同樣是用于安全保障，堡壘機(jī)和防火墻有什么區(qū)別呢？

什么是堡壘機(jī)？

堡壘機(jī)針對(duì)內(nèi)部運(yùn)維人員的運(yùn)維安全審計(jì)系統(tǒng)。主要的功能是對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行審計(jì)和權(quán)限控制。同時(shí)堡壘機(jī)還有賬號(hào)集中管理，單點(diǎn)登陸的功能。

堡壘機(jī)作為IT系統(tǒng)看門(mén)人的堡壘機(jī)其嚴(yán)格管控能力十分強(qiáng)大,能在很大程度上的攔截非法訪問(wèn)和惡意攻擊,對(duì)不合法命令進(jìn)行命令阻斷,過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為,并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控,以便事后責(zé)任追蹤。

不過(guò)審計(jì)是事后行為,審計(jì)可以發(fā)現(xiàn)問(wèn)題,但是無(wú)法防止問(wèn)題發(fā)生只有在事前嚴(yán)格控制,才能從源頭真正解決問(wèn)題。

諸如任何人都只能通過(guò)堡壘機(jī)作為門(mén)戶單點(diǎn)登錄系統(tǒng)。堡壘機(jī)能集中管理和分配全部賬號(hào),更重要的是堡壘機(jī)能對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行嚴(yán)格審計(jì)和權(quán)限控制,確保運(yùn)維的安全合規(guī)和運(yùn)維人員的最小化權(quán)限管理,堡壘機(jī)的出現(xiàn)能夠保護(hù)企業(yè)網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性,使得企業(yè)網(wǎng)絡(luò)管理合理化和專業(yè)化。

堡壘機(jī)的工作原理

  在實(shí)際使用場(chǎng)景中，堡壘機(jī)的使用人員通?？煞譃楣芾砣藛T、運(yùn)維操作人員、審計(jì)人員三類用戶。

  管理人員最重要的職責(zé)是根據(jù)相應(yīng)的安全策略和運(yùn)維人員應(yīng)有的操作權(quán)限來(lái)配置堡壘機(jī)的安全策略。堡壘機(jī)管理員登錄堡壘機(jī)后，在堡壘機(jī)內(nèi)部，“策略管理”組件負(fù)責(zé)與管理員進(jìn)行交互，并將管理人員輸入的安全策略存儲(chǔ)到堡壘機(jī)內(nèi)部的策略配置庫(kù)中。

  “應(yīng)用代理”組件是堡壘機(jī)的核心，負(fù)責(zé)中轉(zhuǎn)運(yùn)維操作用戶的操作，并與堡壘機(jī)內(nèi)部其他組件進(jìn)行交互?！皯?yīng)用代理”組件收到運(yùn)維人員的操作請(qǐng)求后，調(diào)用“策略管理”組件對(duì)該操作行為進(jìn)行核查，核查依據(jù)便是管理員已經(jīng)配置好的策略配置庫(kù)，如此次操作不符合安全策略，代理”組件將拒絕該操作行為的執(zhí)行。

  運(yùn)維人員的操作行為通過(guò)“策略管理”組件的核查之后，“應(yīng)用代理”組件則代替運(yùn)維人員連接目標(biāo)設(shè)備完成相應(yīng)操作，并將操作返回結(jié)果返回給對(duì)應(yīng)的運(yùn)維操作人員；同時(shí)此次操作過(guò)程被提交給堡壘機(jī)內(nèi)部的“審計(jì)模塊”，然后此次操作過(guò)程被記錄到審計(jì)日志數(shù)據(jù)庫(kù)中。

  最后，當(dāng)需要調(diào)查運(yùn)維人員的歷史操作記錄時(shí)，由審計(jì)員登錄堡壘機(jī)進(jìn)行查詢，然后“審計(jì)模塊”從審計(jì)日志數(shù)據(jù)庫(kù)中讀取相應(yīng)日志記錄，并展示在審計(jì)員交互界面上。

