那麼,作為內網安全的"終結者",堡壘機究竟是個什麼模樣。所謂"堡壘主機"(簡稱"堡壘機"),就是一種被強化的可以防禦進攻的計算機,具備很強安全防範能力。
什麼是堡壘機?
“堡壘主機"這個詞是有專門含義的概念,最初由美國Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。
他提出堡壘主機"是一個系統,作為網路安全的一個關鍵點,它由防火牆管理員來標識”,“堡壘主機需要格外的注意自己的安全性,需要定期的稽核,並擁有經過修改的軟體”
通常, 堡壘主機是一臺能獨立應用的主機 。(這有點類似單使用者的單機操作),它有極大的價值,可能蘊含著使用者的敏感資訊,經常提供重要的網路服務;大部分時候它被防火牆保護,有的則直接裸露在外部網路中。
其所承擔的服務大都極其重要,如銀行、證券、政府單位用來實現業務、釋出資訊的平臺。"堡壘主機"的工作特性要求達到高安全性。
早期堡壘主機,通常是指這樣一類提供特定網路或應用服務的計算機裝置,其自身相對安全並可以防禦一定程度的攻擊。作為安全但可公開訪問的計算機,堡壘主機通常部署於外圍網路(也稱為DMZ、網路隔離區域或遮蔽子網)面向公眾的一端。
這類堡壘主機不受防火牆或過濾路由器的保護,因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web伺服器、域名系統(DNS)伺服器或檔案傳輸(FTP)伺服器等。
透過將這些必須開放的服務部署在堡壘主機,而不是內部網路中,可以換取內部網路的安全。因為這些主機吸引了入侵者的注意力,也就相應地減少了內部網路遭受安全攻擊的可能性和隨之帶來的風險。
堡壘主機自身安全性的強化通常是透過禁用或刪除不必要的服務、協議、程式和網路介面來實現的。也就是說,堡壘主機往往僅提供極少的必要的服務,以期減少自身的安全漏洞。
另外一些可以提高自身安全性的手段則包括:採用安全作業系統、採取必要的身份認證和嚴格的許可權控制技術等。
堡壘機的常見運維方式
- B/S運維:透過瀏覽器運維。
- C/S運維:透過客戶端軟體運維,比如Xshell,CRT等。
- H5運維:直接在網頁上可以開啟遠端桌面,進行運維。無需安裝本地運維工具,只要有瀏覽器就可以對常用協議進行運維操作,支援ssh、telnet、rlogin、rdp、vnc協議
- 閘道器運維:採用SSH閘道器方式,實現代理直接登入目標主機,適用於運維自動化場景。
堡壘機的其他常見功能
- 檔案傳輸:一般都是登入堡壘機,透過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。
- 細粒度控制:可以對訪問使用者、命令、傳輸等進行精細化控制。
- 支援開放的API
堡壘機的部署方式
1、單機部署
堡壘機主要都是旁路部署,旁掛在交換機旁邊,只要能訪問所有裝置即可。
部署特定:
- 旁路部署,邏輯串聯。
- 不影響現有網路結構。
2、HA高可靠部署
旁路部署兩臺堡壘機,中間有心跳線連線,同步資料。對外提供一個虛擬IP。
部署特點:
- 兩臺硬體堡壘機,一主一備/提供VIP。
- 當主機出現故障時,備機自動接管服務。
3、異地同步部署
透過在多個資料中心部署多臺堡壘機。堡壘機之間進行配置資訊自動同步。
部署特點:
- 多地部署,異地配置自動同步
- 運維人員訪問當地的堡壘機進行管理
- 不受網路/頻寬影響,同時祈禱災備目的
4、叢集部署(分散式部署)
當需要管理的裝置數量很多時,可以將n多臺堡壘機進行叢集部署。其中兩臺堡壘機一主一備,其他n-2臺堡壘機作為叢集節點,給主機上傳同步資料,整個叢集對外提供一個虛擬IP地址。
部署特點:
- 兩臺硬體堡壘機,一主一備、提供VIP
- 當主機出現故障時,備機自動接管服務。