网络安全:堡垒机相关知识介绍

已于 2022-12-21 10:38:45 修改
阅读量3.2k 收藏 39
点赞数 6
分类专栏: 电脑技巧 文章标签: 运维 网络 linux 电脑技巧 web安全
于 2021-12-14 07:37:17 首次发布
欢迎转载,请保留作者的链接,文章会同步更新到微信公众号 :欢迎转载,请保留作者的链接,文章会同步更新到个人微信公众号 :小明互联网技术分享社区 ,个人网站 https://programmerblog.xyz/
本文链接:https://blog.csdn.net/xishining/article/details/121943017
版权

8dfc8be924041373ffaa48a6beed9910.png

1、堡垒机是什么?

堡垒机,就是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,采用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。

简单来说:堡垒机是用来控制哪些用户可以登录哪些资源(事先防范和事中控制),以及录像记录登录资源后做了什么事情(便于事后追责)

堡垒机的核心:可控及审计。可控指的是权限可控、行为可控。

权限可控,比如某个程序员要离职或要转岗了。如果没有一个统一的权限管理入口,那就太可怕了。行为可控,比如我们需要集中禁用某个危险指令,如果没有一个统一的管理入口,操作的难度就非常大了。

2、堡垒机由来

2e6c69d236df92e55b3693407adde886.png

堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右的时候,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。

跳板机:其实就是一台unix/windows操作系统的服务器。所有人员都需要先远程登录跳板机,然后从跳板机登录其他服务器中进行操作。

随着技术和需求的发展,越来越多的客户需要对运维人员的操作进行审计。因此,堡垒机应运而生。

3、堡垒机的发展

  • 工具时代主要是作为跳板机的运维工具

  • 场景化时代自动运维、自动改密、工单、应用中心

  • 云计算时代云资产平滑接入、VPC、数据库运维、AI运维推荐、云中心。

4、要堡垒机的用途

  • 集中管理难主机分散(多中心,云主机);运维入口分散,办公网络、家庭网络均需要访问。

  • 权限管理难账号多人共享;高权限账号滥用;越权操作、误操作等

  • 第三方外包运维外包;账号泄露;操作不透明;无审计;发生事故,难以定位追责。

  • 法律法规企业运维需要监控;等级保护要求;合规性要求;

5、设计理念

堡垒机主要是有4A理念:认证(Authen)、授权(Authorize)、账号(Account)、审计(Audit)为核心。

6、堡垒机的目标

堡垒的建设目标可以概括为5“W”,主要是为了降低运维风险。具体如下:

  • 审计:你做了什么?(What)

  • 授权:你能做哪些?(Which)

  • 账号:你要去哪?(Where)

  • 认证:你是谁?(Who)

  • 来源:访问时间?(When)

7、堡垒机的价值:

  • 集中管理

  • 集中权限分配

  • 统一认证

  • 集中审计

  • 数据安全

  • 运维高效

  • 运维合规

  • 风险管控

8、堡垒机的分类

堡垒机分为商业堡垒机和开源堡垒,开源软件毫无疑问将是未来的主流。Jumpserver 是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统,GitHub Star 数超过 1.1 万,Star 趋势就可以看出其受欢迎程度。

9、堡垒机的组成

常见堡垒机的主要功能架构:

eb168bfab2d2f83c21941c3f6cd21912.png

目前常见堡垒机主要功能分为以下几个模块:

  • 运维平台RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;

  • 管理平台三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;

  • 自动化平台自动改密;自动运维;自动收集;自动授权;自动备份;自动告警;

  • 控制平台IP防火墙;命令防火墙;访问控制;传输控制;会话阻断;运维审批;

  • 审计平台命令记录;文字记录;SQL记录;文件保存;全文检索;审计报表;

三权分立:

三权的理解:配置,授权,审计

三员的理解:系统管理员,安全保密管理员,安全审计员

三员之三权:废除超级管理员;三员是三角色并非三人;安全保密管理员与审计员必须非同一个人。

10、堡垒机的身份认证

堡垒机主要就是为了做统一运维入口,所以登录堡垒机就支持灵活的身份认证方式:

  • 本地认证:本地账号密码认证,一般支持强密码策略

  • 远程认证:一般可支持第三方AD/LDAP/Radius认证

  • 双因子认证:UsbKey、动态令牌、短信网关、手机APP令牌等

  • 第三方认证系统:OAuth2.0、CAS等。

11、堡垒机的运维方式

  • B/S运维:通过浏览器运维。

  • C/S运维:通过客户端软件运维,比如Xshell,CRT等。

  • H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议

  • 网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。

12、堡垒机其他常用功能:

