安全資訊

同樣是用于安全保障，堡壘機和防火墻有什么區別呢？

什么是堡壘機？

堡壘機針對內部運維人員的運維安全審計系統。主要的功能是對運維人員的運維操作進(jìn)行審計和權限控制。同時(shí)堡壘機還有賬號集中管理，單點(diǎn)登陸的功能。

堡壘機作為IT系統看門(mén)人的堡壘機其嚴格管控能力十分強大,能在很大程度上的攔截非法訪(fǎng)問(wèn)和惡意攻擊,對不合法命令進(jìn)行命令阻斷,過(guò)濾掉所有對目標設備的非法訪(fǎng)問(wèn)行為,并對內部人員誤操作和非法操作進(jìn)行審計監控,以便事后責任追蹤。

不過(guò)審計是事后行為,審計可以發(fā)現問(wèn)題,但是無(wú)法防止問(wèn)題發(fā)生只有在事前嚴格控制,才能從源頭真正解決問(wèn)題。

諸如任何人都只能通過(guò)堡壘機作為門(mén)戶(hù)單點(diǎn)登錄系統。堡壘機能集中管理和分配全部賬號,更重要的是堡壘機能對運維人員的運維操作進(jìn)行嚴格審計和權限控制,確保運維的安全合規和運維人員的最小化權限管理,堡壘機的出現能夠保護企業(yè)網(wǎng)絡(luò )設備及服務(wù)器資源的安全性,使得企業(yè)網(wǎng)絡(luò )管理合理化和專(zhuān)業(yè)化。

堡壘機的工作原理

  在實(shí)際使用場(chǎng)景中，堡壘機的使用人員通?？煞譃楣芾砣藛T、運維操作人員、審計人員三類(lèi)用戶(hù)。

  管理人員最重要的職責是根據相應的安全策略和運維人員應有的操作權限來(lái)配置堡壘機的安全策略。堡壘機管理員登錄堡壘機后，在堡壘機內部，“策略管理”組件負責與管理員進(jìn)行交互，并將管理人員輸入的安全策略存儲到堡壘機內部的策略配置庫中。

  “應用代理”組件是堡壘機的核心，負責中轉運維操作用戶(hù)的操作，并與堡壘機內部其他組件進(jìn)行交互?！皯么怼苯M件收到運維人員的操作請求后，調用“策略管理”組件對該操作行為進(jìn)行核查，核查依據便是管理員已經(jīng)配置好的策略配置庫，如此次操作不符合安全策略，代理”組件將拒絕該操作行為的執行。

  運維人員的操作行為通過(guò)“策略管理”組件的核查之后，“應用代理”組件則代替運維人員連接目標設備完成相應操作，并將操作返回結果返回給對應的運維操作人員；同時(shí)此次操作過(guò)程被提交給堡壘機內部的“審計模塊”，然后此次操作過(guò)程被記錄到審計日志數據庫中。

  最后，當需要調查運維人員的歷史操作記錄時(shí)，由審計員登錄堡壘機進(jìn)行查詢(xún)，然后“審計模塊”從審計日志數據庫中讀取相應日志記錄，并展示在審計員交互界面上。

堡壘機的作用

  當公司的運維人員越來(lái)越多，當需要運維的設備越來(lái)越多，當參與運維的崗位越來(lái)越多樣性，如果沒(méi)有一套好的機制，就會(huì )產(chǎn)生運維混亂。具體而言，你很想知道“哪些人允許以哪些身份訪(fǎng)問(wèn)哪些設備“而不可得。

（一）堡壘機讓“運維混亂”變“運維有序”

  堡壘機承擔起了運維人員在運維過(guò)程中的唯一入口，通過(guò)精細化授權，可以明確“哪些人以哪些身份訪(fǎng)問(wèn)哪些設備”，從而讓運維混亂變得有序起來(lái)。堡壘機還有賬號集中管理，單點(diǎn)登陸的功能，堡壘機能夠集中管理資產(chǎn)權限。

（二）堡壘機讓“運維混亂”變“運維安全”

  堡壘機不僅可以明確每一個(gè)運維人員的訪(fǎng)問(wèn)路徑，還可以將每一次訪(fǎng)問(wèn)過(guò)程變得可“審計”，一旦出現問(wèn)題，可追溯回源。

