共168 次浏览

堡垒机是什么

结束了上周的hw,这周转战到了另一个地方进行别的任务。在客户现场接触到了堡垒机,以前只是听说过堡垒机这个概念。既然要正式接触,那么首先来学习一下。

堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。

看着眼晕不,这就是堡垒机在百度百科中的解释,但是其实没有这么复杂~


首先,我们不看那么多枯燥的东西,就很简单通俗的来介绍一下堡垒机是什么。

堡垒机是暴露在外网或者部署在DMZ区的一台主机,也是属于安全产品的一种。在目前企业的安全情况之中,存在着诸多的隐患和不方便之处。比如,同一个账号被许多个人使用或者一个人拥有许多账号;账号的密码长时间不更换;一个员工有着多台有权限的主机,但是一个一个来记用户名和密码又繁琐又容易出错等等。另外,这种同一个账号被多人使用的情况,一旦出现安全问题就难以追责。

那么堡垒机就应运而生,堡垒机是一台被强化的可以防御进攻的主机,可以把安全问题都集中在堡垒主机这一个点上。比如堡垒主机部署在内网的入口时,作为内网唯一的进出口,可以把整个内网的安全问题汇总在堡垒主机上。从而达到省时省力。这一点和防火墙有点类似,但是防火墙和堡垒主机还有不同之处,下面再说。另外对于账号管理错乱的情况,堡垒主机还可以做到访问控制和实时监控的功能。比如某一个员工拥有企业内多台主机的权限,他无需对每一个用户名和密码分别记忆,只需要在堡垒主机中分配好哪些主机的权限属于这位员工,员工只需要一个堡垒机的账号,即可以列表的形式查看他管理的所有主机。并且他的行为都会被记录下来,这样万一出现了什么误操作或者出现了严重的事故,可以及时的追责。

一句话总结堡垒机的作用:为访问集群限定一个入口,方便访问控制以及监控。


那么对于企业存在的隐患和具体问题是什么?我们可以来具体看一下,了解了堡垒机解决的问题是什么,我们自然也就知道了堡垒机的作用。

1.账号密码管理不规范
随着企业的发展壮大,需要的网络设备也越来越多。各类主机资源和应用系统日益复杂,这些主机和应用系统都有独立的管理账号。为了方便管理,企业可能会使用一些表格来记录账号。使用上也存在着多人使用同一个账号的问题,这样以来自然方便很多,但是一旦出现问题就无从追责,或者很难追查到责任人。为了初步保障安全,企业也许会要求定期修改密码,并且密码也是有强度要求的。但是随着数量越来越庞大,这项任务的实际进行情况必须打个问号?

2.资源授权不清晰
在对资源的授权控制时,如果仅使用操作系统或者应用系统的权限控制,未免有些太过于粗放。再加上账号管理本身就不规范的情况,如果不在资源层面来进一步强化授权管理,访问控制。也会带来一定的隐患。

3.访问控制不严格
访问控制是为了限制资源被访问的人员,来保证资源的安全性。但是在目前的企业形式下,我们并不知道运维人员在操作些什么?在哪一台设备上进行操作的?是由哪一位来操作的?这样的操作是否合规?如果出现了宕机、数据误删、数据被篡改破坏,我们无法第一时间定位责任人。

4.数据审计繁琐
目前对于这些运维人员的操作,大多是停留在日志审计的层面。如果有看过linux日志的小伙伴会知道,日志看起来十分麻烦,可读性差。再加上我们刚刚说的账号使用混乱的情况,我们无法将目前日志记录的账户与操作人员一一对应。是的运维数据的审计十分麻烦。

5.法律法规要求
大多是等保要求或者一些行业的特殊要求,就不一一赘述。

看完了堡垒机对应的问题,我们应该就可以对堡垒机有了一定的认识啦~


在文章一开始我们提到,堡垒机的功能有一点和防火墙类似。堡垒机在一定程度上确实可以作为防火墙使用,但是也有一点的不同之处:

1.二者的性质不同
堡垒机是在特定环境下,为了保证网络和数据不被外部或内部用户入侵、破坏,而实时收集各网络或者主机的系统状态、安全事件等信息。来做到实时监控、统一报警,及时定责。
防火墙则是整合了一定的软件或者硬件设备,隔绝用户外网和内网之间的一道屏障。
可以说堡垒机不仅要防止外部用户乱来,还可以防止内部用户胡作非为。

2.二者产生的原因不同
堡垒机:着企业IT业务不断扩大,复杂的运维人员和不良的管理方式对企业的数据造成了极大的风险。堡垒机就是为了规范管理运维人员,规范管理数据,及时报警并且能够追责到人。
防火墙:防火墙则是在两个网络或者网络域之间进行访问尺度的控制。对于企业来讲一般就是抵御外部网络对内部网络的入侵,一般部署在内网与外网的唯一出入口。扼守重要关卡。
所以说堡垒机在这方面,一定程度上能够实现防火墙的功能。但不是绝对的。

3.二者的应用不同
堡垒机:堡垒机多是用来进行应用系统的单点登录。比如运营商常常会使用堡垒机的形式来进行单点登录和审计。
防火墙:防火墙在内网中的部署位置是相对固定的,一般是在内网与外网的出入口的位置。通过对外部访问者进行控制来保护内部网络。另外内部人员也可以根据需求来明确权限规划,让内部人员可以访问规划内的路径。

此条目发表在学习总结分类目录,贴了, 标签。将固定链接加入收藏夹。

堡垒机是什么》有3条回应

  1. rbq说:

    Tql 吉吉简直是男神!

  2. rbq2说:

    哇塞,吉吉老师的博客简直太棒了!

评论已关闭。