什麼是堡壘機？爲何須要堡壘機？

   
 
 
    公衆號關注 
 
    「 
 
    傑哥的IT之旅 
 
    」， 

   

   
   
    
    
             
    

   
 
 
    選擇「 
 
    星標 
 
    」， 
 
    重磅乾貨，第一 
 
    時間送達！ 

   

   
   
    
    
             
    

   
 
 
    
 

   

什麼是堡壘機？

堡壘機，即在一個特定的網絡環境下，爲了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各類技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操做行爲，以便集中報警、及時處理及審計定責。

用一句話來講，堡壘機就是用來後控制哪些人能夠登陸哪些資產（事先防範和事中控制），以及錄像記錄登陸資產後作了什麼事情（事溯源）

堡壘機不少時候也叫運維審計系統，它的核心是可控及審計。可控是指權限可控、行爲可控。權限可控，好比某個工程師要離職或要轉崗了。若是沒有一個統一的權限管理入口，是一場夢魘。行爲可控，好比咱們須要集中禁用某個危險命令，若是沒有一個統一入口，操做的難度可想而知。

爲何須要堡壘機？

堡壘機是從跳板機（也叫前置機）的概念演變過來的。早在2000年左右，一些中大型企業爲了能對運維人員的遠程登陸進行集中管理，會在機房部署一臺跳板機。跳板機其實就是一臺unix/windows操做系統的服務器，全部運維人員都須要先遠程登陸跳板機，而後再從跳板機登陸其餘服務器中進行運維操做。

但跳板機並無實現對運維人員操做行爲的控制和審計，使用跳板機過程當中仍是會有誤操做、違規操做致使的操做事故，一旦出現操做事故很難快速定位緣由和責任人。此外，跳板機存在嚴重的安全風險，一旦跳板機系統被攻入，則將後端資源風險徹底暴露無遺。同時，對於個別資源（如telnet）能夠經過跳板機來完成必定的內控，可是對於更多更特殊的資源（ftp、rdp等）來說就顯得力不從心了。

人們逐漸認識到跳板機的不足，進而須要更新、更好的安全技術理念來實現運維操做管理。須要一種能知足角色管理與受權審批、信息資源訪問控制、操做記錄和審計、系統變動和維護控制要求，並生成一些統計報表配合管理規範來不斷提高IT內控的合規性的產品。在這些理念的指導下，2005年先後，堡壘機開始以一個獨立的產品形態被普遍部署，有效地下降了運維操做風險，使得運維操做管理變得更簡單、更安全。

