堡壘機和防火牆的區別是什麼？能防刪庫跑路嗎？

防火牆是計算機的一種安全技術，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，在IT運維領域，堡壘機作為內部網路的檢查點，其功能與防火牆似乎相似但又有區別。

什麼是防火牆呢？

防火牆（Firewall），也稱防護牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際網際網路，它是一種位於內部網路與外部網路之間的網路安全防護系統，是一種隔離技術，允許或是限制傳輸的資料通過。

基於TCP/IP協議，主要分為主機型防火牆和網路型防火牆，防火牆規則通常依據IP addresses、Domain names、Protocols、Programs、Port等制定，這樣就能過濾掉一些來自Internet上的黑客攻擊、木馬病毒侵入風險，它能允許你“同意”的人和資料進入你的網路，同時將你“不同意”的人和資料拒之門外。

換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通訊。

堡壘機又是什麼？

“堡壘機”其實是運維審計系統的俗稱，保障伺服器網路和資料不受來自外部和內部使用者的入侵和破壞，主要是對運維人員的運維操作進行安全審計和許可權控制，核心功能遵循4A設計理念規範：身份驗證 Authentication、賬號管理 Account、授權控制 Authorization、安全審計 Audit。

作為伺服器的看門人，堡壘機嚴格管控的能力很強大，能很大程度的攔截非法訪問、惡意攻擊等不法行為，對高危指令進行命令阻斷，過濾掉所有對目標裝置的非法執行行為，並對內部人員的失誤操作與非法操作進行安全審計監控。

可用來控制哪些人可以登入哪些資產（事前授權、事中監察），以及錄影記錄登入資產後做了什麼事情（事後審計），確保企業網路裝置、伺服器資源的安全，規範企業網路管理合理化、專業化。

同是保護計算機和網路的安全，那麼防火牆和堡壘機的區別在哪？

防禦物件不同：防火牆是私有網路與公網之間的門衛，堡壘機是內部運維人員與私網之間的門衛。

防禦作用不同：防火牆牆所起的作用是隔斷，無論誰都過不去，但堡壘機就不一樣，他的職能是檢查和判斷是否可以通過，只要符合條件就可以通過，是一種被強化的可以主動防禦進攻的系統。

其實，市面上一般的堡壘機無法阻止刪庫跑路事件的發生!

鑑於經常發生的刪庫跑路事件，可以看出市面上大多數的堡壘機只有被動防禦的功能，對rm -rf / tmp 、drop database、delete、kill -9等高危指令的執行，管控能力不足。

作為雲端計算新時代的堡壘機——行雲管家雲堡壘機，提供了從主機運維策略、自動化流程工單、監控告警等一體化的強大運維能力及安全管控能力，可通過建立主機運維策略組與關聯裝置進行關聯，實現對關聯主機上所執行的高危指令進行自定義處理，通過資料庫訪問方案實現SQL語句的審批，並由工單流程批量放行。

行雲管家堡壘機是以“黑匣子”的形式，從旁路對運維操作進行日誌記錄，不影響運維操作，且其審計日誌記錄不可刪除、不可篡改，使得運維操作可回溯、可追蹤。事前授權，以最小許可權原則將裝置授權予使用者操作，事中通過自定義運維 操作及指令策略，設定申請審批工單流程, 阻止並避免危險、違規操作，事後提供“錄影/指令”雙重審計的形式進行精準高效的運維審計。