安全设备篇——堡垒机

今天是，安全设备里的A6——堡垒机。

网上大部分帖子介绍堡垒机抛出的名词太多了，适合拿来写小作文，不适合用来新手入门了解和学习，本篇旨在用最简单的话来让大家知道堡垒机是什么玩意！

堡垒机的概念

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受入侵和破坏，运用各种技术手段对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便于集中报警、及时处理及审计定责。

看着有点费劲对不对？什么意思呢，就是把重要的服务器集中起来，控制起来，不让你随意访问了，只允许一台机器访问，这台机器就是堡垒机。（也有堡垒机集群、高权限运维IP的情况，这里为了方便大家理解如此陈述罢）

堡垒机最常见的运维方式：

B/S运维：通过浏览器运维。

详解：大部分系统是有web界面的，比如什么安全设备之类的，此类软硬件一体的设备绝大部分时候没有访问底层操作系统的需求，就看个web界面，这时就可以在配置资产时选择B/S就好。

C/S运维：通过客户端软件运维，比如Xshell，CRT等。

详解：部分堡垒机可以通过下载插件直接打开操作系统的界面，相当于一个远程桌面，也有部分堡垒机自带ssh插件之类的，看牌子，看情况，比如某治的堡垒机总体使用上体验还算不错的。另外一种情况就是需要额外的ssh或者远程工具支持（一般点击连接就自启）。C/S主要针对需要访问底层操作系统的服务器，搭载数据库、中间件以及需要底层运维的一些服务器。

为什么需要堡垒机？

这个问题稍稍有些废话了，先上张图片吧：

偷了一张网上随手搜的图片（侵权请联系），从图片可以看出，堡垒机就是用户和目标设备之间的隔绝，或者说访问媒介，既然是安全文章，那主要讲讲安全方面的意义。

1.统一管理。最废话的废话，但也是最浅薄的道理，首先能解决各个服务器、系统的账号权限、密码、所属权问题、，不以人的主观进行实时分配，而是提前定下规则、提前进行分配。

2.安全隔离。部分堡垒机有之间接管资产的功能，而部分堡垒机仅有软件而无硬件实体，需要配合防火墙和网闸进行资产隔离，在极端情况下如果内网已经被打穿，但是黑客拿到的仅仅是隔离资产外的普通用户权限，这种状况下堡垒机就是资产安全的最后一道防线。

3.资产划分。这一点和以上两点都是有关系的，单独划分出来是因为up在实际工作中对这一点的理解更强（因为当了个狗管理天天给人家申请账号增加资产），举个例子吧，假设up是后台运维管理员，A小组的员工的堡垒机账号只能访问a资产，B小组的员工账号只能访问b资产，而某天新增了C小组,需要新增c资产，且原本A小组的领导晋升，成为了A、C两个小组的经理。

操作：新增c资产组，新增C小组运维账号并添加c资产组相应访问权限，将c资产组运维权限添加到原A小组领导账号上。

堡垒机的基本操作

大部分功能上面基本提到了，但是为了清晰一些单独列出来，堡垒机日常基本操作比较多的功能。（基于超级管理员视角）

1.账号操作。包括了创建账号、账号所属分配，包括账号信息（个人信息，电话号码、身份证、工号一类的，部分堡垒机具有多因子认证，需要额外的认证手段进行验证，例如短信验证码、扫码等，需要提供个人信息录入）。

2.资产调配。这里用了调配这个词，个人认为比分配更合适些。涉及资产调整的部分也是常有的，一个资产IP发生变化或B/S下url发生变化之类的事情也在操作范围内；还有就是分配到个人上了，正如上面的举例一样，将对应的资产分配到对应的账号上，明确责任人。

3.其他功能。笼统的把其他功能大概的放在这里吧，毕竟在日常中操作的频率着实不高*（看情况！师傅们别杠这个，我当狗管理的时候碰见这些问题的时候真不多。）简单列出几个吧：密码管理（包括及时修改、密码导出、多账号密码管理等）、日志查询（一般没出事都是直接清掉的，资产出现问题了才去查，相当于查监控。）、储存管理（没错这个也算，满了就告诉甲方，清日志、扩容，看甲方爹地怎么选。）、堡垒机运维（很泛的一个东西，其实以上都算，说通俗点，出了事你要负责，崩了要恢复，自己及时处理，真挂了要是重启没有用一般call厂家来救场，自己尽量别瞎弄。）。

总结

堡垒机的意义比较特殊，需要的安全知识真的不多，甚至很多公司的堡垒机不是由安全运维来管理的，就分配给一些普通运维人员进行管理，确实也足够了，堡垒机的安全意义是存在即合理，非要硬说没堡垒机也行的话，确实也行，通过防火墙一个一个IP限制访问，再加个网闸隔离开办公网段，也能做到吧？可以，但没必要，就像拿扳手也能砸钉子一样，我和很多朋友在讨论堡垒机的时候也想了很多，各种安全设备有各自发挥的空间，各司其职，才能发挥最大作用。