堡壘機與網閘

1、堡壘機

堡壘機的產生：

企業裏面有不少的服務器和運維人員，爲了方便運維，其中一些運維人員有服務器的超級管理員帳號。若是某個運維人員因操做失誤把數據庫刪了，如何知道是哪一個運維人員乾的呢？最開始的基本需求是：行爲回放（記錄下來何人，在什麼時候作了何事，方便過後追究責任）後來這個系統不斷的完善，後續又加入了權限分離和安全管控，逐漸就造成了咱們如今所見到的堡壘機

總結一下，堡壘機的三大做用：行爲回放、權限分離、安全管控。

主要做用：

主要用於登陸各類網絡設備：交換機、防火牆、路由器、服務器等。經過堡壘機能夠實現權限分離、安全管控、行爲回放。

1. 安全管控：只有經過它才能遠程登陸各類遠程設備，在它沒有攻破以前，即便有人得到用戶名和密碼也沒法登陸相應的設備和系統，像是一個堡壘同樣，在堡壘沒有攻破以前，後續沒法***，因此叫堡壘機。運維人員只有堡壘機的登陸帳號，可是沒有須要管理的各個系統和帳號的密碼，直接經過堡壘機登陸便可，這樣極大的保護了密碼的泄露。
2. 權限分離：在堡壘機能夠根據每一個運維人員的角色，關聯不一樣權限。好比：CTO（首席技術執行官）擁有最高權限，能夠對全部的設備進行任意操做；網絡工程師僅有能使用網絡設備的權利，而沒有使用服務器的權利；運維工程師僅有能使用服務器的權限，而沒有使用網絡設備的權限。這是權限設備類型進行權限的控制，實際上能夠經過多種方式對權限進行劃分，好比，經過協議，某個用戶僅能使用什麼協議，不能使用什麼協議。
3. 行爲回放，過後追責：假如某個運維人員的某項操做給企業形成了很大的損失，好比刪庫，就能夠經過堡壘機找到是哪一個人員、在什麼時間、作了什麼事。

NOTE：有些品牌堡壘機對登陸的審覈很是嚴格，須要事先有一個相似U盾同樣的東西或者安裝一個APP，每隔 一段時間就會生成一段隨機碼，運維人員登陸時不只須要用戶名和密碼，並且還要輸入這段隨機碼！這樣用戶名和密碼被知道了，也沒法登錄堡壘機。若是登陸了堡壘機，就至關於一機在手，天下我有。

部署方式：

NOTE：想要實現安全管控頗有可能須要其它網絡設備的配合，將用戶經過其它途徑訪問資源的途徑阻斷。

配置思路：

1)   建立資源

2)   建立角色，將用戶加入到相應的角色。

3)   將角色關聯到相應的資源

2、網閘GAP

與防火牆最類似的產品就是網閘了，它們的功能有不少重合的地方，可是它們的本質是不一樣的。

防火牆的做用：

「用於網絡層多個子網之間的隔離和控制，隔離惡意報文的同時保證正常報文經過」

網閘的做用：

「用於網絡接口層一對子網之間的隔離和控制，隔離惡意報文的同時保證正常報文經過」

網閘的產生：

國家保密部門以及其餘有關部門規定，像涉密網及國家重大基礎設施網絡必須與公網進行物理隔離，但有些內網又必須與公網進行數據交換，爲了解決這一矛盾，這樣就催生了物理隔離網閘GAP產品的誕生，但願網閘能夠實現：內外兩個網絡物理隔離，但邏輯上實現數據交換。這種相互矛盾的要求，註定是沒法徹底實現的，網閘也沒有徹底實現，最多隻能說勉強實現。

網閘長這個樣子的：

若是把它拆開會發現內部的構造是兩塊主板，主板和主板以後鏈接了一根線；從構造當中就能夠看出來，它沒有實現國家要求的物理隔離，主板和主板之間還連着線，明明物理上鍊接着，因此不能說是實現了物理隔離。