堡壘機(jī)的作用

  當(dāng)公司的運(yùn)維人員越來(lái)越多，當(dāng)需要運(yùn)維的設(shè)備越來(lái)越多，當(dāng)參與運(yùn)維的崗位越來(lái)越多樣性，如果沒(méi)有一套好的機(jī)制，就會(huì)產(chǎn)生運(yùn)維混亂。具體而言，你很想知道“哪些人允許以哪些身份訪問(wèn)哪些設(shè)備“而不可得。

（一）堡壘機(jī)讓“運(yùn)維混亂”變“運(yùn)維有序”

  堡壘機(jī)承擔(dān)起了運(yùn)維人員在運(yùn)維過(guò)程中的唯一入口，通過(guò)精細(xì)化授權(quán)，可以明確“哪些人以哪些身份訪問(wèn)哪些設(shè)備”，從而讓運(yùn)維混亂變得有序起來(lái)。堡壘機(jī)還有賬號(hào)集中管理，單點(diǎn)登陸的功能，堡壘機(jī)能夠集中管理資產(chǎn)權(quán)限。

（二）堡壘機(jī)讓“運(yùn)維混亂”變“運(yùn)維安全”

  堡壘機(jī)不僅可以明確每一個(gè)運(yùn)維人員的訪問(wèn)路徑，還可以將每一次訪問(wèn)過(guò)程變得可“審計(jì)”，一旦出現(xiàn)問(wèn)題，可追溯回源。

  堡壘機(jī)針對(duì)內(nèi)部運(yùn)維人員的運(yùn)維安全審計(jì)系統(tǒng)，主要的功能是對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行審計(jì)和權(quán)限控制。全程記錄操作數(shù)據(jù)，實(shí)時(shí)還原運(yùn)維場(chǎng)景，助力企業(yè)用戶構(gòu)建云上統(tǒng)一、安全、高效運(yùn)維通道；保障云端運(yùn)維工作權(quán)限可管控、操作可審計(jì)、合規(guī)可遵從。

  作為IT系統(tǒng)看門(mén)人的堡壘機(jī)其嚴(yán)格管控能力十分強(qiáng)大,能在很大程度上攔截非法訪問(wèn)和惡意攻擊,對(duì)不合法命令進(jìn)行命令阻斷,過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為,并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控,以便事后責(zé)任追蹤。

  如何做到可審計(jì)？顯而易見(jiàn)的方法是“全程錄像”和“指令查詢”。全程錄像很好理解，那么何謂指令查詢呢？所謂指令查詢是指將運(yùn)維操作指令化。舉例而言，你家里在過(guò)去24小時(shí)內(nèi)進(jìn)小偷了，你有監(jiān)控錄像，但需要你翻閱這24小時(shí)的錄像顯然不是一個(gè)聰明的做法，如果這時(shí)系統(tǒng)能夠幫助你把24小時(shí)錄像中出現(xiàn)的所有人頭像直接識(shí)別并羅列出來(lái)，你自然可以知道什么時(shí)間進(jìn)來(lái)的小偷?！爸噶畈樵儭币彩侨绱?，錄像文件是你最后的保障，但通過(guò)指令查詢可以幫助你快速的定位到錄像文件的可疑位置。

堡壘機(jī)的分類

  基于其應(yīng)用場(chǎng)景，堡壘機(jī)可分為兩種類型：

1.網(wǎng)關(guān)型堡壘機(jī)

  網(wǎng)關(guān)型的堡壘機(jī)被部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，其本身不再直接向外部提供服務(wù)，而是作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，用于提供對(duì)內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問(wèn)控制。這類堡壘機(jī)不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開(kāi)來(lái)，因此除非授權(quán)訪問(wèn)外，還可以過(guò)濾掉一些針對(duì)內(nèi)網(wǎng)的來(lái)自應(yīng)用層以下的攻擊，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類堡壘機(jī)需要處理應(yīng)用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進(jìn)出口處流量越來(lái)越大，部署在網(wǎng)關(guān)位置的堡壘機(jī)逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機(jī)逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。

2.運(yùn)維審計(jì)型堡壘機(jī)

