信息化觀察網(wǎng)

堡壘機(jī)，聽起來就是一個(gè)夠酷的名字，有用戶笑言，聽著名兒就覺著安全，就像大塊頭施瓦辛格一出現(xiàn)在電影鏡頭里就像終結(jié)者一樣。

那么，作為內(nèi)網(wǎng)安全的"終結(jié)者",堡壘機(jī)究竟是個(gè)什么模樣。所謂"堡壘主機(jī)"（簡(jiǎn)稱"堡壘機(jī)"），就是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，具備很強(qiáng)安全防范能力。

什么是堡壘機(jī)？

“堡壘主機(jī)"這個(gè)詞是有專門含義的概念，最初由美國(guó)Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。

他提出堡壘主機(jī)"是一個(gè)系統(tǒng)，作為網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵點(diǎn)，它由防火墻管理員來標(biāo)識(shí)”,“堡壘主機(jī)需要格外的注意自己的安全性，需要定期的審核，并擁有經(jīng)過修改的軟件”

通常，堡壘主機(jī)是一臺(tái)獨(dú)立應(yīng)用的主機(jī)。（這有點(diǎn)類似單用戶的單機(jī)操作），它有極大的價(jià)值，可能蘊(yùn)含著用戶的敏感信息，經(jīng)常提供重要的網(wǎng)絡(luò)服務(wù)；大部分時(shí)候它被防火墻保護(hù)，有的則直接裸露在外部網(wǎng)絡(luò)中。

其所承擔(dān)的服務(wù)大都極其重要，如銀行、證券、政府單位用來實(shí)現(xiàn)業(yè)務(wù)、發(fā)布信息的平臺(tái)。"堡壘主機(jī)"的工作特性要求達(dá)到高安全性。

早期堡壘主機(jī)，通常是指這樣一類提供特定網(wǎng)絡(luò)或應(yīng)用服務(wù)的計(jì)算機(jī)設(shè)備，其自身相對(duì)安全并可以防御一定程度的攻擊。作為安全但可公開訪問的計(jì)算機(jī)，堡壘主機(jī)通常部署于外圍網(wǎng)絡(luò)（也稱為DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏蔽子網(wǎng)）面向公眾的一端。

這類堡壘主機(jī)不受防火墻或過濾路由器的保護(hù)，因此它們完全暴露在攻擊中。這類堡壘主機(jī)通常用作Web服務(wù)器、域名系統(tǒng)（DNS）服務(wù)器或文件傳輸（FTP）服務(wù)器等。

通過將這些必須開放的服務(wù)部署在堡壘主機(jī)，而不是內(nèi)部網(wǎng)絡(luò)中，可以換取內(nèi)部網(wǎng)絡(luò)的安全。因?yàn)檫@些主機(jī)吸引了入侵者的注意力，也就相應(yīng)地減少了內(nèi)部網(wǎng)絡(luò)遭受安全攻擊的可能性和隨之帶來的風(fēng)險(xiǎn)。

堡壘主機(jī)自身安全性的強(qiáng)化通常是通過禁用或刪除不必要的服務(wù)、協(xié)議、程序和網(wǎng)絡(luò)接口來實(shí)現(xiàn)的。也就是說，堡壘主機(jī)往往僅提供極少的必要的服務(wù)，以期減少自身的安全漏洞。

另外一些可以提高自身安全性的手段則包括：采用安全操作系統(tǒng)、采取必要的身份認(rèn)證和嚴(yán)格的權(quán)限控制技術(shù)等。

堡壘機(jī)的常見運(yùn)維方式

B/S運(yùn)維：通過瀏覽器運(yùn)維。

C/S運(yùn)維：通過客戶端軟件運(yùn)維，比如Xshell，CRT等。

H5運(yùn)維：直接在網(wǎng)頁上可以打開遠(yuǎn)程桌面，進(jìn)行運(yùn)維。無需安裝本地運(yùn)維工具，只要有瀏覽器就可以對(duì)常用協(xié)議進(jìn)行運(yùn)維操作，支持ssh、telnet、rlogin、rdp、vnc協(xié)議

網(wǎng)關(guān)運(yùn)維：采用SSH網(wǎng)關(guān)方式，實(shí)現(xiàn)代理直接登錄目標(biāo)主機(jī)，適用于運(yùn)維自動(dòng)化場(chǎng)景。

堡壘機(jī)的其他常見功能

文件傳輸：一般都是登錄堡壘機(jī)，通過堡壘機(jī)中轉(zhuǎn)。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協(xié)議傳輸。

細(xì)粒度控制：可以對(duì)訪問用戶、命令、傳輸?shù)冗M(jìn)行精細(xì)化控制。

支持開放的API

堡壘機(jī)的部署方式

1、單機(jī)部署

堡壘機(jī)主要都是旁路部署，旁掛在交換機(jī)旁邊，只要能訪問所有設(shè)備即可。

部署特定：

旁路部署，邏輯串聯(lián)。

不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

2、HA高可靠部署

旁路部署兩臺(tái)堡壘機(jī)，中間有心跳線連接，同步數(shù)據(jù)。對(duì)外提供一個(gè)虛擬IP。

部署特點(diǎn)：

兩臺(tái)硬件堡壘機(jī)，一主一備/提供VIP。

當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。

3、異地同步部署

通過在多個(gè)數(shù)據(jù)中心部署多臺(tái)堡壘機(jī)。堡壘機(jī)之間進(jìn)行配置信息自動(dòng)同步。

部署特點(diǎn)：

多地部署，異地配置自動(dòng)同步

運(yùn)維人員訪問當(dāng)?shù)氐谋緳C(jī)進(jìn)行管理

不受網(wǎng)絡(luò)/帶寬影響，同時(shí)祈禱災(zāi)備目的

4、集群部署（分布式部署）

當(dāng)需要管理的設(shè)備數(shù)量很多時(shí)，可以將n多臺(tái)堡壘機(jī)進(jìn)行集群部署。其中兩臺(tái)堡壘機(jī)一主一備，其他n-2臺(tái)堡壘機(jī)作為集群節(jié)點(diǎn)，給主機(jī)上傳同步數(shù)據(jù)，整個(gè)集群對(duì)外提供一個(gè)虛擬IP地址。

部署特點(diǎn)：

兩臺(tái)硬件堡壘機(jī)，一主一備、提供VIP

當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。