方企業安全之設備選型方案設計和實現（堡壘機）

最近不少朋友都會問我設備選型這個問題，在安全產品衆多的當下，如何選擇最適合的廠商品牌，而且如何向高層請款去購買選型設備成爲了甲方朋友比較重視的問題。之因此會產生這類問題緣由不外乎如下幾點：

• 高層不懂安全產品的意義與使用
• 高層會重點考慮投入成本與效益問題
• 沒有一個很好的切入點去說服高層重視安全設備投入
• 涉及經濟投入問題會走一些列問題，致使懶得交涉

針對以上這些問題，朋友們在設備選型的時候必定要體現這些點：

• 設備投入目的

爲何要投入設備

 

• 設備測試內容

1. 對崗位的支持能力
2. 產品各模塊的可用性與和業務的適配性
3. 功能需求的完整性
4. 產品的安全性
5. 產品的投入成本與效益

 

• 拓撲位置

1. 網絡位置
2. 總體測試環境

 

• 總結

1. 各設備的優缺點
2. 最終選取設備的綜合理由
3. 設備最終訂價以及後續費用

 

舉例時間~如下已堡壘機設備選型爲例

 

• 測試目的

隨着公司業務的開展，運營工做須要安全審計，要購進堡壘機，來增強運營及運維工做的安全管理，同時大幅度下降人工審計成本，規範管理全部人的登陸行爲（解釋爲何投入設備）。這次測試，旨在爲給公司堡壘機選型提供技術支撐和科學論據，特搭建模擬環境，對參選廠家提供的測試設備進行性能、功能、管理等關鍵指標進行評測並記錄相關結果（測評項總結）。

 

• 測試拓撲

注：這裏爲何要接交換機，正常來講堡壘機應該是串聯進整個訪問線路的，這裏是爲了在測試時更加突出堡壘機的管理和審計功能，與原先直接訪問作一個對比，這是必要的，能更直觀的看出堡壘機的優點所在。

 

注：這裏標記測試的覆蓋面（主流操做系統、網絡設備、主流業務協議）以及選型設備廠商進行同步測試

 

• 設備測試內容（測試功能點，這要根據總體環境來制定，每一個人的關注點都不同，儘可能全面）

1. 角色及權限劃分

1）綠盟堡壘機

2）齊治堡壘機

 

3）泰然神州堡壘機

 

4）思福迪堡壘機

 

一、開放端口

 

二、系統管理功能測試

三、資源管理

 

四、協議支持測試

 

 

五、單點登陸功能測試

 

五、帳號管理

 

六、審計功能測試

 

• 測試小結（各廠商優缺點以及最終選型，選型理由，投入成本等）

一、綠盟堡壘機（硬件）XXX元：功能較全面，能很好的記錄運維操做日誌。但：

Ø帳戶權限劃分不太合理，設備管理員不只能夠添加刪除設備，還能夠不受限制的訪問設備。

Ø圖形會話日誌較大，當windows設備上運行gif文件時，產生的圖形會話日誌較大，接近齊治的兩倍。

Ø圖形會話回放拖拉有延遲，須要緩衝時間。

二、齊治堡壘機（硬件）XXX元：功能全面，支持大部分協議工具，能很好的記錄運維操做日誌，角色/權限劃分更細，圖形會話回放拖拉無延遲。但：

Ø數據庫審計須要單獨採購相應模塊。

Ø採用USB-key認證時，須要單獨進行採購。

Ø對ftp會話只能審計操做行爲，不能中斷會話。

三、思福迪堡壘機（硬件）XXX元：功能全面，對運維工具支持更全面，能很好的記錄運維日誌，角色/權限比齊治劃分更細。且集成前置機，無須另外部署前置機。但：

Ø如需在前置機中發佈特殊軟件，需廠商配合。

Ø圖形會話回放拖拉也存在延遲，須要緩衝時間。

Ø沒法真正實現中斷ftp會話。

Ø只能使用IE下載審計日誌，使用chrome/firefox時沒法下載。

四、泰然神州堡壘機（軟件）XXX元：功能不全，不少功能不支持，圖形會話回放效果差，沒法控制回話速度。且爲更好的壓縮圖形日誌，全部圖形會話均處理成黑白圖形。但：

Ø軟件堡壘機部署比較靈活，可部署多臺，按運維點數受權，而不是按堡壘機個數受權。

Ø無須額外部署前置機。

 

綜上，四類堡壘機產品各有優缺點，但相比較，齊治堡壘機使用效果最好，思福迪其次。建議採購齊治堡壘機，可選思福迪堡或綠盟壘機，不建議採購泰然神州(軟件)堡壘機。齊治堡壘機的使用成本爲XXX（脫敏）元，後續擴容成本爲XXX元/XXX管理數（脫敏），請領導抉擇投入成本與效益選型。

 

其實高層不會去看具體你完成了哪些測試，基本上也看不懂，可是高層在乎的是你有沒有從全面的角度去考慮這個問題，測試點儘可能要考慮全面，最終結論必定要通俗易懂，給出總結，並給出成本，讓高層有更多角度去考慮問題。