1、堡壘機是什么？

堡壘機，就是在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，采用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

簡單來說：堡壘機是用來控制哪些用戶可以登錄哪些資源（事先防范和事中控制），以及錄像記錄登錄資源后做了什么事情（便于事后追責）

堡壘機的核心：可控及審計。可控指的是權限可控、行為可控。

權限可控，比如某個程序員要離職或要轉崗了。如果沒有一個統一的權限管理入口，那就太可怕了。行為可控，比如我們需要集中禁用某個危險指令，如果沒有一個統一的管理入口，操作的難度就非常大了。

2、堡壘機由來

堡壘機是從跳板機（也叫前置機）的概念演變過來的。早在2000年左右的時候，一些中大型企業為了能對運維人員的遠程登錄進行集中管理，會在機房部署一臺跳板機。

跳板機：其實就是一臺unix/windows操作系統的服務器。所有人員都需要先遠程登錄跳板機，然后從跳板機登錄其他服務器中進行操作。

隨著技術和需求的發展，越來越多的客戶需要對運維人員的操作進行審計。因此，堡壘機應運而生。

3、堡壘機的發展

• 工具時代主要是作為跳板機的運維工具

• 場景化時代自動運維、自動改密、工單、應用中心

• 云計算時代云資產平滑接入、VPC、數據庫運維、AI運維推薦、云中心。

4、要堡壘機的用途

• 集中管理難主機分散（多中心，云主機）；運維入口分散，辦公網絡、家庭網絡均需要訪問。

• 權限管理難賬號多人共享；高權限賬號濫用；越權操作、誤操作等

• 第三方外包運維外包；賬號泄露；操作不透明；無審計；發生事故，難以定位追責。

• 法律法規企業運維需要監控；等級保護要求；合規性要求；

5、設計理念

堡壘機主要是有4A理念：認證（Authen）、授權（Authorize）、賬號（Account）、審計（Audit）為核心。

6、堡壘機的目標

堡壘的建設目標可以概括為5“W”，主要是為了降低運維風險。具體如下：

• 審計：你做了什么？（What）

• 授權：你能做哪些？（Which）

• 賬號：你要去哪？（Where）

• 認證：你是誰？（Who）

• 來源：訪問時間？（When）

7、堡壘機的價值：

• 集中管理

• 集中權限分配

• 統一認證

• 集中審計

• 數據安全

• 運維高效

• 運維合規

• 風險管控

8、堡壘機的分類

堡壘機分為商業堡壘機和開源堡壘，開源軟件毫無疑問將是未來的主流。Jumpserver 是全球首款完全開源的堡壘機，是符合 4A 的專業運維審計系統，GitHub Star 數超過 1.1 萬，Star 趨勢就可以看出其受歡迎程度。

9、堡壘機的組成

常見堡壘機的主要功能架構：

目前常見堡壘機主要功能分為以下幾個模塊：

• 運維平臺RDP/VNC運維；SSH/Telnet運維；SFTP/FTP運維；數據庫運維；Web系統運維；遠程應用運維；

• 管理平臺三權分立；身份鑒別；主機管理；密碼托管；運維監控；電子工單；

• 自動化平臺自動改密；自動運維；自動收集；自動授權；自動備份；自動告警；

• 控制平臺IP防火墻；命令防火墻；訪問控制；傳輸控制；會話阻斷；運維審批；

• 審計平臺命令記錄；文字記錄；SQL記錄；文件保存；全文檢索；審計報表；

三權分立：

三權的理解：配置，授權，審計

三員的理解：系統管理員，安全保密管理員，安全審計員

三員之三權：廢除超級管理員；三員是三角色并非三人；安全保密管理員與審計員必須非同一個人。

10、堡壘機的身份認證

堡壘機主要就是為了做統一運維入口，所以登錄堡壘機就支持靈活的身份認證方式：

• 本地認證：本地賬號密碼認證，一般支持強密碼策略

• 遠程認證：一般可支持第三方AD/LDAP/Radius認證

• 雙因子認證：UsbKey、動態令牌、短信網關、手機APP令牌等

• 第三方認證系統：OAuth2.0、CAS等。

11、堡壘機的運維方式

• B/S運維：通過瀏覽器運維。

• C/S運維：通過客戶端軟件運維，比如Xshell，CRT等。

• H5運維：直接在網頁上可以打開遠程桌面，進行運維。無需安裝本地運維工具，只要有瀏覽器就可以對常用協議進行運維操作，支持ssh、telnet、rlogin、rdp、vnc協議

• 網關運維：采用SSH網關方式，實現代理直接登錄目標主機，適用于運維自動化場景。

12、堡壘機其他常用功能：

• 文件傳輸：一般都是登錄堡壘機，通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。

• 細粒度控制：可以對訪問用戶、命令、傳輸等進行精細化控制。

• 支持開放的API

13、堡壘機常見部署方式

單機部署：堡壘機主要都是旁路部署，旁掛在交換機旁邊，只要能訪問所有設備即可。

部署特定：

• 旁路部署，邏輯串聯。

• 不影響現有網絡結構。

HA高可靠部署：旁路部署兩臺堡壘機，中間有心跳線連接，同步數據。對外提供一個虛擬IP。

部署特點：

• 兩臺硬件堡壘機，一主一備/提供VIP。

• 當主機出現故障時，備機自動接管服務。

異地同步部署模式：通過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。

部署特點：

• 多地部署，異地配置自動同步

• 運維人員訪問當地的堡壘機進行管理

• 不受網絡/帶寬影響，同時祈禱災備目的

集群部署（分布式部署）：當需要管理的設備數量很多時，可以將n多臺堡壘機進行集群部署。其中兩臺堡壘機一主一備，其他n-2臺堡壘機作為集群節點，給主機上傳同步數據，整個集群對外提供一個虛擬IP地址。

部署特點：

• 兩臺硬件堡壘機，一主一備、提供VIP

• 當主機出現故障時，備機自動接管服務。

---

參考資料：

三權分立：https://blog.csdn.net/chelp/article/details/42062489

堡壘機是干什么的？https://www.zhihu.com/question/21036511

IT技術分享社區

個人博客網站：https://programmerblog.xyz

文章推薦程序員效率：畫流程圖常用的工具程序員效率：整理常用的在線筆記軟件遠程辦公：常用的遠程協助軟件，你都知道嗎？51單片機程序下載、ISP及串口基礎知識硬件：斷路器、接觸器、繼電器基礎知識

總結

以上是生活随笔為你收集整理的网络安全：堡垒机相关知识介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。