  堡壘機針對內部運維人員的運維安全審計系統，主要的功能是對運維人員的運維操作進(jìn)行審計和權限控制。全程記錄操作數據，實(shí)時(shí)還原運維場(chǎng)景，助力企業(yè)用戶(hù)構建云上統一、安全、高效運維通道；保障云端運維工作權限可管控、操作可審計、合規可遵從。

  作為IT系統看門(mén)人的堡壘機其嚴格管控能力十分強大,能在很大程度上攔截非法訪(fǎng)問(wèn)和惡意攻擊,對不合法命令進(jìn)行命令阻斷,過(guò)濾掉所有對目標設備的非法訪(fǎng)問(wèn)行為,并對內部人員誤操作和非法操作進(jìn)行審計監控,以便事后責任追蹤。

  如何做到可審計？顯而易見(jiàn)的方法是“全程錄像”和“指令查詢(xún)”。全程錄像很好理解，那么何謂指令查詢(xún)呢？所謂指令查詢(xún)是指將運維操作指令化。舉例而言，你家里在過(guò)去24小時(shí)內進(jìn)小偷了，你有監控錄像，但需要你翻閱這24小時(shí)的錄像顯然不是一個(gè)聰明的做法，如果這時(shí)系統能夠幫助你把24小時(shí)錄像中出現的所有人頭像直接識別并羅列出來(lái)，你自然可以知道什么時(shí)間進(jìn)來(lái)的小偷?！爸噶畈樵?xún)”也是如此，錄像文件是你最后的保障，但通過(guò)指令查詢(xún)可以幫助你快速的定位到錄像文件的可疑位置。

堡壘機的分類(lèi)

  基于其應用場(chǎng)景，堡壘機可分為兩種類(lèi)型：

1.網(wǎng)關(guān)型堡壘機

  網(wǎng)關(guān)型的堡壘機被部署在外部網(wǎng)絡(luò )和內部網(wǎng)絡(luò )之間，其本身不再直接向外部提供服務(wù)，而是作為進(jìn)入內部網(wǎng)絡(luò )的一個(gè)檢查點(diǎn)，用于提供對內部網(wǎng)絡(luò )特定資源的安全訪(fǎng)問(wèn)控制。這類(lèi)堡壘機不提供路由功能，將內外網(wǎng)從網(wǎng)絡(luò )層隔離開(kāi)來(lái)，因此除非授權訪(fǎng)問(wèn)外，還可以過(guò)濾掉一些針對內網(wǎng)的來(lái)自應用層以下的攻擊，為內部網(wǎng)絡(luò )資源提供了一道安全屏障。但由于此類(lèi)堡壘機需要處理應用層的數據內容，性能消耗很大，所以隨著(zhù)網(wǎng)絡(luò )進(jìn)出口處流量越來(lái)越大，部署在網(wǎng)關(guān)位置的堡壘機逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。

2.運維審計型堡壘機

  運維審計型堡壘機的原理與網(wǎng)關(guān)型堡壘機類(lèi)似，但其部署位置與應用場(chǎng)景不同，且更為復雜。運維審計型堡壘機被部署在內網(wǎng)中的服務(wù)器和網(wǎng)絡(luò )設備等核心資源的前面，對運維人員的操作權限進(jìn)行控制和操作行為審計；運維審計型堡壘機既解決了運維人員權限難以控制的混亂局面，又可對違規操作行為進(jìn)行控制和審計，而且由于運維操作本身不會(huì )產(chǎn)生大規模的流量，堡壘機不會(huì )成為性能的瓶頸，所以堡壘機作為運維操作審計的手段得到了快速發(fā)展。


什么是防火墻？

現代的防火墻一般都是指網(wǎng)絡(luò )防火墻，是一個(gè)位于計算機和它所連接的網(wǎng)絡(luò )之間的軟件。計算機流入流出的所有網(wǎng)絡(luò )通信均要經(jīng)過(guò)網(wǎng)絡(luò )防火墻。防火墻對流經(jīng)它的網(wǎng)絡(luò )通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪(fǎng)問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

 防火墻這個(gè)名詞，大家應該不陌生，其實(shí)我們的PC主流使用的window 7 或 window10 系統都默認安裝了一個(gè)內置防火墻，如下圖：

