1. 软市首页
  2. 软件开发

初识堡垒机

软件开发

文章目录

    • 1 堡垒机的定义
    • 2 堡垒机的作用
    • 3 堡垒机的类型(按应用场景划分)
    • 4 堡垒机工作流程
    • 5 堡垒机原理
    • 6 堡垒机的部署方式
    • 7 堡垒机的身份认证
    • 8 堡垒机的常见运维方式
    • 9 常见堡垒机的主要功能模块
    • 10 如何选择一款好的堡垒机产品

1 堡垒机的定义

以操作 关的模式,对运维操作进行集中管理。实现对运维人员的身份鉴别,权限控制,操作行为审计
堡垒机的核心是可控及审计
可控是指权限可控、行为可控

2 堡垒机的作用

保障 络和数据不被外部入侵&内部破坏,运用堡垒机来监控运维人员对资源(主机/ 络设备/数据库/安全设备)的操作行为,以便集中 警,及时处理,审计定责。事先防范,事中控制,事后溯源。

  • 运维人员身份鉴别
  • 用户访问权限控制
  • 操作过程记录审计

3 堡垒机的类型(按应用场景划分)

  • 第一代 跳板机

  • 第二代 关型堡垒机
    部署在内外 之间,不对外提供访问,作为进入内部 络的检查点,提供对内部特定资源的访问控制,会成为数据流量瓶颈,基本已淘汰。

  • 第三代 运维审计型堡垒机(内控堡垒机)
    部署在内 资源前面,目前通用堡垒机为核心交换机旁路接入模式,物理上旁路、逻辑上串行,用户想要运维时,必须通过堡垒机进行跳转登录。这种堡垒机为通用模式,因为不修改 络拓朴并且可以实现SSO(Single Sign On,单点登录)、应用发布等多种功能,已经成为国内堡垒机的主流模式。

    1. 运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
    2. 该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。

    6 堡垒机的部署方式

    • 单机部署
      旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
      特点:
      旁路部署,逻辑串联。
      不影响现有 络结构。

    • 单活(HA主备)部署
      内部资产数量相对较少,单台堡垒机的性能就可以满足时就可以在客户 络中接入一台堡垒机进行审计。但是对于运维的连续性又有要求,不期望由于堡垒机的异常故障导致正常运维任务中断太长,可以部署热备保证系统的高可用性,避免单机故障引起的正常运维中断。。旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。

    • 双活(主主)部署
      部分使用运维审计系统的客户,有两台运维审计系统来做运维审计。不用做热备部署,因为热备同时只有一台在工作。可以使用集群的方式来实现,但光是两台运维审计系统使用集群会导致中心节点无法实现负载均衡,需要手动访问这两台运维审计系统。可以在原有的集群上再加上一套第三方负载均衡服务器对访问运维审计系统的流量进行负载。如开源的LVS负载或者商用的F5、A10等产品。
      特点:
      两台运维审计系统双活部署,管理中心如果故障,会导致审计节点5分钟不能使用,这样整套运维审计体系就不能使用。我们可以对管理中心做HA,保证管理中心故障能够及时切换正常,保证整个系统正常运行。
      设备数量:至少2台。
      部署方式:物理旁路,逻辑 关。通过负载均衡分流访问管理中心或是审计节点。
      部署条件:运维审计系统、服务器和负载均衡 络可达,协议开放。

    • 本地自带负载集群部署(分布式部署)
      当需要管理的设备数量很多时,单台或少量的运维审计系统难以维持正常的运维工作,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群审计节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。集群中心对审计节点进行负载,审计节点做运维,集群中心对用户身份、设备账 、密码、权限及审计的统一管控。但是集群中心如果出现故障,会导致审计节点也无法工作。所以集群中心做HA,保证中心的高可用。

    7 堡垒机的身份认证

    堡垒机主要就是为了做统一运维入口,所以登录堡垒机必须支持灵活的身份认证方式,比如:
    1、本地认证
    本地账 密码认证,一般支持强密码策略

    2、远程认证
    一般可支持第三方AD/LDAP/Radius认证

    3、双因子认证
    UsbKey、动态令牌、短信 关、手机APP令牌等

    4、第三方认证系统
    OAuth2.0、CAS等。

    8 堡垒机的常见运维方式

    B/S运维:通过浏览器运维。
    C/S运维:通过客户端软件运维,比如Xshell,CRT等。
    H5运维:直接在 页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议。
    关运维:采用SSH 关方式,实现代理直接登录目标主机,适用于运维自动化场景。

    9 常见堡垒机的主要功能模块

    1、运维平台
    RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;

    2、管理平台
    三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;

    3、自动化平台
    自动改密;自动运维;自动收集;自动授权;自动备份;自动告警;

    4、控制平台
    IP防火墙;命令防火墙;访问控制;传输控制;会话阻断;运维审批;

    5、审计平台
    命令记录;文字记录;SQL记录;文件保存;全文检索;审计 表;

    堡垒机的其他常见功能:
    文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
    细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
    支持开放的API。

    10 如何选择一款好的堡垒机产品

    一个好的运维审计堡垒机产品应实现对服务器、 络设备、安全设备等核心资产的运维管理账 的集中账 管理、集中认证和授权,通过单点登录,提供对操作行为的精细化管理和审计,达到运维管理简单、方便、可靠的目的。

    • 管理方便br> 应提供一套简单直观的账 管理、授权管理策略,管理员可快速方便地查找某个用户,查询修改访问权限;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账 、口令等进行修改更新。
    • 可扩展性br> 当进行新系统建设或扩容时,需要增加新的设备到堡垒机时,系统应能方便的增加设备数量和设备种类。
    • 精细审计br> 针对传统 络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷,系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。
    • 审计可查br> 可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的查找到用户的操作行为日志,以便追查取证。
    • 安全性br> 堡垒机自身需具备较高的安全性,须有冗余、备份措施,如日志自动备份等。
    • 部署方便br> 系统采用物理旁路,逻辑串联的模式,不需要改变 络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的操作习惯,也不影响正常业务运行。

    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2021年3月13日
下一篇 2021年3月13日

相关推荐

首页
软件超市
企服市场
会员中心