您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

为什么说堡垒机是企业IT运维的“安全终结者”?

时间:2021-08-26 11:08:39  来源:  作者:IT技术管理那些事儿

堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。

为什么说堡垒机是企业IT运维的“安全终结者”?

 

那么,作为内网安全的"终结者",堡垒机究竟是个什么模样。所谓"堡垒主机"(简称"堡垒机"),就是一种被强化的可以防御进攻的计算机,具备很强安全防范能力。

什么是堡垒机?

“堡垒主机"这个词是有专门含义的概念,最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。

他提出堡垒主机"是一个系统,作为网络安全的一个关键点,它由防火墙管理员来标识”,“堡垒主机需要格外的注意自己的安全性,需要定期的审核,并拥有经过修改的软件”

通常,堡垒主机是一台独立应用的主机。(这有点类似单用户的单机操作),它有极大的价值,可能蕴含着用户的敏感信息,经常提供重要的网络服务;大部分时候它被防火墙保护,有的则直接裸露在外部网络中。

为什么说堡垒机是企业IT运维的“安全终结者”?

 

其所承担的服务大都极其重要,如银行、证券、政府单位用来实现业务、发布信息的平台。"堡垒主机"的工作特性要求达到高安全性。

早期堡垒主机,通常是指这样一类提供特定网络或应用服务的计算机设备,其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机,堡垒主机通常部署于外围网络(也称为DMZ、网络隔离区域或屏蔽子网)面向公众的一端。

这类堡垒主机不受防火墙或过滤路由器的保护,因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。

通过将这些必须开放的服务部署在堡垒主机,而不是内部网络中,可以换取内部网络的安全。因为这些主机吸引了入侵者的注意力,也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。

堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说,堡垒主机往往仅提供极少的必要的服务,以期减少自身的安全漏洞。

另外一些可以提高自身安全性的手段则包括:采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。

堡垒机的常见运维方式

  • B/S运维:通过浏览器运维。
  • C/S运维:通过客户端软件运维,比如Xshell,CRT等。
  • H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议
  • 网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
为什么说堡垒机是企业IT运维的“安全终结者”?

 

堡垒机的其他常见功能

  • 文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
  • 细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
  • 支持开放的API

堡垒机的部署方式

1、单机部署

堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。

部署特定:

  • 旁路部署,逻辑串联。
  • 不影响现有网络结构。

2、HA高可靠部署

旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。

部署特点:

  • 两台硬件堡垒机,一主一备/提供VIP。
  • 当主机出现故障时,备机自动接管服务。

3、异地同步部署

通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。

部署特点:

  • 多地部署,异地配置自动同步
  • 运维人员访问当地的堡垒机进行管理
  • 不受网络/带宽影响,同时祈祷灾备目的

4、集群部署(分布式部署)

当需要管理的设备数量很多时,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。

部署特点:

  • 两台硬件堡垒机,一主一备、提供VIP
  • 当主机出现故障时,备机自动接管服务。


Tags:堡垒机   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。 那么,作为内网安全的"终结者",堡垒机究竟是个什么模样...【详细内容】
2021-08-26  Tags: 堡垒机  点击:(76)  评论:(0)  加入收藏
我最近安装了一款小巧开源免费的堡垒机Teleport,简单小巧,可以满足审计和远程运维的刚需,教程如下开源免费堡垒机Teleport,轻量级审计远程运维神器可添加Windows和Linux主机SSH...【详细内容】
2021-03-05  Tags: 堡垒机  点击:(191)  评论:(0)  加入收藏
测试推荐环境· CPU: 64位双核处理器· 内存: 4G DDR3· 数据库:mysql 版本大于等于 5.6 mariadb 版本大于等于 5.5.6环境· 系统: CentOS 7&middo...【详细内容】
2020-12-30  Tags: 堡垒机  点击:(434)  评论:(0)  加入收藏
JumpServer 是完全开源的堡垒机。硬件配置: 2个CPU核心, 4G 内存, 50G 硬盘(最低)(注:使用 Python / Django 进行开发,需要python3以上环境)一键脚本安装:curl -sSL https://github...【详细内容】
2020-07-12  Tags: 堡垒机  点击:(395)  评论:(0)  加入收藏
​Teleport是一款简单易用的堡垒机系统,具有小巧、易用的特点,支持 RDP/SSH/SFTP/Telnet 协议的远程连接和审计管理。Teleport由两大部分构成: 跳板核心服务 WEB操作界面Tele...【详细内容】
2020-07-03  Tags: 堡垒机  点击:(368)  评论:(0)  加入收藏
测试推荐环境· CPU: 64位双核处理器· 内存: 4G DDR3· 数据库:mysql 版本大于等于 5.6 mariadb 版本大于等于 5.5.6环境· 系统: CentOS 7&middo...【详细内容】
2019-08-26  Tags: 堡垒机  点击:(659)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获...【详细内容】
2021-12-27  Kali与编程    Tags:勒索病毒   点击:(3)  评论:(0)  加入收藏
一、SQL注入漏洞SQL 注入攻击( SQL Injection ),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串...【详细内容】
2021-12-10  华清信安    Tags:Web漏洞   点击:(23)  评论:(0)  加入收藏
AD域是目前大型企业常用的内网管理方案,但随着近年来实网演习的常态化和不断深入,AD域安全越来越得到企业的重视。不论是在演练还是在真实的高级攻击场景中,在复盘中可以看出,大...【详细内容】
2021-10-27    中国信息安全  Tags:AD域   点击:(38)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13    九派教育  Tags:网络安全   点击:(49)  评论:(0)  加入收藏
拓扑环境 Kali Linux(攻击机) Centos6.4(web服务器) win7(域成员主机无法上网) win2008R2(域控无法上网) 目的通过Kali Linux拿到域控权限2021最新整理网络安全\渗透测试/安全学习(全...【详细内容】
2021-09-17  KaliMa    Tags:内网渗透   点击:(84)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  KaliMa    Tags:内网渗透   点击:(46)  评论:(0)  加入收藏
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。 那么,作为内网安全的"终结者",堡垒机究竟是个什么模样...【详细内容】
2021-08-26  IT技术管理那些事儿    Tags:堡垒机   点击:(76)  评论:(0)  加入收藏
1、VMware Workstation Pro 16: https://download3.vmware.com/software/wkst/file/VMware-workstation-full-16.1.0-17198959.exe VMware Workstation Pro 15【建议】 ht...【详细内容】
2021-08-25  Kali与编程    Tags:虚拟机软件   点击:(71)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  知了堂    Tags:网络安全   点击:(72)  评论:(0)  加入收藏
入侵一些网站,电脑,制作一些病毒,学会多项编程,这是一个普通黑客都会的技能,那么真正黑客能厉害到什么程度呢?除了勒索病毒,熊猫烧香等自动感染的病毒被大家熟知外,还有更厉害的骚操...【详细内容】
2021-08-19  IT技术管理那些事儿    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条