  • 文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。

  • 细粒度控制:可以对访问用户、命令、传输等进行精细化控制。

  • 支持开放的API

13、堡垒机常见部署方式

单机部署:堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。

部署特定:

  • 旁路部署,逻辑串联。

  • 不影响现有网络结构。

HA高可靠部署:旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。

部署特点:

  • 两台硬件堡垒机,一主一备/提供VIP。

  • 当主机出现故障时,备机自动接管服务。

异地同步部署模式:通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。

部署特点:

  • 多地部署,异地配置自动同步

  • 运维人员访问当地的堡垒机进行管理

  • 不受网络/带宽影响,同时祈祷灾备目的

集群部署(分布式部署):当需要管理的设备数量很多时,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。

部署特点:

  • 两台硬件堡垒机,一主一备、提供VIP

  • 当主机出现故障时,备机自动接管服务。

参考资料:

三权分立:https://blog.csdn.net/chelp/article/details/42062489

堡垒机是干什么的?https://www.zhihu.com/question/21036511

IT技术分享社区
关注
  • 6
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全知识竞赛.pdf
06-09
网络安全知识竞赛 1、 基于信息保障深层防御战略思想, 我们可以将一个典型的用户网络安全划分为三个模块来全盘考虑, 这三个模块是:_____________()[单选题] * A.服务器、网络传输设施和网络边界 B.服务器、网络设备和网络边界 C.主机、网络设备和网络边界 D.主机、网络传输设施和网络边界(正确答案) 2、 网络安全目标构架中的要素______的实现在很大程度上反映了网络安全整体解决方案 的水平, 同时 也是众多用户所最为关心的问题。()[单选题] * A.服务器安全 B.边界安全(正确答案) C.Internet 和 Extranet 上的安全 D.安全管理 3、网络边界安全的核心是_______的设计与规划。()[单选题] * A.路由器 B.交换机 C.防火墙(正确答案) D.主机 4、关于 Intranet(内部网)理解不正确的是:______()[单选题] * A.内部网指采用 Internet 技术建立的企业内部专用网络。 B.内部网以 WWW 协议作为基础。(正确答案) C.内部网以 Web 为核心应用,构成统一和便利的信息交换平台。 D.一般把重要数据保存于工作组内,不重要的数据保存在隔离开的内部网内。 5、对边界安全相关概念的理解不正确的是:______()[单选题] * A.堡垒主机是一种被强化的可以防御进攻的计算机,被暴露于因特网之上。 B.堡垒主机作为进入内部网络的一个检查点, 达到把整个网络安全问题集中在某个主机上解决, 从而 省时省力,不用再考虑其它主机的安全的目的。 C.DMZ 通常放置一些需要对公众提供服务的主机,例如 WEB 服务器等。 D.屏蔽路由器保护内部的网络使之免受 Internet 和周边网的侵犯。(正确答案) 6、安全策略中应该采取一些特殊的步骤来防止防火墙被渗透时应该执行的操作过程,对此步骤的描述 不正确的是:______()[单选题] * A.创建同样的软件备份和数据备份 B.建立防火墙的备用系统,快速恢复防火墙。(正确答案) C.确保所有需要安装到防火墙上的软件都很简单,并且要有恢复磁盘 D.有可靠的系统恢复和数据恢复策略。 7、关于堡垒主机描述正确的是:______()[单选题] * A.单宿主堡垒主机是只有一块网卡的防火墙设备。 B.单宿主堡垒主机防火墙主要的缺点就是可以重配置路由器使信息直接进入内部网络。 另外, 用户可以 重新配置他们的机器绕过堡垒主机把信息直接发送到路由器上。(正确答案) C.多宿主主机内外的网络均可与多宿主主机实施通信, 内外部网络之间的数据流由多宿主主机切断, 但 可以设置让内外网之间直接通信。 D.单目的堡垒主机一般是由特定的技术创创建的多宿主主机。 8、某公司决定应用一个新的流程序,公司的安全策略需要所有进出的流量都要通过一个代理服务器送 出,这就要求为这个流程序单独地创建一个新代理服务器。在这个新的代理服务器上,要实施用户认证 和拒绝 IP 地址。使用这个单独的代理服务器,尽可能不要危害到当前的安全配置并且可以实施更严格 的安全机制如认证。这个单独的代理服务器就是一台_________()[单选题] * A.单宿主堡垒主机 B.多宿主堡垒主机 C.单目的堡垒主机(正确答案) D.