  防火墻，在物理意義上原指古代人們在房屋之間修建的那道墻，這道墻可以防止火災發(fā)生的時(shí)候蔓延到別的房屋。

 這里提到的網(wǎng)絡(luò )上的防火墻當然不是上面說(shuō)到的含義，但是原理相似，也是防止災難的擴散。

  防火墻（Firewall），也稱(chēng)防護墻，它是一種位于內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )之間的網(wǎng)絡(luò )安全系統。局域網(wǎng)內部，不連接互聯(lián)網(wǎng)外網(wǎng)的一般是不需要防火墻的。通過(guò)防火墻可以隔離風(fēng)險區域（即Internet或有一定風(fēng)險的網(wǎng)絡(luò )）與安全區域（局域網(wǎng))的連接，同時(shí)不會(huì )妨礙人們對風(fēng)險區域的訪(fǎng)問(wèn)。所以它一般連接在核心交換機與外網(wǎng)之間，起到一個(gè)把關(guān)的作用。

防火墻的工作原理

  一套完整的防火墻系統通常由屏蔽路由器和代理服務(wù)器組成。

1、屏蔽路由器

  是一個(gè)多端口的IP路由器，它通過(guò)對每一個(gè)到來(lái)的IP包依據組規則進(jìn)行檢查來(lái)判斷是否對之進(jìn)行轉發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進(jìn)行過(guò)濾。

  這里舉個(gè)例子：

  一堆人來(lái)到一個(gè)快要開(kāi)盤(pán)樓盤(pán)售樓部買(mǎi)房，售樓小姐先需要對他們進(jìn)行簡(jiǎn)單的登記和了解，如是否有正規工作、是否是本市戶(hù)口、是否能正常貸款、首付多少等等,記錄這一系列的問(wèn)題后，售樓小姐會(huì )對來(lái)買(mǎi)房的人員進(jìn)行一個(gè)過(guò)濾。

2、代理服務(wù)器

  是防火墻中的一個(gè)服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò )用戶(hù)完成特定的TCP/TP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò )應用而連接兩個(gè)網(wǎng)絡(luò )的網(wǎng)關(guān)。用戶(hù)就一項TCP/TP應用，比如Telnet或者FTP，同代理服務(wù)器打交道，代理服務(wù)器要求用戶(hù)提供其要訪(fǎng)問(wèn)的遠程主機名。當用戶(hù)答復并提供了正確的用戶(hù)身份及認證信息后，代理服務(wù)器連通遠程主機，為兩個(gè)通信點(diǎn)充當中繼。整個(gè)過(guò)程可以對用戶(hù)完全透明。用戶(hù)提供的用戶(hù)身份及認證信息可用于用戶(hù)級的認證。

  繼續講買(mǎi)房：

  當你已經(jīng)符合買(mǎi)房的條件了，你要買(mǎi)到房，關(guān)鍵的環(huán)節就是貸款，這時(shí)售樓顧問(wèn)就是網(wǎng)關(guān)，你提供完整的貸款資料（工資證明，收入明細等）給售樓顧問(wèn)，售樓顧問(wèn)會(huì )審核下，各條件都符合了，沒(méi)有問(wèn)題的話(huà)，他就提交給銀行，貸款批下來(lái)了，房子就可以順利的買(mǎi)到了。

防火墻的作用

 防火墻的作用是防止不希望的、未授權的通信進(jìn)出被保護的網(wǎng)絡(luò )，入侵者必須首先穿越防火墻的安全防線(xiàn)，才能接觸目標計算機。我們還可以將防火墻配置成許多不同保護級別。

  防火墻的基本作用：

1.限制入侵者進(jìn)入內部網(wǎng)絡(luò )，過(guò)濾掉不安全服務(wù)和非法用戶(hù)；

2.防止入侵者接近防御設施；

3.限定用戶(hù)訪(fǎng)問(wèn)特殊站點(diǎn)；

4.記錄通過(guò)防火墻信息內容和活動(dòng)；

5.對網(wǎng)絡(luò )攻擊檢測和告警；

6.關(guān)閉不使用的端口；

7.禁止特定端口的流出通信。

防火墻的分類(lèi)

