初识堡垒机

文章目录

• • 1 堡垒机的定义
  • 2 堡垒机的作用
  • 3 堡垒机的类型（按应用场景划分）
  • 4 堡垒机工作流程
  • 5 堡垒机原理
  • 6 堡垒机的部署方式
  • 7 堡垒机的身份认证
  • 8 堡垒机的常见运维方式
  • 9 常见堡垒机的主要功能模块
  • 10 如何选择一款好的堡垒机产品

1 堡垒机的定义

以操作网关的模式，对运维操作进行集中管理。实现对运维人员的身份鉴别，权限控制，操作行为审计。
堡垒机的核心是可控及审计。
可控是指权限可控、行为可控。

2 堡垒机的作用

保障网络和数据不被外部入侵&内部破坏，运用堡垒机来监控运维人员对资源（主机/网络设备/数据库/安全设备）的操作行为，以便集中报警，及时处理，审计定责。事先防范，事中控制，事后溯源。

• 运维人员身份鉴别
• 用户访问权限控制
• 操作过程记录审计

3 堡垒机的类型（按应用场景划分）

• 第一代 跳板机

• 第二代 网关型堡垒机
  部署在内外网之间，不对外提供访问，作为进入内部网络的检查点，提供对内部特定资源的访问控制，会成为数据流量瓶颈，基本已淘汰。

• 第三代 运维审计型堡垒机（内控堡垒机）
  部署在内网资源前面，目前通用堡垒机为核心交换机旁路接入模式，物理上旁路、逻辑上串行，用户想要运维时，必须通过堡垒机进行跳转登录。这种堡垒机为通用模式，因为不修改网络拓朴并且可以实现SSO（Single Sign On，单点登录）、应用发布等多种功能，已经成为国内堡垒机的主流模式。
  

  
  1. 运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求；
  2. 该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。
  

  6 堡垒机的部署方式

  • 单机部署
    旁路部署，旁挂在交换机旁边，只要能访问所有设备即可。
    特点：
    旁路部署，逻辑串联。
    不影响现有网络结构。

  • 单活（HA主备）部署
    内部资产数量相对较少，单台堡垒机的性能就可以满足时就可以在客户网络中接入一台堡垒机进行审计。但是对于运维的连续性又有要求，不期望由于堡垒机的异常故障导致正常运维任务中断太长，可以部署热备保证系统的高可用性，避免单机故障引起的正常运维中断。。旁路部署两台堡垒机，中间有心跳线连接，同步数据。对外提供一个虚拟IP。
    

    
    特点：
    #两台硬件堡垒机，一主一备提供VIP。
    #当主机出现故障时，备机自动接管服务。
    #正在使用的运维审计系统在正常情况下的所有配置信息都会同步到热备机上面。当活动的运维审计系统突然发生故障，导致无法正常运维的时候，能够在很短的时间内立即切换到热备机，保证正常的运维工作。
    设备数量：至少2台。
    部署方式：物理旁路，逻辑网关。保证高可用，采用双机热备。
    部署条件：保证两个运维审计系统网络与访问服务器可达，协议开放，两台使用一个虚IP，访问虚IP即可。

  • 双活（主主）部署
    部分使用运维审计系统的客户，有两台运维审计系统来做运维审计。不用做热备部署，因为热备同时只有一台在工作。可以使用集群的方式来实现，但光是两台运维审计系统使用集群会导致中心节点无法实现负载均衡，需要手动访问这两台运维审计系统。可以在原有的集群上再加上一套第三方负载均衡服务器对访问运维审计系统的流量进行负载。如开源的LVS负载或者商用的F5、A10等产品。
    特点：
    两台运维审计系统双活部署，管理中心如果故障，会导致审计节点5分钟不能使用，这样整套运维审计体系就不能使用。我们可以对管理中心做HA，保证管理中心故障能够及时切换正常，保证整个系统正常运行。
    设备数量：至少2台。
    部署方式：物理旁路，逻辑网关。通过负载均衡分流访问管理中心或是审计节点。
    部署条件：运维审计系统、服务器和负载均衡网络可达，协议开放。

