为什么说堡垒机是企业IT运维的“安全终结者”? 作为内网安全的"终结者",堡垒机究竟是个什么模样。所谓"堡垒主机"(简称"堡垒机"),就是一种被强化的可以防御进攻的计算机,具备很强安全防范能力。 |
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。
那么,作为内网安全的"终结者",堡垒机究竟是个什么模样。所谓"堡垒主机"(简称"堡垒机"),就是一种被强化的可以防御进攻的计算机,具备很强安全防范能力。
什么是堡垒机?“堡垒主机"这个词是有专门含义的概念,最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。
他提出堡垒主机"是一个系统,作为网络安全的一个关键点,它由防火墙管理员来标识”,“堡垒主机需要格外的注意自己的安全性,需要定期的审核,并拥有经过修改的软件”
通常,堡垒主机是一台独立应用的主机。(这有点类似单用户的单机操作),它有极大的价值,可能蕴含着用户的敏感信息,经常提供重要的网络服务;大部分时候它被防火墙保护,有的则直接裸露在外部网络中。
其所承担的服务大都极其重要,如银行、证券、政府单位用来实现业务、发布信息的平台。"堡垒主机"的工作特性要求达到高安全性。
早期堡垒主机,通常是指这样一类提供特定网络或应用服务的计算机设备,其自身相对安全并可以防御一定程度的***。作为安全但可公开访问的计算机,堡垒主机通常部署于外围网络(也称为DMZ、网络隔离区域或屏蔽子网)面向公众的一端。
这类堡垒主机不受防火墙或过滤路由器的保护,因此它们完全暴露在***中。这类堡垒主机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。
通过将这些必须开放的服务部署在堡垒主机,而不是内部网络中,可以换取内部网络的安全。因为这些主机吸引了***者的注意力,也就相应地减少了内部网络遭受安全***的可能性和随之带来的风险。
堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说,堡垒主机往往仅提供极少的必要的服务,以期减少自身的安全漏洞。
另外一些可以提高自身安全性的手段则包括:采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。
堡垒机的常见运维方式B/S运维:通过浏览器运维。
C/S运维:通过客户端软件运维,比如Xshell,CRT等。
H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议
网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
支持开放的API
堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
部署特定:
旁路部署,逻辑串联。
不影响现有网络结构。
旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。
部署特点:
两台硬件堡垒机,一主一备/提供VIP。
当主机出现故障时,备机自动接管服务。
通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。
部署特点:
多地部署,异地配置自动同步
运维人员访问当地的堡垒机进行管理
不受网络/带宽影响,同时祈祷灾备目的
当需要管理的设备数量很多时,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。
部署特点:
两台硬件堡垒机,一主一备、提供VIP
当主机出现故障时,备机自动接管服务。
本文地址:https://www.linuxprobe.com/it-software-breakpoint.html