為什么說堡壘機是企業IT運維的“安全終結者”?
堡壘機,聽起來就是一個夠酷的名字,有用戶笑言,聽著名兒就覺著安全,就像大塊頭施瓦辛格一出現在電影鏡頭里就像終結者一樣。
那么,作為內網安全的"終結者",堡壘機究竟是個什么模樣。所謂"堡壘主機"(簡稱"堡壘機"),就是一種被強化的可以防御進攻的計算機,具備很強安全防范能力。
什么是堡壘機?
“堡壘主機"這個詞是有專門含義的概念,最初由美國Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。
他提出堡壘主機"是一個系統,作為網絡安全的一個關鍵點,它由防火墻管理員來標識”,“堡壘主機需要格外的注意自己的安全性,需要定期的審核,并擁有經過修改的軟件”
通常,堡壘主機是一臺獨立應用的主機。(這有點類似單用戶的單機操作),它有極大的價值,可能蘊含著用戶的敏感信息,經常提供重要的網絡服務;大部分時候它被防火墻保護,有的則直接裸露在外部網絡中。
其所承擔的服務大都極其重要,如銀行、證券、政府單位用來實現業務、發布信息的平臺。"堡壘主機"的工作特性要求達到高安全性。
早期堡壘主機,通常是指這樣一類提供特定網絡或應用服務的計算機設備,其自身相對安全并可以防御一定程度的攻擊。作為安全但可公開訪問的計算機,堡壘主機通常部署于外圍網絡(也稱為DMZ、網絡隔離區域或屏蔽子網)面向公眾的一端。
這類堡壘主機不受防火墻或過濾路由器的保護,因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web服務器、域名系統(DNS)服務器或文件傳輸(FTP)服務器等。
通過將這些必須開放的服務部署在堡壘主機,而不是內部網絡中,可以換取內部網絡的安全。因為這些主機吸引了入侵者的注意力,也就相應地減少了內部網絡遭受安全攻擊的可能性和隨之帶來的風險。
堡壘主機自身安全性的強化通常是通過禁用或刪除不必要的服務、協議、程序和網絡接口來實現的。也就是說,堡壘主機往往僅提供極少的必要的服務,以期減少自身的安全漏洞。
另外一些可以提高自身安全性的手段則包括:采用安全操作系統、采取必要的身份認證和嚴格的權限控制技術等。
堡壘機的常見運維方式
- B/S運維:通過瀏覽器運維。
- C/S運維:通過客戶端軟件運維,比如Xshell,CRT等。
- H5運維:直接在網頁上可以打開遠程桌面,進行運維。無需安裝本地運維工具,只要有瀏覽器就可以對常用協議進行運維操作,支持ssh、telnet、rlogin、rdp、vnc協議
- 網關運維:采用SSH網關方式,實現代理直接登錄目標主機,適用于運維自動化場景。
堡壘機的其他常見功能
- 文件傳輸:一般都是登錄堡壘機,通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。
- 細粒度控制:可以對訪問用戶、命令、傳輸等進行精細化控制。
- 支持開放的API
堡壘機的部署方式
(1) 單機部署
堡壘機主要都是旁路部署,旁掛在交換機旁邊,只要能訪問所有設備即可。
部署特定:
- 旁路部署,邏輯串聯。
- 不影響現有網絡結構。
(2) HA高可靠部署
旁路部署兩臺堡壘機,中間有心跳線連接,同步數據。對外提供一個虛擬IP。
部署特點:
- 兩臺硬件堡壘機,一主一備/提供VIP。
- 當主機出現故障時,備機自動接管服務。
(3) 異地同步部署
通過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。
部署特點:
- 多地部署,異地配置自動同步
- 運維人員訪問當地的堡壘機進行管理
- 不受網絡/帶寬影響,同時祈禱災備目的
(4) 集群部署(分布式部署)
當需要管理的設備數量很多時,可以將n多臺堡壘機進行集群部署。其中兩臺堡壘機一主一備,其他n-2臺堡壘機作為集群節點,給主機上傳同步數據,整個集群對外提供一個虛擬IP地址。
部署特點:
- 兩臺硬件堡壘機,一主一備、提供VIP
- 當主機出現故障時,備機自動接管服務。