（一）網(wǎng)絡(luò )層防火墻

  網(wǎng)絡(luò )層防火墻可視為一種 IP封包過(guò)濾器，運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過(guò)，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規則通?？梢越?jīng)由管理員定義或修改，不過(guò)某些防火墻設備可能只能套用內置的規則。

  我們也能以另一種較寬松的角度來(lái)制定防火墻規則，只要封包不符合任何一項“否定規則”就予以放行。操作系統及網(wǎng)絡(luò )設備大多已內置防火墻功能。

  較新的防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如：來(lái)源IP地址、來(lái)源端口號、目的 IP 地址或端口號、服務(wù)類(lèi)型（如 HTTP 或是 FTP）。也能經(jīng)由通信協(xié)議、TTL 值、來(lái)源的網(wǎng)域名稱(chēng)或網(wǎng)段等屬性來(lái)進(jìn)行過(guò)濾。

（二）應用層防火墻

  應用層防火墻是在TCP/IP堆棧的“應用層”上運作，使用瀏覽器時(shí)所產(chǎn)生的數據流或是使用FTP 時(shí)的數據流都是屬于這一層。應用層防火墻可以攔截進(jìn)出某應用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類(lèi)的防火墻可以完全阻絕外部的數據流進(jìn)到受保護的機器里。

  防火墻借由監測所有的封包并找出不符規則的內容，可以防范電腦蠕蟲(chóng)或是木馬程序的快速蔓延。不過(guò)就實(shí)現而言，這個(gè)方法既煩且雜（軟件有千千百百種?。?，所以大部分的防火墻都不會(huì )考慮以這種方法設計。

  XML 防火墻是一種新型態(tài)的應用層防火墻。

  目前市場(chǎng)的防火墻產(chǎn)品非常之多，劃分的標準也比較雜。主要分類(lèi)如下：

1.從軟、硬件形式上，分為：軟件防火墻和硬件防火墻以及芯片級防火墻三種；

2.從防火墻技術(shù)上，分為：“包過(guò)濾型”和“應用代理型”兩大類(lèi)；

3.從防火墻結構上，分為：?jiǎn)我恢鳈C防火墻、路由器集成式防火墻和分布式防火墻三種；

4.按防火墻的應用部署位置，分為：邊界防火墻、個(gè)人防火墻和混合防火墻三大類(lèi)；

5.按防火墻性能，分為：百兆級防火墻和千兆級防火墻兩類(lèi)。

（三）數據庫防火墻

  數據庫防火墻是一款基于數據庫協(xié)議分析與控制技術(shù)的數據庫安全防護系統?；谥鲃?dòng)防御機制，實(shí)現數據庫的訪(fǎng)問(wèn)行為控制、危險操作阻斷、可疑行為審計。

  數據庫防火墻通過(guò)SQL協(xié)議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過(guò)，阻斷非法違規操作，形成數據庫的外圍防御圈，實(shí)現SQL危險操作的主動(dòng)預防、實(shí)時(shí)審計。

  數據庫防火墻面對來(lái)自于外部的入侵行為，提供SQL注入禁止和數據庫虛擬補丁包功能。

堡壘機和防火墻的區別是什么？

防火墻是私有網(wǎng)絡(luò )與公網(wǎng)之間的門(mén)衛，而堡壘機是內部運維人員與私網(wǎng)之間的門(mén)衛。

防火墻墻所起的作用是隔斷，無(wú)論誰(shuí)都過(guò)不去，但是堡壘機就不一樣了，他的職能是檢查和判斷是否可以通過(guò)，只要符合條件就可以通過(guò)，堡壘機更加靈活一些。

總的來(lái)說(shuō)，公司內部的網(wǎng)絡(luò )與公司外部的網(wǎng)絡(luò )之間可以通過(guò)防火墻來(lái)做一些網(wǎng)絡(luò )的限制，公司內部網(wǎng)絡(luò )內的電腦可以通過(guò)行云管家堡壘機來(lái)做統一訪(fǎng)問(wèn)的入口，并提供運維審計與危險指令攔截等功能。我們的堡壘機是國內領(lǐng)先的運維堡壘機品牌，在IT運維領(lǐng)域長(cháng)達10年的沉淀和積累，同時(shí)也是市面上首款支持Windows2012/2016系統操作指令審計的運維堡壘機。