堡壘主機 堡壘主機是什么意思
堡壘主機是一種被強化的可以防御進攻的計算機,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。堡壘主機是網絡中最容易受到侵害的主機,所以堡壘主機也必須是自身保護最完善的主機。一個堡壘主機使用兩塊網卡,每個網卡連接不同的網絡。一塊網卡連接你公司的內部網絡用來管理、控制和保護,而另一塊連接另一個網絡,通常是公網也就是Internet。堡壘主機經常配置網關服務。網關服務是一個進程來提供對從公網到私有網絡的特殊協議路由,反之亦然。
內部網絡行為管理、命令控制技術、細粒度策略控制功能、準確日志查詢檢索功能、菜單類操作回放審計功、帳號密碼的安全管理、FTP/SFTP文件安全傳輸、支持標準SYSLOG日志、即時操作“現場直播”的監控功能、程序重用與控制技術、邏輯命令自動識別技術、分布式處理技術、實時監控技術 、日志二次備份技術、多進程/線程與同步技術、自動報表生成技術、連續跳轉登錄技術、多信道登錄技術、數據加密功能、審計查詢檢索功能、操作還原技術、審計雙向備份技術等。堡壘主機目前一般有以下三種類型:無路由雙宿主主機、犧牲主機和內部堡壘主機
1.無路由雙重宿主主機
無路由雙重宿主主機有多個網絡接口,但這些接口間沒有信息流,這種主機本身就可以作為一個防火墻,也可以作為一個更復雜的防火墻的一部分。無路由雙重宿主主機的大部分配置類同于其它堡壘主機,但是用戶必須確保它沒有路由。如果某臺無路由雙重宿主主機就是一個防火墻,那么它可以運行堡壘主機的例行程序。
2.犧牲品主機
有些用戶可能想用一些無論使用代理服務還是包過濾都難以保障安全的網絡服務或者一些對其安全性沒有把握的服務。針對這種情況,使用犧牲品主機就是非常有用的(也稱替罪羊主機)。犧牲品主機是一種上面沒有任何需要保護信息的主機,同時它又不與任何入侵者想要利用的主機相連。用戶只有在使用某種特殊服務時才需要用到它。
犧牲品主機除了可讓用戶隨意登錄外,其配置基本上與其它堡壘主機一樣。用戶總是希望在堡壘主機上存有盡可能多的服務與程序。但是犧牲品主機出于安全性的考慮,不可隨意滿足用戶的要求,否則會使用戶越來越信任犧牲品主機而違反設置犧牲品主機的初衷。犧牲品主機的主要特點是它易于被管理,即使被侵襲也無礙內部網的安全。
3.內部堡壘主機
在大多數配置中,堡壘主機可與某些內部主機有特殊的交互。例如,堡壘主機可傳送電子郵件給內部主機的郵件服務器、傳送Usenet新聞給新聞服務器、與內部域名服務器協同工作等。這些內部主機其實是有效的次級堡壘主機,對它們就應象保護堡壘主機一樣加以保護。我們可以在它的上面多放一些服務,但對它們的配置必須遵循與堡壘主機一樣的過程。
堡壘主機是一臺完全暴露給外網攻擊的主機。它沒有任何防火墻或者包過慮路由器設備保護。堡壘主機執行的任務對于整個網絡安全系統至關重要。事實上,防火墻和包過濾路由器也可以被看作堡壘主機。由于堡壘主機完全暴露在外網安全威脅之下,需要做許多工作來設計和配置堡壘主機,使它遭到外網攻擊成功的風險性減至最低。其他類型的堡壘主機包括:Web,Mail,DNS,FTP服務器。一些網絡管理員會用堡壘主機做犧牲品來換取網絡的安全。這些主機吸引入侵者的注意力,耗費攻擊真正網絡主機的時間并且使追蹤入侵企圖變得更加容易。
1.無路由雙重宿主主機
無路由雙重宿主主機有多個網絡接口,但這些接口間沒有信息流,這種主機本身就可以作為一個防火墻,也可以作為一個更復雜的防火墻的一部分。無路由雙重宿主主機的大部分配置類同于其它堡壘主機,但是用戶必須確保它沒有路由。如果某臺無路由雙重宿主主機就是一個防火墻,那么它可以運行堡壘主機的例行程序。
2.犧牲品主機
有些用戶可能想用一些無論使用代理服務還是包過濾都難以保障安全的網絡服務或者一些對其安全性沒有把握的服務。針對這種情況,使用犧牲品主機就是非常有用的(也稱替罪羊主機)。犧牲品主機是一種上面沒有任何需要保護信息的主機,同時它又不與任何入侵者想要利用的主機相連。用戶只有在使用某種特殊服務時才需要用到它。犧牲品主機除了可讓用戶隨意登錄外,其配置基本上與其它堡壘主機一樣。用戶總是希望在堡壘主機上存有盡可能多的服務與程序。但是犧牲品主機出于安全性的考慮,不可隨意滿足用戶的要求,否則會使用戶越來越信任犧牲品主機而違反設置犧牲品主機的初衷。犧牲品主機的主要特點是它易于被管理,即使被侵襲也無礙內部網的安全。
