企业IT运维的“安全终结者”-堡垒机指南
|
为什么说堡垒机是企业IT运维的“安全终结者”? 作为内网安全的"终结者",堡垒机究竟是个什么模样。所谓"堡垒主机"(简称"堡垒机"),就是一种被强化的可以防御进攻的计算机,具备很强安全防范能力。 |
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。
那么,作为内网安全的"终结者",堡垒机究竟是个什么模样。所谓"堡垒主机"(简称"堡垒机"),就是一种被强化的可以防御进攻的计算机,具备很强安全防范能力。
什么是堡垒机?
“堡垒主机"这个词是有专门含义的概念,最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。
他提出堡垒主机"是一个系统,作为网络安全的一个关键点,它由防火墙管理员来标识”,“堡垒主机需要格外的注意自己的安全性,需要定期的审核,并拥有经过修改的软件”
通常,堡垒主机是一台独立应用的主机。(这有点类似单用户的单机操作),它有极大的价值,可能蕴含着用户的敏感信息,经常提供重要的网络服务;大部分时候它被防火墙保护,有的则直接裸露在外部网络中。
其所承担的服务大都极其重要,如银行、证券、政府单位用来实现业务、发布信息的平台。"堡垒主机"的工作特性要求达到高安全性。
早期堡垒主机,通常是指这样一类提供特定网络或应用服务的计算机设备,其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机,堡垒主机通常部署于外围网络(也称为DMZ、网络隔离区域或屏蔽子网)面向公众的一端。
这类堡垒主机不受防火墙或过滤路由器的保护,因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。
通过将这些必须开放的服务部署在堡垒主机,而不是内部网络中,可以换取内部网络的安全。因为这些主机吸引了入侵者的注意力,也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。
堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说,堡垒主机往往仅提供极少的必要的服务,以期减少自身的安全漏洞。
另外一些可以提高自身安全性的手段则包括:采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。
堡垒机的常见运维方式
B/S运维:通过浏览器运维。
C/S运维:通过客户端软件运维,比如Xshell,CRT等。
H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议
网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
堡垒机的其他常见功能
文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
支持开放的API
堡垒机的部署方式
(1) 单机部署
堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
部署特定:
旁路部署,逻辑串联。
不影响现有网络结构。
(2) HA高可靠部署
旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。
部署特点:
两台硬件堡垒机,一主一备/提供VIP。
当主机出现故障时,备机自动接管服务。
(3) 异地同步部署
通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。
部署特点:
多地部署,异地配置自动同步
运维人员访问当地的堡垒机进行管理
不受网络/带宽影响,同时祈祷灾备目的
(4) 集群部署(分布式部署)
当需要管理的设备数量很多时,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。
部署特点:
两台硬件堡垒机,一主一备、提供VIP
当主机出现故障时,备机自动接管服务。
企业IT运维的“安全终结者”-堡垒机指南相关推荐
- 为什么说堡垒机是企业IT运维的“安全终结者”?
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样. 那么,作为内网安全的"终结者",堡垒机究竟是个什么模样.所谓 ...
- 云计算时代,企业IT资产安全运维利器——行云管家堡垒机
为了保障网络和数据不受来自外部和内部用户的入侵和破坏,企业通常通过部署堡垒机来管理企业内部IT资产.但随着云计算逐渐发展成为企业IT架构的基础设施,传统堡垒机很难适应云的变化,已经无法对企业IT资产进 ...
- 浅谈一下企业IT运维痛点以及好用的运维软件推荐
随着IT建设的不断深入和完善,IT资产越来越多,IT运维管理越发显得重要.但不少企业不知道如何有效进行IT运维,不知道如何更好进行IT运维,今天我们就来一起浅谈一下企业IT运维痛点,以及给大家推荐一款 ...
- 博睿数据与阿里云签订云原生核心合作伙伴计划,推动企业智能运维落地
来源 | 阿里巴巴云原生公众号 5 月 13 日,博睿数据与阿里云宣布达成深度合作,重点发力企业智能运维领域.双方签订了云原生核心合作伙伴计划,通过博睿数据领先的拨测网络结合阿里云独特的 AIOp ...
- 从0到1构建支撑企业自动化运维体系
关注我们获得更多内容 精彩预告:第八届数据技术嘉年华大会将于2018年11月16日~17日在北京市朝阳区东三环中路61号富力万丽酒店盛大开启.本次大会邀请互联网领先企业的数据库专家,国产数据库的领军人 ...
- IT运维大咖带你玩转企业信息运维自动化
说起企业的IT信息化部门,你有什么样的印象?很多人的第一反应,就是入职发电脑.配配打印机.有问题帮忙修电脑的help desk.但是小到企业设备.系统的运维:大到企业的多个信息系统的规划.选型.建立整 ...
- 【安全运维】企业安全运维重点是什么?如何做?
企业安全运维重点是什么?如何做?相信很多企业管理者都有这样的困惑,不知如何解决.个人觉得企业安全运维的重点,其实就是建立一套标准化的运维管理体系,让运维的每件事情都有章可循,发现问题,快速解决问题.以 ...
- 阿里云——运维安全中心(堡垒机)
运维安全中心(堡垒机) 构建云上统一.高效.安全运维通道,保障云端运维.办公权限可管控.操作行为可审计 高效&安全运维 运维安全中心(堡垒机)用于集中管理资产权限,全程监控操作行为,实时还原运 ...
- 祝愿天下所有运维的服务器永不宕机!
虽然今天才周五,但周末就是举国欢庆的除夕和春节了,不过对运维来说,要7*24守护系统,就算放年假也要背着笔记本以便随时远程支撑. 系统出现不稳定有人为因素,也有非人为因素,毕竟底层的服务器.存储这些硬 ...
最新文章
- ArduinoYun的电源插座
- Lisp尺寸标注增加前后缀_汽车雨刷器也是有尺寸的,那具体的尺寸该如何分辨呢?...
- javascript中的this使用场景
- html5标签的兼容性处理
- 【笔试】:编程实现C++string 类成员函数
- os.path.join拼接错误
- C#LeetCode刷题之#400-第N个数字(Nth Digit)
- 利用ffmpeg进行摄像头提取视频编码为h264通过RTP发送数据到指定的rtp地址
- 工作感想:浅论Java教学工作
- 数据库设计的三大范式[学习笔记]
- java jms消息队列_JMS消息队列ActiveMQ(发布/订阅模式)
- MSN蠕虫Myalbum2007.zip专杀工具
- 学习计算机组装与维护的意义,学习计算机组装维护的目的与心得体会!
- C++汽车4S店管理系统
- libmaxminddb
- 3.28~~3.29
- 常用类库之Math类
- ij社区版如何创建spring项目
- SCSI的配置全攻略(ISCSI Target/initiator)
- 1688获得店铺的所有商品教程