什么是堡垒机

Network porter

已于 2022-08-23 15:32:28 修改

阅读量1.6k

点赞数

分类专栏：日常文章标签：网络服务器运维

于 2022-08-23 15:24:01 首次发布

本文链接：https://blog.csdn.net/qq_45438019/article/details/126485112

版权

日常专栏收录该内容

28 篇文章 0 订阅

订阅专栏

文章目录

参考文章
一、堡垒机
- 1、为什么需要堡垒机（数据安全）
- 2、主要干什么
二、功能
- - 核心功能
  - 主要功能
三、堡垒机分门别类
参考文章

参考文章

个人笔记，不同意见，望有交流
直接可以点击跳转连接

作者
老炮说java

百度百科

Andot蚁点

一、堡垒机

1、为什么需要堡垒机（数据安全）

随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险。

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

堡垒机是从跳板机（也叫前置机）的概念演变过来的。早在2000年左右，一些中大型企业为了能对运维人员的远程登录进行集中管理，会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器，所有运维人员都需要先远程登录跳板机，然后再从跳板机登录其他服务器中进行运维操作。

2、主要干什么

其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。

核心功能

堡垒机的核心思路是逻辑上将人与目标设备分离，建立“人-〉主账号（堡垒机用户账号）-〉授权—>从账号（目标设备账号）的模式;在这种模式下，基于身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号-〉登录—〉访问操作-〉退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计

二、功能

核心功能

登录
账户管理
身份认证
资源授权
访问控制
操作审计

主要功能

身份认证及授权管理
细粒度、灵活的授权
实时监控
违规操作实时告警与阻断
对常见协议能够记录完整的会话过程
详尽的会话审计与回放
丰富的审计报表功能
应用发布

三、堡垒机分门别类

3.1 堡垒机从使用拓朴上说，分为网关型堡垒机和运维审计堡垒机二种，下面对这二种堡垒机进行说明。

3.1.1 运维审计型堡垒机的部署类型

单机部署（直接部署在服务器旁边）
HA高可靠部署，（旁路部署两台堡垒机，中间有心跳线连接，同步数据。对外只提供一个ip）
异地同步部署：通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。
集群部署（分布式部署）：将n多台堡垒机进行集群部署。其中两台堡垒机一主一备，其他n-2台堡垒机作为集群节点，给主机上传同步数据，整个集群对外提供一个虚拟IP地址。
开源产品：常用的堡垒机有收费和开源两类。收费的有行云管家、纽盾堡垒机，开源的有jumpserver。这几种各有各的优缺点，如何选择，大家可以根据实际场景来判断。

3.1.2 网关型堡垒机

一般采用二层透明桥方式接入网络，一般拓朴位置在运维人员前方，运维人员做运维时，流量通过网关堡垒机，堡垒机对用户的操作进行审计。这种堡垒机在2012年前在国外的一些厂商曾经这样设计，国内厂商很少有这样设计。因为这种堡垒机上线需要修改网络拓朴，并且难实现SSO（Single
Sign On，单点登录）、应用发布等功能，因此，目前已经非常少见，市场占有率不到1%。

3.2 公司里一般怎么用

3.2.1、使用开源堡垒机

目前的开源堡垒机方案有很多，目前做的较好的诸如有CrazyEye、Teleport、Jumpserver、GateOne、麒麟开源堡垒机等。

3.2.1、内部自研

堡垒机是多种技术协调整合形成的。可以说，堡垒机技术是一个看似简单，其实复杂而精细的分布式系统集群。

中小企业或创业公司其实并不推荐自己开发堡垒机。对于每个企业或创业者来说，保持专注是我们必备的品质，我们不可能什么都自己做。有些机遇注定是他人的机遇，我们要做的就是专注于自己的业务和选择的道路，同时借助第三方的力量，做出一款了不起的产品。
内部研发堡垒机在性能和稳定性上都会有所欠缺，出问题后，同事不能登录，影响很多团队干活，尤其在处理业务故障的时候，突然发现某服务器进不去，别提多尴尬了，严重影响周围团队对运维团队的满意度。

3.2.1、使用传统硬件堡垒机

传统堡垒机供应商诸如：齐治、网御神州、绿盟科技、极地安全、方正安全、捷成世纪等。

3.2.1、使用云堡垒机

现在云堡垒机产品在功能上比较成熟，借助云计算平台，云堡垒机在资源的交互性、易用性、性价比、维护成本、产品自身安全性等方面又得到了进一步提升，尤其解决了以往的单点故障问题。云堡垒机提供了一套多维度运维操作管控与审计的解决方案，使得管理人员可以面对多种云资源（什么是云资源？）进行集中管理与细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。