堡壘機的設計理念

堡壘機主要是有4A理念，即認證（Authen）、受權（Authorize）、帳號（Account）、審計（Audit）。

堡壘機的目標

堡壘機的建設目標能夠歸納爲5W，主要是爲了下降運維風險。具體以下：

• 審計：你作了什麼？（What）

• 受權：你能作哪些？（Which）

• 帳號：你要去哪？（Where）

• 認證：你是誰？（Who）

• 來源：訪問時間？（When）

堡壘機的價值

• 集中管理

• 集中權限分配

• 統一認證

• 集中審計

• 數據安全

• 運維高效

• 運維合規

• 風險管控

堡壘機的原理

目前常見堡壘機的主要功能分爲如下幾個模塊：

一、運維平臺

• RDP/VNC運維；SSH/Telnet運維；SFTP/FTP運維；數據庫運維；Web系統運維；遠程應用運維；

二、管理平臺

• 三權分立；身份鑑別；主機管理；密碼託管；運維監控；電子工單；

三、自動化平臺

• 自動改密；自動運維；自動收集；自動受權；自動備份；自動告警；

四、控制平臺

• IP防火牆；命令防火牆；訪問控制；傳輸控制；會話阻斷；運維審批；

五、審計平臺

• 命令記錄；文字記錄；SQL記錄；文件保存；全文檢索；審計報表；

說明：三權分立

三權的理解：配置，受權，審計

三員的理解：系統管理員，安全保密管理員，安全審計員

三員之三權：廢除超級管理員；三員是三角色並不是三人；安全保密管理員與審計員必須非同一我的。

堡壘機的身份認證

堡壘機主要就是爲了作統一運維入口，因此登陸堡壘機必須支持靈活的身份認證方式，好比：

一、本地認證

• 本地帳號密碼認證，通常支持強密碼策略

二、遠程認證

• 通常可支持第三方AD/LDAP/Radius認證

三、雙因子認證

• UsbKey、動態令牌、短信網關、手機APP令牌等

四、第三方認證系統

• OAuth2.0、CAS等。

堡壘機的常見運維方式

• B/S運維：經過瀏覽器運維。

• C/S運維：經過客戶端軟件運維，好比Xshell，CRT等。

• H5運維：直接在網頁上能夠打開遠程桌面，進行運維。無需安裝本地運維工具，只要有瀏覽器就能夠對經常使用協議進行運維操做，支持ssh、telnet、rlogin、rdp、vnc協議

• 網關運維：採用SSH網關方式，實現代理直接登陸目標主機，適用於運維自動化場景。

堡壘機的其餘常見功能

• 文件傳輸：通常都是登陸堡壘機，經過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。

• 細粒度控制：能夠對訪問用戶、命令、傳輸等進行精細化控制。

• 支持開放的API

堡壘機的部署方式

一、單機部署

堡壘機主要都是旁路部署，旁掛在交換機旁邊，只要能訪問全部設備便可。

部署特定：

• 旁路部署，邏輯串聯。

• 不影響現有網絡結構。

二、HA高可靠部署

旁路部署兩臺堡壘機，中間有心跳線鏈接，同步數據。對外提供一個虛擬IP。

部署特色：

• 兩臺硬件堡壘機，一主一備/提供VIP。

• 當主機出現故障時，備機自動接管服務。

三、異地同步部署

經過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。

部署特色：

• 多地部署，異地配置自動同步

• 運維人員訪問當地的堡壘機進行管理

• 不受網絡/帶寬影響，同時祈禱災備目的

四、集羣部署（分佈式部署）

當須要管理的設備數量不少時，能夠將n多臺堡壘機進行集羣部署。其中兩臺堡壘機一主一備，其餘n-2臺堡壘機做爲集羣節點，給主機上傳同步數據，整個集羣對外提供一個虛擬IP地址。

部署特色：

• 兩臺硬件堡壘機，一主一備、提供VIP

• 當主機出現故障時，備機自動接管服務。

堡壘機的安裝方式

可參考：手把手教你搭建Jumpserver堡壘機

開源產品

目前，經常使用的堡壘機有收費和開源兩類。收費的有行雲管家、紐盾堡壘機，開源的有jumpserver。這幾種各有各的優缺點，如何選擇，你們能夠根據實際場景來判斷。

做者：猿話
來源：https://www.toutiao.com/i6881462700229329421

---

若是您以爲這篇文章對您有點用的話，麻煩您爲本文來個四連：轉發分享、點贊、點在看、留言，由於這將是我寫做與分享更多優質文章的最強動力！

---

本公衆號所有博文已整理成一個目錄，請在公衆號後臺回覆「m」獲取！

推薦閱讀：

一、 一文吃透 Linux 提權
二、 Linux 日誌文件系統原來是這樣工做的
三、 花費一週整理的Python資源，讓我學習效率，事半功倍！
四、 Nginx 面試中最多見的 18 道題！
五、 Linux 網絡狀態工具 ss 命令使用詳解
六、 成爲架構師，必須掌握 10 種常見的架構模式！

關注微信公衆號「 傑哥的IT之旅」，後臺回覆「 1024」查看更多內容，回覆「 加羣」 備註：地區-職業方向-暱稱 便可加入讀者交流羣。

     
 
 
      
  
       
       
        
        
                 
        
  
       

   
        
        
         
         
                  
         
   
        
 
         
 
          
 
           
 
            
 
             
 
               
             
 
             
 
              點個[在看]，是對傑哥最大的支持！ 
             
 
            
 
           
 
          
 
         
 
        
  
       
       
        
        
                 
        
  
       
 

     

本文分享自微信公衆號 - 傑哥的IT之旅（Jake_Internet）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。