堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能。从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过堡垒机的翻译。打一个比方,堡垒机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后进行责任追踪。
随着苏州大学信息化建设的展开,网络设备和服务器(包括虚拟机)的数量激增,在这群复杂的设备背后,是来自不同背景的运维人员。在日常对网络设备和服务器运行维护的过程中,常常会出现如下一些主要问题:
多个用户使用同一个账号管理一台设备。这种做法会导致发生安全事故后,难以定位账号的实际使用者和责任人,存在较大安全风险和隐患。
一个用户使用多个账号管理多台设备。目前,这种做法是比较普遍的,一个运维人员往往需要管理很多设备,他需要记忆多套账号口令,在多套主机系统、网络设备之间切换。这种做法会降低工作效率,增加工作复杂度。
现在的网络设备和服务器大多数是被动防御,即在安全问题发生后人为的通过日志分析去定位安全责任,这种做法很难及时通过系统自身审计发现违规操作行为和追查取证。
随着堡垒机的上线,我们可以解决上述这些问题,以及其他的诸如访问控制、自动化操作等问题。
图 1展现了堡垒机的主要功能;表 1列出了我校购入的帕拉迪堡垒机的主要功能。
功能 | 功能说明 |
运维协议 | 支持SSH、SFTP、FTP、Telnet、RDP(远程桌面)等协议,支持PcAnywhere、VNC、VMware Client、数据库客户端等运维工具连接设备进行操作并审计。 |
运维方式 | 支持单点登录(通过苏州大学统一身份认证),可最小限度改变运维习惯,支持PuTTY、SecureCRT、Xshell 、Windows 自带命令行、远程桌面等。 |
安全检测 | 可对设备的安全性、连接性进行自动监测和发现。 |
密码集中管理 | 支持对Unix、Linux、Windows、网络设备等资产的账号进行自动化周期改密。 |
访问控制 | 支持基于IP/IP段、用户/用户组、资产/资产组、协议、时间、危险级别等组合策略进行访问控制,对于匹配规则的行为予以阻断或放行。 |
命令防火墙 | 可对危险的命令实时阻断、告警、双人审批。 |
运维审计 | 可支持运维过程的完整审计,可进行实时监控和历史运维过程真实回放。 |
高可用 | 完美支持HA模式,可实现双机热备。 |
服务热线:65880000(内线80000)
办公地点:
天赐庄校区:东校区教育超市北
独墅湖校区:独墅湖一期304号楼5楼
阳澄湖校区:行政楼401房间
未来校区:未来校区教学中心628办公室
办公时间:
周一至周五(8:00—12:00,13:30—17:00)
周末及节假日(8:30—11:30,14:00—17:00,仅天赐庄校区)
