堡壘機(jī)，聽(tīng)起來(lái)就是一個(gè)夠酷的名字，有用戶笑言，聽(tīng)著名兒就覺(jué)著安全，就像大塊頭施瓦辛格一出現(xiàn)在電影鏡頭里就像終結(jié)者一樣。

那么，作為內(nèi)網(wǎng)安全的"終結(jié)者"，堡壘機(jī)究竟是個(gè)什么模樣。所謂"堡壘主機(jī)"(簡(jiǎn)稱"堡壘機(jī)")，就是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，具備很強(qiáng)安全防范能力。

[[402894]]

什么是堡壘機(jī)?

“堡壘主機(jī)"這個(gè)詞是有專門含義的概念，最初由美國(guó)Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。

他提出堡壘主機(jī)"是一個(gè)系統(tǒng)，作為網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵點(diǎn)，它由防火墻管理員來(lái)標(biāo)識(shí)”,“堡壘主機(jī)需要格外的注意自己的安全性，需要定期的審核，并擁有經(jīng)過(guò)修改的軟件”

通常，堡壘主機(jī)是一臺(tái)獨(dú)立應(yīng)用的主機(jī)。(這有點(diǎn)類似單用戶的單機(jī)操作)，它有極大的價(jià)值，可能蘊(yùn)含著用戶的敏感信息，經(jīng)常提供重要的網(wǎng)絡(luò)服務(wù);大部分時(shí)候它被防火墻保護(hù)，有的則直接裸露在外部網(wǎng)絡(luò)中。

其所承擔(dān)的服務(wù)大都極其重要，如銀行、證券、政府單位用來(lái)實(shí)現(xiàn)業(yè)務(wù)、發(fā)布信息的平臺(tái)。"堡壘主機(jī)"的工作特性要求達(dá)到高安全性。

早期堡壘主機(jī)，通常是指這樣一類提供特定網(wǎng)絡(luò)或應(yīng)用服務(wù)的計(jì)算機(jī)設(shè)備，其自身相對(duì)安全并可以防御一定程度的攻擊。作為安全但可公開(kāi)訪問(wèn)的計(jì)算機(jī)，堡壘主機(jī)通常部署于外圍網(wǎng)絡(luò)(也稱為DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏蔽子網(wǎng))面向公眾的一端。

這類堡壘主機(jī)不受防火墻或過(guò)濾路由器的保護(hù)，因此它們完全暴露在攻擊中。這類堡壘主機(jī)通常用作Web服務(wù)器、域名系統(tǒng)(DNS)服務(wù)器或文件傳輸(FTP)服務(wù)器等。

通過(guò)將這些必須開(kāi)放的服務(wù)部署在堡壘主機(jī)，而不是內(nèi)部網(wǎng)絡(luò)中，可以換取內(nèi)部網(wǎng)絡(luò)的安全。因?yàn)檫@些主機(jī)吸引了入侵者的注意力，也就相應(yīng)地減少了內(nèi)部網(wǎng)絡(luò)遭受安全攻擊的可能性和隨之帶來(lái)的風(fēng)險(xiǎn)。

[[402896]]

堡壘主機(jī)自身安全性的強(qiáng)化通常是通過(guò)禁用或刪除不必要的服務(wù)、協(xié)議、程序和網(wǎng)絡(luò)接口來(lái)實(shí)現(xiàn)的。也就是說(shuō)，堡壘主機(jī)往往僅提供極少的必要的服務(wù)，以期減少自身的安全漏洞。

另外一些可以提高自身安全性的手段則包括：采用安全操作系統(tǒng)、采取必要的身份認(rèn)證和嚴(yán)格的權(quán)限控制技術(shù)等。

堡壘機(jī)的常見(jiàn)運(yùn)維方式

• B/S運(yùn)維：通過(guò)瀏覽器運(yùn)維。
• C/S運(yùn)維：通過(guò)客戶端軟件運(yùn)維，比如Xshell，CRT等。
• H5運(yùn)維：直接在網(wǎng)頁(yè)上可以打開(kāi)遠(yuǎn)程桌面，進(jìn)行運(yùn)維。無(wú)需安裝本地運(yùn)維工具，只要有瀏覽器就可以對(duì)常用協(xié)議進(jìn)行運(yùn)維操作，支持ssh、telnet、rlogin、rdp、vnc協(xié)議
• 網(wǎng)關(guān)運(yùn)維：采用SSH網(wǎng)關(guān)方式，實(shí)現(xiàn)代理直接登錄目標(biāo)主機(jī)，適用于運(yùn)維自動(dòng)化場(chǎng)景。

堡壘機(jī)的其他常見(jiàn)功能

• 文件傳輸：一般都是登錄堡壘機(jī)，通過(guò)堡壘機(jī)中轉(zhuǎn)。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協(xié)議傳輸。
• 細(xì)粒度控制：可以對(duì)訪問(wèn)用戶、命令、傳輸?shù)冗M(jìn)行精細(xì)化控制。
• 支持開(kāi)放的API

堡壘機(jī)的部署方式

(1) 單機(jī)部署

堡壘機(jī)主要都是旁路部署，旁掛在交換機(jī)旁邊，只要能訪問(wèn)所有設(shè)備即可。

部署特定：

• 旁路部署，邏輯串聯(lián)。
• 不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

(2) HA高可靠部署

旁路部署兩臺(tái)堡壘機(jī)，中間有心跳線連接，同步數(shù)據(jù)。對(duì)外提供一個(gè)虛擬IP。

部署特點(diǎn)：

• 兩臺(tái)硬件堡壘機(jī)，一主一備/提供VIP。
• 當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。

(3) 異地同步部署

通過(guò)在多個(gè)數(shù)據(jù)中心部署多臺(tái)堡壘機(jī)。堡壘機(jī)之間進(jìn)行配置信息自動(dòng)同步。

部署特點(diǎn)：

• 多地部署，異地配置自動(dòng)同步
• 運(yùn)維人員訪問(wèn)當(dāng)?shù)氐谋緳C(jī)進(jìn)行管理
• 不受網(wǎng)絡(luò)/帶寬影響，同時(shí)祈禱災(zāi)備目的

(4) 集群部署(分布式部署)

當(dāng)需要管理的設(shè)備數(shù)量很多時(shí)，可以將n多臺(tái)堡壘機(jī)進(jìn)行集群部署。其中兩臺(tái)堡壘機(jī)一主一備，其他n-2臺(tái)堡壘機(jī)作為集群節(jié)點(diǎn)，給主機(jī)上傳同步數(shù)據(jù)，整個(gè)集群對(duì)外提供一個(gè)虛擬IP地址。

部署特點(diǎn)：

• 兩臺(tái)硬件堡壘機(jī)，一主一備、提供VIP
• 當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。