BastionMachine听起来是个很酷的名字。有网友开玩笑说,一听到这个名字就觉得很有安全感,就像大个子施瓦辛格出现在电影摄影机里的样子就像终结者一样。那么,作为内网安全的“终结者”,堡垒机到底长什么样子。所谓“堡垒机”(简称“堡垒机”),就是经过强化防御攻击,具有强大安全能力的计算机。什么是堡垒主机?“堡垒主机”一词是一个具有特殊含义的概念。最初由美国人MarcusJ.Ranum在《ThinkingAboutFirewallsV2.0:BeyondPerimeterSecurity》一书中提出。他提出,堡垒机“是一个系统,作为网络安全的一个关键点,由防火墙管理员来识别”,“堡垒机需要格外注意自身的安全,需要定期审计,修改过软件"通常情况下,堡垒机是独立应用的主机。(这有点类似于单用户单机操作),具有很大的价值,可能包含用户的敏感信息,经常提供重要的网络服务;大部分时间有防火墙保护,有的直接暴露在外网。它所承接的大部分服务都是极其重要的,比如银行、证券、政府机构用来实现业务和发布信息的平台。“堡垒机”的工作特点要求安全性高。早期的堡垒主机通常是指这样一类提供特定网络或应用服务的计算机设备,比较安全,可以抵御一定程度的攻击。作为安全但可公开访问的计算机,堡垒主机通常部署在外围网络(也称为DMZ、非军事区或屏蔽子网)的面向公众的一端。此类堡垒主机没有防火墙或过滤路由器的保护,因此完全暴露在攻击之下。这类堡垒机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。通过将这些必须开通的服务部署在堡垒机上,而不是内网,内部网络的安全性是可以交换的。由于这些主机吸引了入侵者的注意,相应地降低了对内部网络进行安全攻击的可能性和由此带来的风险。堡垒机自身安全的加固通常是通过禁用或删除不需要的服务、协议、程序和网络接口来实现的。也就是说,堡垒机往往只提供最低限度的必要服务,以减少自身的安全漏洞。其他可以提高自身安全性的手段包括:采用安全的操作系统,采用必要的身份认证和严格的权限控制技术等。堡垒机B/S运维常用运维方式:通过浏览器运维.C/S运维:通过客户端软件运维,如Xshell、CRT等。H5运维:可以直接在网页打开远程桌面进行运维。无需安装本地运维工具,只要有浏览器即可对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议。运维自动化场景。堡垒机其他常用功能文件传输:一般登录堡垒机,通过堡垒机传输。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议进行传输。细粒度控制:可以对接入用户、命令、传输等进行细粒度控制支持开放API堡垒机的部署方式(1)单机部署堡垒机主要部署在旁路,挂在旁边交换机,只要它可以访问所有设备。特定于部署:旁路部署、逻辑串联。不影响现有网络结构。(2)HA高可靠部署,旁路部署两台堡垒机,中间有心跳连接同步数据。对外提供一个虚拟IP。部署特点:两台硬件堡垒机,一主一备/提供VIP。当主机出现故障时,备机自动接管服务。(3)远程同步部署,在多个数据中心部署多台堡垒机。配置信息在堡垒机之间自动同步。部署特点:多地部署,不同地点自动同步配置运维人员接入本地堡垒机进行管理,不受网络/带宽影响,同时祈求容灾(4)集群部署(分布式部署)当需要管理的设备较多时,集群中可以部署n台以上的堡垒机。其中两台堡垒机为主备,另外n-2台堡垒机作为集群节点向主机上传同步数据,整个集群对外提供虚拟IP地址。部署特点:两台硬件堡垒机,一主一备,提供VIP。当master出现故障时,backup会自动接管服务。
