在工作的中经常需要是使用的堡垒机和跳板机,应为公司是内网的状态。但是很多同学对这个没有一个清楚的认识,所以本文将介绍有关于跳板机和堡垒机的相关知识。
一、跳板机(相当于getway)跳板机:在物理上就是一台计算机,跳板机也称为前置机,是一台可以访问的服务器,再通过这台服务器去访问别的机器。跳板机可以是Linux系统,也可以是Windows系统。
用到跳板机的场景通常是由于网络原因,服务器无法连接,所以提供一台可以连接的服务器,而这台服务器可以连接服务器,这样,这台服务器就承担了一个跳板的角色。
二、堡垒机(运维安全审计系统)堡垒机不仅仅是一台机器!运维堡垒主机是种具备强大防御功能和安全审计功能的服务器。基于跳板机理念,作为内外网络的个安全审计监测点,以达到把所有网站安全问题集中到某台服务器上解决,从而省时省力。同时运维堡垒主机还具备了,对运维人员的远程登录进行集中管理的功能作用。简单来说,堡垒机是用来控制哪些人可以登录哪些资源,录像记录登录资源后做了什么事情。
堡垒机:也叫做运维安全审计系统,它的核心功能是4A:
- 身份验证 Authentication
- 账号管理 Account
- 授权控制 Authorization
- 安全审计 Audit
-
运维平台:RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;
-
管理平台:三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;
-
自动化平台:自动改密;自动运维;自动收集;自动授权;自动备份;自动告警;
-
控制平台:IP防火墙;命令防火墙;访问控制;传输控制;会话阻断;运维审批;
-
审计平台:命令记录;文字记录;SQL记录;文件保存;全文检索;审计报表;
堡垒机主要就是为了做统一运维入口,所以登录堡垒机就支持灵活的身份认证方式:
- 本地认证:本地账号密码认证,一般支持强密码策略
- 远程认证:一般可支持第三方AD/LDAP/Radius认证
- 双因子认证:UsbKey、动态令牌、短信网关、手机APP令牌等
- 第三方认证系统:OAuth2.0、CAS等。
-
B/S运维:通过浏览器运维。
-
C/S运维:通过客户端软件运维,比如Xshell,CRT等。
-
H5运维:直接在网页上可以打开远程桌面,进行运维。
-
无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议
-
网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
- 文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
- 细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
- 支持开放的API
堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
部署特定:
- 旁路部署,逻辑串联。
- 不影响现有网络结构。
旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。
部署特点:
- 两台硬件堡垒机,一主一备/提供VIP。
- 当主机出现故障时,备机自动接管服务。
通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。
部署特点:
- 多地部署,异地配置自动同步
- 运维人员访问当地的堡垒机进行管理
- 不受网络/带宽影响,同时祈祷灾备目的
当需要管理的设备数量很多时,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。
部署特点:
- 两台硬件堡垒机,一主一备、提供VIP
- 当主机出现故障时,备机自动接管服务。
堡垒机是什么?堡垒机的功能和作用详解-郑州冰川网络技术有限公司
堡垒机是干什么的? - 知乎
堡垒机(运维审计系统)的基本原理与部署方式 | 曹世宏的博客
https://segmentfault.com/q/1010000010948194