這根線值得說道說道，這根線是用來傳輸主板與主板之間、網絡和網絡之間的數據，但這根線有一個厲害的地方就是不容許有協議的鏈接經過，爲何說這個功能很厲害呢？由於病毒、***、***的各類***必須經過根據某種協議作爲載體進行破壞，這根線不容許有協議的鏈接經過，意味着一個主板上的威脅沒法經過這根線蔓延到另外一塊主板。可能你疑惑了，這根線不容許協議的鏈接經過，難道正常的數據在主板之間傳輸不用協議嗎？正常的數據傳輸也必須經過某些協議，若是是這樣的話，豈不是正常的數據也沒法經過了？其實這根線還有一個控制器，這個控制器上有規則，這個規則是咱們給它制定的，只有數據經過控制器嚴格的層層檢測，數據在控制器的控制下以電氣信號的方式傳輸到另外一塊主板，在傳輸的過程中

物理隔離網閘技術在兩個網絡之間建立了一個物理隔斷，這意味着網絡IP包不能從一個網絡流向另一個網絡，系統命令不可能從一個網絡流向另一個網絡，網絡協議也不可能從一個網絡流向另一個網絡。而且可信網絡上的計算機和不可信網絡上的計算機從不會有實際的鏈接。對於有鏈接的PC，***使用各類方法，經過網絡可以創建鏈接來對它們進行控制，然而物理隔斷卻能杜絕這種狀況發生。物理隔離網閘技術除能夠實現物理隔斷外，還能夠容許可信網絡和不可信網絡之間的數據、資源和信息的安全交換。

物理隔離網閘的一個特徵，就是內網與外網永不鏈接，內網和外網在同一時間最多隻有一個同隔離設備創建非TCP/IP協議的數據鏈接。其數據傳輸機制是存儲和轉發。

物理隔離網閘的好處是明顯的，即便外網在最壞的狀況下，內網不會有任何破壞。修復外網系統也很是容易。

網閘與防火牆的區別

側重點不一樣。防火牆側重於對網絡層、傳輸層的控制，在制定規則的時候一般是根據五元組（源/目標IP、源/目標端口、協議）制定規則，雖然也有對應用層數據的檢查功能，但其深度並不如網閘；而網閘更加側重於對應用層數據的深度檢查和控制，雖然也有對網絡層、傳輸層的控制，但這方面控制能力不如防火牆。

網閘對應用層數據的檢測的細粒度更強，比防火牆更有效的對泄密、病毒和***進行檢查。若是報文觸發了防火牆的拒絕規則，那只是在邏輯上拒絕報文經過，由於只有一塊主板，屬於在邏輯上拒絕經過；而若是報文觸發了網閘的拒絕規則，由於有兩塊主板，能夠在物理上就拒絕報文傳遞到另外一塊主板。因此網閘的安全性更好、更強，網閘是二層的設備，防火牆是三層設備，設備越底層，數據的安全性越高。

網閘上兩個網絡進行數據傳輸的時候要進行深度報文檢測，檢測完成以後才容許數據從一個主板「擺渡」到另外一個主板，兩個主板之間的數據傳輸至關於兩個設備之間的數據傳輸，因此網閘的性能不如防火牆。

有的公司的人會問，我看別人都買網閘放置在網絡出口，可是以爲太貴了，我能不能買一個防火牆？你怎麼回答？

1. 都是邏輯隔離，而不是物理隔離
2. 防火牆是三層設備、網閘是二層設備，網閘的對數據的檢查的細粒度更高。
3. 防火牆的主要做用是安全域的劃分和邊界的訪問控制，網閘是兩個網之間的數據「擺渡」，安全級別比防火牆更高，可是它的速率比防火牆要低。
4. 二者不能相互替代，爲何？用網閘代替防火牆的話，處理報文的速度太慢了；用防火牆代替網閘的話，對應用報文檢查的細粒度不夠。