堡壘機(jī)安全設(shè)備為網(wǎng)絡(luò)安全保駕護(hù)航

（文章來(lái)源：樂(lè)山網(wǎng)警巡查執(zhí)法）

隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴(kuò)大，IT系統(tǒng)日趨復(fù)雜，不同背景運(yùn)維人員的行為給信息系統(tǒng)安全帶來(lái)較大風(fēng)險(xiǎn)。

缺少統(tǒng)一的權(quán)限管理平臺(tái)，權(quán)限管理日趨繁重和無(wú)序;而且維護(hù)人員的權(quán)限大多是粗放管理，無(wú)法基于最小權(quán)限分配原則的用戶(hù)權(quán)限管理，難以實(shí)現(xiàn)更細(xì)粒度的命令級(jí)權(quán)限控制，系統(tǒng)安全性無(wú)法充分保證。無(wú)法制定統(tǒng)一的訪問(wèn)審計(jì)策略，審計(jì)粒度粗。各網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)是分別單獨(dú)審計(jì)記錄訪問(wèn)行為，由于沒(méi)有統(tǒng)一審計(jì)策略，并且各系統(tǒng)自身審計(jì)日志內(nèi)容深淺不一，難以及時(shí)通過(guò)系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證。

堡壘機(jī)是在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶(hù)的入侵和破壞，而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)，有效解決了運(yùn)維安全兩大難題。

堡壘機(jī)本質(zhì)上可以看作用于防御攻擊的計(jì)算機(jī)，又被稱(chēng)為"堡壘主機(jī)"。堡壘機(jī)是一個(gè)主機(jī)系統(tǒng)，其自身通常經(jīng)過(guò)了一定的加固，具有較高的安全性，可抵御一定的攻擊。堡壘機(jī)將需要保護(hù)的信息系統(tǒng)資源與安全威脅的來(lái)源進(jìn)行隔離，從而在被保護(hù)的資源前面形成一個(gè)堅(jiān)固的"堡壘"，并且在抵御威脅的同時(shí)又不影響普通用戶(hù)對(duì)資源的正常訪問(wèn)，堡壘機(jī)還集成了行為審計(jì)和權(quán)限控制，從而加強(qiáng)了對(duì)操作和安全的控制。

根據(jù)實(shí)際使用場(chǎng)景的不同和業(yè)務(wù)需要，堡壘機(jī)主要分為網(wǎng)關(guān)型堡壘機(jī)和運(yùn)維審計(jì)型堡壘機(jī)。網(wǎng)關(guān)型堡壘機(jī)網(wǎng)關(guān)型堡壘機(jī)主要部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，本身不直接向外部提供服務(wù)，而是作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，用于提供對(duì)內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問(wèn)控制。

網(wǎng)關(guān)型堡壘機(jī)不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開(kāi)來(lái)，除授權(quán)訪問(wèn)外，還可以過(guò)濾掉一些針對(duì)內(nèi)網(wǎng)的、來(lái)自應(yīng)用層以下的攻擊，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類(lèi)堡壘機(jī)需要處理應(yīng)用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進(jìn)出口處流量越來(lái)越大，部署在網(wǎng)關(guān)位置的堡壘機(jī)逐漸成為了性能瓶頸，因此，網(wǎng)關(guān)型的堡壘機(jī)逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。

運(yùn)維審計(jì)型堡壘機(jī)運(yùn)維審計(jì)型堡壘機(jī)，也被稱(chēng)作"內(nèi)控堡壘機(jī)"，這類(lèi)堡壘機(jī)也是當(dāng)前應(yīng)用最為普遍的一種。運(yùn)維審計(jì)型堡壘機(jī)被部署在內(nèi)網(wǎng)中服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對(duì)運(yùn)維人員的操作權(quán)限進(jìn)行控制和操作行為審計(jì)。運(yùn)維審計(jì)型堡壘機(jī)即解決了運(yùn)維人員權(quán)限難以控制混亂局面，又可對(duì)違規(guī)操作行為進(jìn)行控制和審計(jì)，而且由于運(yùn)維操作本身不會(huì)產(chǎn)生大規(guī)模的流量，堡壘機(jī)不會(huì)成為性能的瓶頸，所以堡壘機(jī)作為運(yùn)維操作審計(jì)的手段得到了快速發(fā)展。

運(yùn)維人員在操作過(guò)程中首先連接到堡壘機(jī)，然后向堡壘機(jī)提交操作請(qǐng)求，該請(qǐng)求通過(guò)堡壘機(jī)的權(quán)限檢查后，堡壘機(jī)的應(yīng)用代理模塊將代替用戶(hù)連接到目標(biāo)設(shè)備完成該操作，之后目標(biāo)設(shè)備將操作結(jié)果返回給堡壘機(jī)，最后堡壘機(jī)再將操作結(jié)果返回給運(yùn)維操作人員。

通過(guò)這種方式，堡壘機(jī)邏輯上將運(yùn)維人員與目標(biāo)設(shè)備隔離開(kāi)來(lái)，建立了從“運(yùn)維人員->堡壘機(jī)用戶(hù)賬號(hào)->授權(quán)->目標(biāo)設(shè)備賬號(hào)->目標(biāo)設(shè)備”的管理模式，解決操作權(quán)限控制和行為審計(jì)問(wèn)題的同時(shí)，也解決了加密協(xié)議和圖形協(xié)議等無(wú)法通過(guò)協(xié)議還原進(jìn)行審計(jì)的問(wèn)題。

堡壘機(jī)作為集中訪問(wèn)入口和操作審計(jì)的保障，提供了一套多維度的運(yùn)維操作權(quán)限管理與審計(jì)解決方案，使得管理人員可以全面對(duì)各種資源(如網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備和數(shù)據(jù)庫(kù)等)進(jìn)行集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和訪問(wèn)審計(jì)，幫助企業(yè)提升內(nèi)部風(fēng)險(xiǎn)控制水平。
? ? ? ?