代理防火墙 9、作为主要用于非军事化区域中提供过滤功能和其他各种网络服务的堡垒主机,它的结构主要分为 ______三种。()[单选题] * A.无路由单宿主主机、牺牲主机、内部堡垒主机 B.无路由双宿主主机、牺牲主机、内部堡垒主机(正确答案) C.无路由多宿主主机、牺牲主机、内部堡垒主机 D.无路由单目宿主主机、牺牲主机、内部堡垒主机 10、对堡垒主机的主要结构理解不正确的是:______()[单选题] * A、无路由双宿主主机有多个网络接口,但这些接口之间没有信息流。 B、牺牲主机即使被攻破,也不会危及内部网的安全。 C、牺牲主机是一种上面没有任何保护信息,也没有做任何安全配置的主机。(正确答案) D、无路由双宿主主机可以胜任代理服务器 11、设计堡垒主机必须遵循________,这和网络边界安全的设计原则是一致性。()[单选题] * A、最简化原则和预测原则 B、最简化原则和预防原则(正确答案) C、最优化原则和预测原则 D、最优化原则和预防原则 12、在具体选择堡垒主机时,对应该遵循原则理解不正确的是:______()[单选题] * A、选择主机时,应选择一个可以支持多个网络接口同时处于活跃状态,从而能够向内部网用户提供多 个网络服务的机器; B、选择堡垒主机的硬件时,要保证堡垒主机的内存和硬盘足够大,用功能足够高,速度足够快。(正确 答案) C、在网络上,堡垒主机应该位于 DMZ 内没有机密信息流或信息流不太敏感的部分; D、在配置堡垒主机
如何向windows跳板机上传输文件
12-24
如何向windows跳板机上传输文件
堡垒机--详细介绍
jsj18700625723的博客
07-07 3995
即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。运维平台:RDP/VNC运维;SSH/Telnet运维;:支持基于资源角色授权,授权用户,特权账户临时限制,授权时间规则,登陆规则,命令规则;:实时监控所有的用户的运维操作,随时阻断高危会话运维操作完整审计,集中存储,异地备份。运维用户登陆堡垒机后,智能分配运维代理通道,实现运维业务的负载均衡;
python系统工作原理_Python之路——堡垒机原理及其简单实现
weixin_39975486的博客
12-19 136
1 堡垒机基本概述其从功能上讲,它综合了核心系统运维安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过运维安全审计的翻译。打一个比方,运维安全审计扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问,和恶意...
堡垒机/跳板机连接内网服务器
最新发布
qq_63333972的博客
03-16 1170
实验中需要注意:1.如果配完IP地址以后,一直掉线,可能是IP地址冲突了,可以通过另外一台正常的设备去arping一下,查看具体情况,但是要注意IP地址配置一定要符合规定2.如果加固ssh服务的时候,重启失败可能是因为SElinux没有关闭,可以重新检查关闭SElinux3.如果堡垒机连不上,可能是sshd服务没有开启成功,或者是firewalld没有关闭,iptables规则链不正确,通过查看iptables规则链情况和防火墙开启DNAT和SNAT服务的脚本,注意端口和协议一定不要出错。
网络通信安全安全传输路径.docx
06-22
安全传输路径 安全传输路径 教学要求 掌握安全传输路径是否符合要求的核查、判定、整改方法。 知识点和能力点 核查、判定、整改方法。 教学内容 对应通用基本要求 (b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。(三级、四级) 如何核查是否符合要求? (1)核查网络中是否划分单独的管理VLAN用于对安全设备或安全组件进行管理,如下: 可以查询核心交换机与安全设备的交换机是否有对vlan描述。 以华为交换机举例说明: 在仿真终端中输入dis cur回车,查看vlan是否有描述信息。 图3.2.1 其次,在安全输入命令dis vlan,确认安全设备或安全组件所接入的vlan所涉及到的端口,有没有连接其他类型设备,如业务服务器等等。 图3.2.2 以上图为例,假定vlan10是安全设备与安全组件所在的vlan,那么需要确认g0/0/1-23口有没有接入其他类型设备。 (2)核查网络是否使用独立的带外管理网络安全设备或安全组件进行管理,如下: 查看有无使用安全运维审计系统、堡垒机来对网络进行管理。 备注:安全运维审计系统,即在一个特定的网络环境下,为了保障网络和数据
网络安全设备堡垒机跳板机VPN
囚徒之困
07-04 3017
网络安全设备堡垒机 跳板机 VPN
堡垒机相关知识介绍
顺其自然~专栏
10-13 255
堡垒机,就是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,采用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。简单来说:堡垒机是用来控制哪些用户可以登录哪些资源(事先防范和事中控制),以及录像记录登录资源后做了什么事情(便于事后追责)堡垒机的核心:可控及审计。可控指的是权限可控、行为可控。权限可控,比如某个程序员要离职或要转岗了。如果没有一个统一的权限管理入口,那就太可怕了。