  運(yùn)維審計(jì)型堡壘機(jī)的原理與網(wǎng)關(guān)型堡壘機(jī)類似，但其部署位置與應(yīng)用場(chǎng)景不同，且更為復(fù)雜。運(yùn)維審計(jì)型堡壘機(jī)被部署在內(nèi)網(wǎng)中的服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對(duì)運(yùn)維人員的操作權(quán)限進(jìn)行控制和操作行為審計(jì)；運(yùn)維審計(jì)型堡壘機(jī)既解決了運(yùn)維人員權(quán)限難以控制的混亂局面，又可對(duì)違規(guī)操作行為進(jìn)行控制和審計(jì)，而且由于運(yùn)維操作本身不會(huì)產(chǎn)生大規(guī)模的流量，堡壘機(jī)不會(huì)成為性能的瓶頸，所以堡壘機(jī)作為運(yùn)維操作審計(jì)的手段得到了快速發(fā)展。


什么是防火墻？

現(xiàn)代的防火墻一般都是指網(wǎng)絡(luò)防火墻，是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)網(wǎng)絡(luò)防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

 防火墻這個(gè)名詞，大家應(yīng)該不陌生，其實(shí)我們的PC主流使用的window 7 或 window10 系統(tǒng)都默認(rèn)安裝了一個(gè)內(nèi)置防火墻，如下圖：

  防火墻，在物理意義上原指古代人們?cè)诜课葜g修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。

 這里提到的網(wǎng)絡(luò)上的防火墻當(dāng)然不是上面說(shuō)到的含義，但是原理相似，也是防止災(zāi)難的擴(kuò)散。

  防火墻（Firewall），也稱防護(hù)墻，它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。局域網(wǎng)內(nèi)部，不連接互聯(lián)網(wǎng)外網(wǎng)的一般是不需要防火墻的。通過(guò)防火墻可以隔離風(fēng)險(xiǎn)區(qū)域（即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。所以它一般連接在核心交換機(jī)與外網(wǎng)之間，起到一個(gè)把關(guān)的作用。

防火墻的工作原理

  一套完整的防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。

1、屏蔽路由器

  是一個(gè)多端口的IP路由器，它通過(guò)對(duì)每一個(gè)到來(lái)的IP包依據(jù)組規(guī)則進(jìn)行檢查來(lái)判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號(hào)、收發(fā)報(bào)文的IP地址和端口號(hào)、連接標(biāo)志以至另外一些IP選項(xiàng)，對(duì)IP包進(jìn)行過(guò)濾。

  這里舉個(gè)例子：

  一堆人來(lái)到一個(gè)快要開(kāi)盤(pán)樓盤(pán)售樓部買(mǎi)房，售樓小姐先需要對(duì)他們進(jìn)行簡(jiǎn)單的登記和了解，如是否有正規(guī)工作、是否是本市戶口、是否能正常貸款、首付多少等等,記錄這一系列的問(wèn)題后，售樓小姐會(huì)對(duì)來(lái)買(mǎi)房的人員進(jìn)行一個(gè)過(guò)濾。

2、代理服務(wù)器

  是防火墻中的一個(gè)服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項(xiàng)TCP/TP應(yīng)用，比如Telnet或者FTP，同代理服務(wù)器打交道，代理服務(wù)器要求用戶提供其要訪問(wèn)的遠(yuǎn)程主機(jī)名。當(dāng)用戶答復(fù)并提供了正確的用戶身份及認(rèn)證信息后，代理服務(wù)器連通遠(yuǎn)程主機(jī)，為兩個(gè)通信點(diǎn)充當(dāng)中繼。整個(gè)過(guò)程可以對(duì)用戶完全透明。用戶提供的用戶身份及認(rèn)證信息可用于用戶級(jí)的認(rèn)證。

  繼續(xù)講買(mǎi)房：

  當(dāng)你已經(jīng)符合買(mǎi)房的條件了，你要買(mǎi)到房，關(guān)鍵的環(huán)節(jié)就是貸款，這時(shí)售樓顧問(wèn)就是網(wǎng)關(guān)，你提供完整的貸款資料（工資證明，收入明細(xì)等）給售樓顧問(wèn)，售樓顧問(wèn)會(huì)審核下，各條件都符合了，沒(méi)有問(wèn)題的話，他就提交給銀行，貸款批下來(lái)了，房子就可以順利的買(mǎi)到了。