在大多數配置中,堡壘主機可與某些內部主機有特殊的交互。例如,堡壘主機可傳送電子郵件給內部主機的郵件服務器、傳送Usenet新聞給新聞服務器、與內部域名服務器協同工作等。這些內部主機其實是有效的次級堡壘主機,對它們就應象保護堡壘主機一樣加以保護。我們可以在它的上面多放一些服務,但對它們的配置必須遵循與堡壘主機一樣的過程。
同一個概念。
堡壘機的目的和域控一樣,就是把風險集中在一個點,然后做好這個點的防御。
防御和攻擊不一樣,攻擊一座城池,只要找到這個城池上兵力最薄弱的點,然后猛攻即可。
防御一座城池就要做預判,對方要攻擊哪里,然后調兵遣將。
對于網絡防御來講,要防御的邊界太長了,堡壘機就是把所有的登錄點都集中到一臺機器上,由著臺機器來登錄其他機器。這樣只要保護好這臺機器,就能保證其他機器的安全,因為橋不丟,對方就過不了河,在一個面的層面上解決了問題。
在業內,堡壘機一般只是個俗稱,其學名應該是叫:運維安全審計系統/運維管理審計系統等,偏重對運維操作的監控和審計。至于堡壘機的說法由來以無源頭可考,但是基本都是這么說了,畢竟其學名比較長,說著說著,堡壘機的名字就代替了其學名,當然,從堡壘機的部署位置和其工作性質來說,其自身安全的重要性必然是非常高的,畢竟這臺設備會存儲著海量的數據中心設備的賬號、口令信息。目前,在各個行業:政府、金融、能源、運營商、企業、互聯網,都越來越重視該產品的部署,能更有效的杜絕內部數據的泄露、惡意篡改等行為。
而堡壘主機,則是樓主你說的那種概念。
像樓上所說,堡壘機類似跳板機應該算是堡壘機從無到有發展的一個階段,并不全面。
1、跳板機
跳板機屬于內控堡壘機范疇,是一種用于單點登陸的主機應用系統。2000年左右,高端行業用戶為了對運維人員的遠程登錄進行集中管理,會在機房里部署跳板機。跳板機就是一臺服務器,維護人員在維護過程中,首先要統一登錄到這臺服務器上,然后從這臺服務器再登錄到目標設備進行維護。但跳板機并沒有實現對運維人員操作行為的控制和審計,使用跳板機過程中還是會有誤操作、違規操作導致的操作事故,一旦出現操作事故很難快速定位原因和責任人。此外,跳板機存在嚴重的安全風險,一旦跳板機系統被攻入,則將后端資源風險完全暴露無遺。同時,對于個別資源(如telnet)可以通過跳板機來完成一定的內控,但是對于更多更特殊的資源(ftp、rdp等)來講就顯得力不從心了。
2、運維堡壘機
人們逐漸認識到跳板機的不足,需要更新、更好的安全技術理念來實現運維操作管理,需要一種能滿足角色管理與授權審批、信息資源訪問控制、操作記錄和審計、系統變更和維護控制要求,并生成一些統計報表配合管理規范來不斷提升IT內控的合規性的產品。在這些理念的指導下,2005年前后,運維堡壘機開始以一個獨立的產品形態被廣泛部署,有效地降低了運維操作風險,使得運維操作管理變得更簡單、更安全。
3、現在堡壘機產品已成熟,各家產品功能基本一致。早幾年這還是個比較有前景的行業,但后來越來越多的人看到了這個機會,很多優秀的工程師也出來創業做類似的堡壘機產品。但主流的總是那么幾家,如:思福迪、帕拉迪、尚思卓越、科友、齊治、極地等,這些都是目前行業里做的專業且受到企業用戶好評的廠商,但每家廠商的產品所關注的側重又有所差別。各企業在選購的時候,除了仔細研究產品技術指標是否可以滿足自己的需求外,還應該著重考慮產品的交互性、易用性、性價比、維護成本低、產品自身安全性等等。堡壘機作為單點故障點,自身安全性很重要。對于大數據量的企業,還應該考慮產品可擴展性,畢竟大數據中心的信息系統會越來越復雜。
想象一下,如果你要維護一百多臺服務器,記住每臺服務器的密碼,肯定是不可能的吧?這種情況下,可以在堡壘機上配置服務器和服務器賬號,配置完畢后,通過堡壘機登錄,你只需要輸入你的堡壘機賬號就能訪問你有權限訪問的設備了。
堡壘機一般支持的協議有圖形(RDP/VNC/X11)、字符(SSH/TELNET)、文件(FTP/SFTP)和一些數據庫協議(MySQL、Oracle)等等。
目前國內專業做堡壘機的廠商有綠盟、思福迪、齊智、江南科友等。在產品的選擇方面,考慮的因素有易用性、安全性等。因為堡壘機本身具有很高的權限,因此在安全性方面特別需要注意。建議選擇一些有專業網絡安全背景的廠商的產品。例如綠盟等。
知乎屬于創業公司,其數據的安全性和保密等級要求不高,也沒有迫切的內部控制需求。再加上堡壘機的價格普遍比較高,因此應該是沒有使用的。
0 Comments.