一文读懂安全设备之堡垒机_第1页
一文读懂安全设备之堡垒机_第2页
一文读懂安全设备之堡垒机_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

一文读懂安全设备之堡垒机

随着企事业单位IT系统的不断进展,网络规模和设备数量快速扩大,IT系统日趋简单,不同背景运维人员的行为给信息系统平安带来较大风险,主要表现在:

(1)缺少统一的权限管理平台,权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理,无法基于最小权限安排原则的用户权限管理,难以实现更细粒度的命令级权限掌握,系统平安性无法充分保证。

(2)无法制定统一的访问审计策略,审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,并且各系统自身审计日志内容深浅不一,难以准时通过系统自身审计发觉违规操作行为和追查取证。

一、什么是堡垒机

堡垒机是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、平安大事、网络活动,以便集中报警、准时处理及审计定责,有效解决了运维平安两大难题。

堡垒机本质上可以看作用于防备攻击的计算机,又被称为堡垒主机。堡垒机是一个主机系统,其自身通常经过了肯定的加固,具有较高的平安性,可抵挡肯定的攻击。

堡垒机将需要爱护的信息系统资源与平安威逼的来源进行隔离,从而在被爱护的资源前面形成一个结实的堡垒,并且在抵挡威逼的同时又不影响一般用户对资源的正常访问,堡垒机还集成了行为审计和权限掌握,从而加强了对操作和平安的掌握。

二、堡垒机分类

依据实际使用场景的不同和业务需要,堡垒机主要分为网关型堡垒机和运维审计型堡垒机。

1、网关型堡垒机

网关型堡垒机主要部署在外部网络和内部网络之间,本身不直接向外部供应服务,而是作为进入内部网络的一个检查点,用于供应对内部网络特定资源的平安访问掌握。

网关型堡垒机不供应路由功能,将内外网从网络层隔离开来,除授权访问外,还可以过滤掉一些针对内网的、来自应用层以下的攻击,为内部网络资源供应了一道平安屏障。

但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机渐渐成为了性能瓶颈,因此,网关型的堡垒机渐渐被日趋成熟的防火墙、UTM、IPS、网闸等平安产品所取代。

2、运维审计型堡垒机

运维审计型堡垒机,也被称作内控堡垒机,这类堡垒机也是当前应用最为普遍的一种。运维审计型堡垒机被部署在内网中服务器和网络设备等核心资源的前面,对运维人员的操作权限进行掌握和操作行为审计。

运维审计型堡垒机即解决了运维人员权限难以掌握混乱局面,又可对违规操作行为进行掌握和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速进展。

三、堡垒机运维审计工作原理

堡垒机的用户通常包括:管理人员、运维操作人员、审计人员三类用户。

管理员依据相应的平安策略和运维人员应有的操作权限来配置堡垒机的平安策略。堡垒机管理员登录堡垒机后,在堡垒机内部,组件负责与管理员进行交互,并将管理员输入的平安策略存储到堡垒机内部的策略配置库中。

组件是堡垒机的核心,负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。组件收到运维人员的操作恳求后调用组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合平安策略,组件将拒绝该操作行为的执行。

运维人员的操作行为通过组件的核查验证之后,组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时,此次操作过程被提交给堡垒机内部的,然后此次操作过程被记录到审计日志数据库中。

最终,当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后从审计日志数据库中读取相应日志记录并展现在审计员交互界面上。

四、堡垒机运维审计工作流程

运维审计型堡垒机对于运维操作人员相当于一台代理服务器(ProxyServer),其工作流程如下所示:

运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作恳求,该恳求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最终堡垒机再将操作结果返回给运维操作人员。

通过这种方式,堡垒机规律上将运维人员与目标设备隔离开来,建立了从“运维人员-堡垒机用户账号-授权-目标设备账号-目标设备”的管理模式,解决操作权限掌握和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

五、堡垒机作用

堡垒机作为集中访问入口和操作审计

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论