堡壘機,聽起來就是一個夠酷的名字,有用戶笑言,聽着名兒就覺着安全,就像大塊頭施瓦辛格一出現在電影鏡頭裏就像終結者一樣。
那麼,作爲內網安全的"終結者",堡壘機究竟是個什麼模樣。所謂"堡壘主機"(簡稱"堡壘機"),就是一種被強化的可以防禦進攻的計算機,具備很強安全防範能力。
什麼是堡壘機?
“堡壘主機"這個詞是有專門含義的概念,最初由美國Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。
他提出堡壘主機"是一個系統,作爲網絡安全的一個關鍵點,它由防火牆管理員來標識”,“堡壘主機需要格外的注意自己的安全性,需要定期的審覈,並擁有經過修改的軟件”
通常,堡壘主機是一臺獨立應用的主機。(這有點類似單用戶的單機操作),它有極大的價值,可能蘊含着用戶的敏感信息,經常提供重要的網絡服務;大部分時候它被防火牆保護,有的則直接裸露在外部網絡中。
其所承擔的服務大都極其重要,如銀行、證券、政府單位用來實現業務、發佈信息的平臺。"堡壘主機"的工作特性要求達到高安全性。
早期堡壘主機,通常是指這樣一類提供特定網絡或應用服務的計算機設備,其自身相對安全並可以防禦一定程度的攻擊。作爲安全但可公開訪問的計算機,堡壘主機通常部署於外圍網絡(也稱爲DMZ、網絡隔離區域或屏蔽子網)面向公衆的一端。
這類堡壘主機不受防火牆或過濾路由器的保護,因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web服務器、域名系統(DNS)服務器或文件傳輸(FTP)服務器等。
通過將這些必須開放的服務部署在堡壘主機,而不是內部網絡中,可以換取內部網絡的安全。因爲這些主機吸引了入侵者的注意力,也就相應地減少了內部網絡遭受安全攻擊的可能性和隨之帶來的風險。
堡壘主機自身安全性的強化通常是通過禁用或刪除不必要的服務、協議、程序和網絡接口來實現的。也就是說,堡壘主機往往僅提供極少的必要的服務,以期減少自身的安全漏洞。
另外一些可以提高自身安全性的手段則包括:採用安全操作系統、採取必要的身份認證和嚴格的權限控制技術等。
堡壘機的常見運維方式
- B/S運維:通過瀏覽器運維。
- C/S運維:通過客戶端軟件運維,比如Xshell,CRT等。
- H5運維:直接在網頁上可以打開遠程桌面,進行運維。無需安裝本地運維工具,只要有瀏覽器就可以對常用協議進行運維操作,支持ssh、telnet、rlogin、rdp、vnc協議
- 網關運維:採用SSH網關方式,實現代理直接登錄目標主機,適用於運維自動化場景。
堡壘機的其他常見功能
- 文件傳輸:一般都是登錄堡壘機,通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。
- 細粒度控制:可以對訪問用戶、命令、傳輸等進行精細化控制。
- 支持開放的API
堡壘機的部署方式
1、單機部署
堡壘機主要都是旁路部署,旁掛在交換機旁邊,只要能訪問所有設備即可。
部署特定:
- 旁路部署,邏輯串聯。
- 不影響現有網絡結構。
2、HA高可靠部署
旁路部署兩臺堡壘機,中間有心跳線連接,同步數據。對外提供一個虛擬IP。
部署特點:
- 兩臺硬件堡壘機,一主一備/提供VIP。
- 當主機出現故障時,備機自動接管服務。
3、異地同步部署
通過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。
部署特點:
- 多地部署,異地配置自動同步
- 運維人員訪問當地的堡壘機進行管理
- 不受網絡/帶寬影響,同時祈禱災備目的
4、集羣部署(分佈式部署)
當需要管理的設備數量很多時,可以將n多臺堡壘機進行集羣部署。其中兩臺堡壘機一主一備,其他n-2臺堡壘機作爲集羣節點,給主機上傳同步數據,整個集羣對外提供一個虛擬IP地址。
部署特點:
- 兩臺硬件堡壘機,一主一備、提供VIP
- 當主機出現故障時,備機自動接管服務。