【堡壘機測評】關於紐盾堡壘機、jumpserver堡壘機、行雲管家堡壘機的使用對比

公司的業務開展得愈來愈廣，對IT的支撐能力要求也愈來愈高了。有幾個方面表現得特別突出：一是業務系統在不斷膨脹，用到的主機和服務（如數據庫）也隨之膨脹；二是業務系統在逐漸往雲上搬，使用的雲資源在逐漸增多；三是對安全要求愈來愈高了，業務系統自己要求穩定運行，運維操做也不容有失。

近日，公司準備上堡壘機了，做爲運維老兵，本人也參與了堡壘機產品的試用和選型工做，期間根據安排測試試用了幾款產品：行雲管家、紐盾堡壘機、Jumpserver。

下面根據個人測試試用過程，從產品的安裝配置、產品功能、使用體驗、產品報價等幾個方面介紹下上述幾款產品的特色，權做選型試用做業的答卷，也但願能給你們一個參考。

1. 產品部署

堡壘機做爲IT基礎設施的一部分，其自己也是須要維護的，那麼熟知堡壘機的運行環境，對堡壘機進行安裝部署就是對堡壘機自己進行運維的一部分了。

總的來講，在我所試用的這幾款堡壘機產品中，相對最容易安裝部署的是行雲管家；紐盾堡壘機須要準備機房環境和額外的網絡環境；Jumpserver即使是快捷安裝，也須要自行手工安裝諸多依賴組件，過程較繁瑣。

分述以下：

行雲管家堡壘機

產品形態：純軟件，有SaaS版和私有部署版

安裝環境要求：物理服務器或虛擬機，最低2核4G，50G存儲空間，CentOS操做系統

安裝準備：CentOS7.4/7.5/7.6/7.7都可，最小化安裝便可，無需額外準備其它組件或環境

安裝方式：一鍵式安裝，執行一個安裝命令便可

部署方式：一體化部署或分佈式部署，支持高可用部署

紐盾堡壘機

產品形態：物理硬件

安裝環境要求：需提供機房環境（機架機位、電源），單獨的網絡

安裝準備：獲取廠家提供的硬件（可申請試用），準備機房環境和網絡環境

安裝方式：硬件設備安裝+網絡調試

部署方式：支持高可用部署（所需硬件翻倍）

Jumpserver堡壘機

產品形態：純軟件，無SaaS版，須要自行部署

安裝環境要求：2個CPU核心, 4G 內存, 50G 硬盤，CentOS或Ubuntu操做系統

安裝準備：Centos7/8或Ubuntu18.04，安裝服務器須要可以鏈接互聯網

安裝方式：需手工逐一安裝MySQL、Redis、Nginx等各個組件

部署方式：一體化部署或分佈式部署

2. 堡壘機的產品功能

做爲堡壘機的最終使用者，更多的是考察產品的功能，結合咱們自身當前的使用需求，兼顧向雲上特別是公有云遷移的態勢，來考察幾款堡壘機的需求知足能力以及擴展性等方面。

我主要從可管理資源、資源受權、資源訪問、訪問審計這幾個方面對三個產品進行了試用考察。

可管理資源

從可管理資源角度看，三款試用產品基本都能管理IP化的設備，其中行雲管家支持以API方式管理幾乎全部公有云廠商的雲資源，能很好的知足咱們向雲遷移的需求，這點優點比較突出。

分述以下：

行雲管家堡壘機：支持管理任何IP化的資源，支持以API方式管理幾乎全部公有云廠商資源

紐盾堡壘機：支持管理IP化資源，由於其訪問方式限制，必需要其瀏覽器插件支持的本地工具能夠對資源進行訪問才能管理該資源；不支持以API方式管理公有云廠商資源

Jumpserver堡壘機：支持管理IP化資源；不支持以API方式管理公有云廠商資源

資源受權

受權控制做爲堡壘機的關鍵核心能力，須要靈活的受權能力和統一的受權視圖。

行雲管家堡壘機：支持將任意資源受權予用戶、用戶組或角色；能夠以受權組形式，顯式地進行資源受權----將資源與用戶（或用戶組、角色）顯式的進行關聯受權管理

紐盾堡壘機：支持將單個或一組資源受權予用戶或用戶組，無角色概念，受權欠清晰

Jumpserver堡壘機：支持將單個或一組資源受權予用戶或用戶組，無角色概念，受權欠清晰

訪問控制策略

行雲管家堡壘機：支持控制來源IP、訪問時段；登陸審批、指令審批；控制是否容許使用本地工具；控制主機操做動做（啓/停等）；控制文件傳輸；運維會話背景加水印

紐盾堡壘機：支持控制來源IP、訪問時段；命令過濾

Jumpserver堡壘機：命令過濾

資源訪問方式

行雲管家堡壘機：支持跳板機、Web桌面（終端）、本地工具，支持移動終端訪問（手機、平板等設備訪問有特別優化）

紐盾堡壘機：僅支持PC端的本地工具

Jumpserver堡壘機：支持跳板機、Web桌面（終端）

會話過程控制

行雲管家堡壘機：管理員可查看會話列表、進入並查看會話、剝奪會話控制權（鼠標/鍵盤輸入）、終斷會話

紐盾堡壘機：管理員可查看會話列表、進入並查看會話、終斷會話

Jumpserver堡壘機：管理員可查看會話列表、終斷會話

訪問審計

行雲管家堡壘機：訪問過程錄像回放、Windows指令審計，指令檢索、指令錄像定位

紐盾堡壘機：訪問過程錄像回放、指令檢索、指令錄像定位

Jumpserver堡壘機：訪問過程錄像回放

3. 操做體驗

行雲管家堡壘機：界面風格及提示友好，操做界面引導性強，無陌生詞，基本無需培訓（文檔）便可使用

紐盾堡壘機：界面風格略顯笨重，需培訓或文檔指引，界面操做缺少引導性（無嚮導）

Jumpserver堡壘機：界面風格基本友好，界面操做缺少引導性（無嚮導）

4. 產品價格

行雲管家堡壘機：有SaaS版，基礎版免費，根據資產規模有階梯式報價，私有部署版根據資產規模報價，資產規模梯級粒度較細

紐盾堡壘機：物理設備報價，價格梯級間差距略粗

Jumpserver堡壘機：爲開源產品，有商業版

5. 試用總結

經過測試試用發現，從堡壘機的安裝部署及維護角度來看，行雲管家執行一個腳本便可完成部署，無需手工安裝依賴組件，相對較容易部署和維護；從產品功能來看，幾款堡壘機基本可以知足公司當前的使用場景需求，但從向雲遷移這個需求角度來看，行雲管家更加適合；產品體驗方面來講，行雲管家特色比較突出，相對易用和友好，Jumpserver的界面也比較友好，只是其在引導性方面稍微欠缺。

爲了方便各位看官參考，對三款產品之間的差別以表格展列以下：

最後，提示一下，本文所述內容僅僅是做者自身對幾款產品的測試試用總結，其結果可能會由於產品版本不一樣、使用場景不一樣等緣由，而與各位看官得到的結果不一致，僅供參考！