防火墻的作用

 防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。我們還可以將防火墻配置成許多不同保護(hù)級(jí)別。

  防火墻的基本作用：

1.限制入侵者進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；

2.防止入侵者接近防御設(shè)施；

3.限定用戶訪問(wèn)特殊站點(diǎn)；

4.記錄通過(guò)防火墻信息內(nèi)容和活動(dòng)；

5.對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警；

6.關(guān)閉不使用的端口；

7.禁止特定端口的流出通信。

防火墻的分類

（一）網(wǎng)絡(luò)層防火墻

  網(wǎng)絡(luò)層防火墻可視為一種 IP封包過(guò)濾器，運(yùn)作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

  我們也能以另一種較寬松的角度來(lái)制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

  較新的防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如：來(lái)源IP地址、來(lái)源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型（如 HTTP 或是 FTP）。也能經(jīng)由通信協(xié)議、TTL 值、來(lái)源的網(wǎng)域名稱或網(wǎng)段等屬性來(lái)進(jìn)行過(guò)濾。

（二）應(yīng)用層防火墻

  應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作，使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

  防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲(chóng)或是木馬程序的快速蔓延。不過(guò)就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜（軟件有千千百百種?。?，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。

  XML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

  目前市場(chǎng)的防火墻產(chǎn)品非常之多，劃分的標(biāo)準(zhǔn)也比較雜。主要分類如下：

1.從軟、硬件形式上，分為：軟件防火墻和硬件防火墻以及芯片級(jí)防火墻三種；

2.從防火墻技術(shù)上，分為：“包過(guò)濾型”和“應(yīng)用代理型”兩大類；

3.從防火墻結(jié)構(gòu)上，分為：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種；

4.按防火墻的應(yīng)用部署位置，分為：邊界防火墻、個(gè)人防火墻和混合防火墻三大類；

5.按防火墻性能，分為：百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

（三）數(shù)據(jù)庫(kù)防火墻

  數(shù)據(jù)庫(kù)防火墻是一款基于數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)。基于主動(dòng)防御機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)。

  數(shù)據(jù)庫(kù)防火墻通過(guò)SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過(guò)，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫(kù)的外圍防御圈，實(shí)現(xiàn)SQL危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)。

  數(shù)據(jù)庫(kù)防火墻面對(duì)來(lái)自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫(kù)虛擬補(bǔ)丁包功能。

堡壘機(jī)和防火墻的區(qū)別是什么？

防火墻是私有網(wǎng)絡(luò)與公網(wǎng)之間的門(mén)衛(wèi)，而堡壘機(jī)是內(nèi)部運(yùn)維人員與私網(wǎng)之間的門(mén)衛(wèi)。

防火墻墻所起的作用是隔斷，無(wú)論誰(shuí)都過(guò)不去，但是堡壘機(jī)就不一樣了，他的職能是檢查和判斷是否可以通過(guò)，只要符合條件就可以通過(guò)，堡壘機(jī)更加靈活一些。

總的來(lái)說(shuō)，公司內(nèi)部的網(wǎng)絡(luò)與公司外部的網(wǎng)絡(luò)之間可以通過(guò)防火墻來(lái)做一些網(wǎng)絡(luò)的限制，公司內(nèi)部網(wǎng)絡(luò)內(nèi)的電腦可以通過(guò)行云管家堡壘機(jī)來(lái)做統(tǒng)一訪問(wèn)的入口，并提供運(yùn)維審計(jì)與危險(xiǎn)指令攔截等功能。我們的堡壘機(jī)是國(guó)內(nèi)領(lǐng)先的運(yùn)維堡壘機(jī)品牌，在IT運(yùn)維領(lǐng)域長(zhǎng)達(dá)10年的沉淀和積累，同時(shí)也是市面上首款支持Windows2012/2016系統(tǒng)操作指令審計(jì)的運(yùn)維堡壘機(jī)。