  • 本地自带负载集群部署（分布式部署）
    当需要管理的设备数量很多时，单台或少量的运维审计系统难以维持正常的运维工作，可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备，其他n-2台堡垒机作为集群审计节点，给主机上传同步数据，整个集群对外提供一个虚拟IP地址。集群中心对审计节点进行负载，审计节点做运维，集群中心对用户身份、设备账号、密码、权限及审计的统一管控。但是集群中心如果出现故障，会导致审计节点也无法工作。所以集群中心做HA，保证中心的高可用。
    

    
    特点：
    多地部署，异地配置自动同步。
    运维人员访问当地的堡垒机进行管理。
    不受网络/带宽影响，同时起到灾备目的。
    设备数量：至少6台(两地)
    关于第三方负载均衡，可通过以下两种模式进行支持：
    #配备单独的负载均衡产品(F5，A10)进行并发负载，将运维并发自动负载到节点设备，提供高性能支持。
    #通过DNS智能解析的方式进行负载，将审计系统中心和节点的IP绑定到一个域名，通过域名智能解析实现负载效果，访问系统时通过域名进行访问即可进行自动负载。
    部署方式：物理旁路，逻辑网关，中心与节点网络可达。通过集群中对所有审计节点的资产及配置进行统一管理。本地负载避免网络问题干扰，分摊运维流量，提高系统性能。
    部署条件：运维审计系统与服务器网络可达，协议开放。

  7 堡垒机的身份认证

  堡垒机主要就是为了做统一运维入口，所以登录堡垒机必须支持灵活的身份认证方式，比如：
  1、本地认证
  本地账号密码认证，一般支持强密码策略

  2、远程认证
  一般可支持第三方AD/LDAP/Radius认证

  3、双因子认证
  UsbKey、动态令牌、短信网关、手机APP令牌等

  4、第三方认证系统
  OAuth2.0、CAS等。

  8 堡垒机的常见运维方式

  B/S运维：通过浏览器运维。
  C/S运维：通过客户端软件运维，比如Xshell，CRT等。
  H5运维：直接在网页上可以打开远程桌面，进行运维。无需安装本地运维工具，只要有浏览器就可以对常用协议进行运维操作，支持ssh、telnet、rlogin、rdp、vnc协议。
  网关运维：采用SSH网关方式，实现代理直接登录目标主机，适用于运维自动化场景。

  9 常见堡垒机的主要功能模块

  1、运维平台
  RDP/VNC运维；SSH/Telnet运维；SFTP/FTP运维；数据库运维；Web系统运维；远程应用运维；

  2、管理平台
  三权分立；身份鉴别；主机管理；密码托管；运维监控；电子工单；

  3、自动化平台
  自动改密；自动运维；自动收集；自动授权；自动备份；自动告警；

  4、控制平台
  IP防火墙；命令防火墙；访问控制；传输控制；会话阻断；运维审批；

  5、审计平台
  命令记录；文字记录；SQL记录；文件保存；全文检索；审计报表；

  堡垒机的其他常见功能：
  文件传输：一般都是登录堡垒机，通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
  细粒度控制：可以对访问用户、命令、传输等进行精细化控制。
  支持开放的API。

  10 如何选择一款好的堡垒机产品

  一个好的运维审计堡垒机产品应实现对服务器、网络设备、安全设备等核心资产的运维管理账号的集中账号管理、集中认证和授权，通过单点登录，提供对操作行为的精细化管理和审计，达到运维管理简单、方便、可靠的目的。

  • 管理方便br> 应提供一套简单直观的账号管理、授权管理策略，管理员可快速方便地查找某个用户，查询修改访问权限；同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理，包括账号、口令等进行修改更新。
  • 可扩展性br> 当进行新系统建设或扩容时，需要增加新的设备到堡垒机时，系统应能方便的增加设备数量和设备种类。
  • 精细审计br> 针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷，系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计，提供对各种操作的精细授权管理和实时监控审计。
  • 审计可查br> 可实时监控和完整审计记录所有维护人员的操作行为；并能根据需求，方便快速的查找到用户的操作行为日志，以便追查取证。
  • 安全性br> 堡垒机自身需具备较高的安全性，须有冗余、备份措施，如日志自动备份等。
  • 部署方便br> 系统采用物理旁路，逻辑串联的模式，不需要改变网络拓扑结构，不需要在终端安装客户端软件，不改变管理员、运维人员的操作习惯，也不影响正常业务运行。

  来源：vera-linux

  声明：本站部分文章及图片转载于互联网，内容版权归原作者所有，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！