什么是堡垒机
小时候挺菜的博客
05-28 3万+
什么是堡垒机 1、堡垒机是用来解决“运维混乱”的 堡垒机是用来干什么的?简而言之一句话,堡垒机是用于解决“运维混乱”的。何谓运维混乱?当公司的运维人员越来越多,当需要运维的设备越来越多,当参与运维的岗位越来越多样性,如果没有一套好的机制,就会产生运维混乱。具体而言,你很想知道“哪些人允许以哪些身份访问哪些设备”而不可得。 2、堡...
堡垒机的详细介绍
热门推荐
wcl20010的博客
05-13 3万+
一:运维审计型堡垒机 基本概念介绍 跳板机→堡垒机 ,被称为跳板机的原因就是,运维人员通过它和更多的设备联系→堡垒机还会审核运维的权限再返回请求,但是这样还是存在误操作等问题,有安全隐患,跳板机被攻入,会导致整个网络资源完全暴露。同时跳板机对一些资源ftp等不好操控。 堡垒机可以理解为是运维审计系统的统称:即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理
2022年十大知名堡垒机品牌你真的知道吗?
行云管家
08-24 2937
目前市面上堡垒机品牌多多,但还有很多人不知道到底哪个品牌好,哪个品牌知名一点。这里就给大家汇总了2022年十大知名堡垒机品牌,希望你能真的知道。
网络安全课程标准.doc
06-10
理解计算机网络特别是计算机互联网络安全的基本概念,理解计算机网络安全的 基础知识,以及网络安全技术研究的内容;知道当前计算机网络安全技术面临的挑战和 现状;了解网络安全策略以及网络安全体系的架构,了解...
网络安全题库.docx
06-10
网络安全题库 网络安全题库全文共14页,当前为第1页。网络安全题库全文共14页,当前为第1页。 网络安全题库全文共14页,当前为第1页。 网络安全题库全文共14页,当前为第1页。 网络安全复习题 第7题[单选题] 1. 关于...
网络安全-应用设计题.doc
06-09
试据此给出该用户的网络安全解决方案。 在网关位置配置多接口防火墙,将整个网络划分为外部网络、内部网络、DMZ区等多个安 全区域,将工作主机放置于内部网络区域,将WEB服务器、数据库服务器等服务器放置在D MZ区域,...
初识堡垒机
weixin_43455673的博客
04-16 3621
1 堡垒机的定义 以操作网关的模式,对运维操作进行集中管理。实现对运维人员的身份鉴别,权限控制,操作行为审计。 堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)。 堡垒机的核心是可控及审计。 可控是指权限可控、行为可控。 权限可控,比如某个工程师要离职或要转岗了。如果没有一个统一的权限管理入口,是一场梦魇。 行为可控,比如我们需要集中禁用某个危险命令,如果没有一个统一入口,操作的难度可想而知。 2 堡垒机的作用 保障网络和数据不被外部入侵&amp
IT知识百科:什么是云堡垒机
网络技术联盟站
08-28 560
堡垒机(Bastion Host)是一种位于内部网络和外部网络之间的中间服务器,用于控制和监管对内部服务器的访问。它充当了一座“堡垒”,只允许经过严格认证和授权的用户进行访问,从而确保只有合法用户能够进入内部网络环境。堡垒机通过强大的身份认证和授权机制,确保只有授权用户才能够访问内部服务器。这可以防止未经授权的访问和恶意攻击。堡垒机可以记录所有用户的操作行为,包括登录、命令执行等,以便进行后期审计和监控。这有助于发现异常活动和安全威胁。
堡垒机软件有哪些
贺浦力特的博客
04-11 3033
堡垒机软件
外网访问家庭内网的设备--FRP内网穿透
浅弋、璃鱼的博客
12-27 2050
文章目录一、需求:二、解决方案:1. 公网ip:2.端口映射:3. frp:4.ipv6:三、什么是FRP:1. 什么是FRP:2. FRP的作用:四、FRP的安装与配置:1. 准备:2. 下载:3. 编写配置文件并测试:4.设置进程守护并开机自启:4.1 Supervisor守护进程:a. 安装:b.配置:4.2 设置开机自启动:五、参考文档有不足之处望指正... 一、需求: 需要在外网访问内网...
网络安全领域的堡垒机是什么
03-31
堡垒机是一种用于提供远程访问控制和管理的网络安全设备,通常用于保护企业内部网络安全。它可以控制用户对目标设备的访问权限,记录用户的操作日志,实现远程终端管理、安全审计、权限控制等功能。堡垒机通常位于内部网络中,作为一个独立的安全设备进行部署,通过安全隧道与外部网络相连。堡垒机的作用是保护内部网络安全,防止不受信任的用户或黑客攻击企业关键系统,提高企业的网络安全性和管理效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT技术分享社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值