把结果返回到漏扫设备中，不会被IPS拦截