堡垒机与网闸

其他 2019-06-16 22:11:24 阅读次数: 0

一、堡垒机

堡垒机的产生

阿里有很多的服务器,有很多运维人员,为了方便运维,很多运维人员都有管理员的账号,如果某个操作人员把数据库删了,如何知道是哪个运维人员干的呢?最开始的基本需求是:行为回放(做为跳板和记录并回放下来何人,在何时做了什么事情,方便追究责任)后来这个系统不断的完善,后续又加入了权限分离和安全管控,逐渐就形成了我们现在所见到的堡垒机

主要作用

主要用于登录各种网络设备:交换机、防火墙、路由器、服务器。实现权限分离、安全管控、行为回放。

  1. 安全管控:只有通过它才能远程登录各种远程设备,在它没有攻破之前,即使有人获得用户名和密码也无法登录相应的设备和系统,像是一个堡垒一样,在堡垒没有攻破之前,后续无法攻击,所以叫堡垒机。运维人员只有堡垒机的登录账号,但是没有需要管理的各个系统和账号的密码,直接通过堡垒机登录即可,这样极大的保护了密码的泄露。
  2. 权限分离:在堡垒机可以根据每个运维人员的角色,关联不同权限。比如:CTO(首席技术执行官)拥有最高权限,可以对所有的设备进行任意操作;网络工程师仅有能使用网络设备的权利,而没有使用服务器的权利;运维工程师仅有能使用服务器的权限,而没有使用网络设备的权限。这是权限设备类型进行权限的控制,实际上可以通过多种方式对权限进行划分,比如,通过协议,某个用户仅能使用什么协议,不能使用什么协议。
  3. 行为回放,事后追责:假如某个运维人员的某项操作给企业造成了很大的损失,比如删库,就可以通过堡垒机找到是哪个人员、在什么时间、做了什么事。

堡垒机对登录的审核非常严格,需要事先有一个类似U盾一样的东西或者安装一个APP,每隔 一段时间就会生成一段随机码,运维人员登录时不仅需要用户名和密码,而且还要输入这段随机码!这样用户名和密码被知道了,也无法登陆堡垒机。如果登录了堡垒机,就相当于一机在手,天下我有。

部署方式

配置思路

1)   创建资源

2)   创建角色

3)   将角色关联到相应的资源

二、网闸GAP

与防火墙最相似的产品就是网闸了,它们的功能有很多重合的地方,但是它们的本质是不同的。

防火墙的作用:

“用于网络层多个子网之间的隔离和控制,隔离恶意报文的同时保证正常报文通过”

网闸的作用:

“用于网络接口层一对子网之间的隔离和控制,隔离恶意报文的同时保证正常报文通过”

网闸的产生:

实现内外网络物理隔离,同时能够进行数据交换。国家保密部门以及其他有关主管部门规定,涉密网及国家重大基础设施网络必须与公网物理隔离,但有些内网又必须与公网交换数据,为了解决这一矛盾,这样就催生了物理隔离网闸GAP产品的诞生。物理隔离网闸技术用一句话表述为:内外两个网络物理隔离,但逻辑上实现数据交换。

物理隔离网闸技术在两个网络之间创建了一个物理隔断,这意味着网络IP包不能从一个网络流向另外一个网络,系统命令不可能从一个网络流向另外一个网络,网络协议也不可能从一个网络流向另外一个网络。并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。对于有连接的PC,黑客使用各种方法,通过网络能够建立连接来对它们进行控制,然而物理隔断却能杜绝这种情况发生。物理隔离网闸技术除可以实现物理隔断外,还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。

物理隔离网闸的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。

物理隔离网闸的好处是明显的,即使外网在最坏的情况下,内网不会有任何破坏。修复外网系统也非常容易。

网闸与防火墙的区别

侧重点不同。防火墙侧重于对网络层、传输层的控制,在制定规则的时候通常是根据五元组(源/目标IP、源/目标端口、协议)制定规则,虽然也有对应用层数据的检查功能,但其深度并不如网闸;而网闸更加侧重于对应用层数据的深度检查和控制,虽然也有对网络层、传输层的控制,但这方面控制能力不如防火墙。

网闸对应用层数据的检测的细粒度更强,比防火墙更有效的对泄密、病毒和木马进行检查。如果报文触发了防火墙的拒绝规则,那只是在逻辑上拒绝报文通过,因为只有一块主板,属于在逻辑上拒绝通过;而如果报文触发了网闸的拒绝规则,因为有两块主板,可以在物理上就拒绝报文传递到另一块主板。所以网闸的安全性更好、更强,网闸是二层的设备,防火墙是三层设备,设备越底层,数据的安全性越高。

网闸上两个网络进行数据传输的时候要进行深度报文检测,检测完成之后才允许数据从一个主板“摆渡”到另一个主板,两个主板之间的数据传输相当于两个设备之间的数据传输,所以网闸的性能不如防火墙。

有的公司的人会问,我看别人都买网闸放置在网络出口,但是觉得太贵了,我能不能买一个防火墙?你怎么回答?

  1. 都是逻辑隔离,而不是物理隔离
  2. 防火墙是三层设备、网闸是二层设备,网闸的对数据的检查的细粒度更高。
  3. 防火墙的主要作用是安全域的划分和边界的访问控制,网闸是两个网之间的数据“摆渡”,安全级别比防火墙更高,但是它的速率比防火墙要低。
  4. 两者不能相互替代,为什么?用网闸代替防火墙的话,处理报文的速度太慢了;用防火墙代替网闸的话,对应用报文检查的细粒度不够。

猜你喜欢

转载自www.cnblogs.com/yizhangheka/p/11033092.html
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
女程序员是这样被恶搞的
B/S 和 C/S 的优缺点
vector一直申请会怎样?
座头鲸识别比赛(Humpback Whale Identification)总结
Linux高性能服务器编程——I/O复用 select
Mysql连接数据库(当包使用)
通过URI获取的文件路径为null的解决方法
1022-Primes on Interval(素数筛选+二分查找) ZCMU
Python出现: TypeError: expected string or buffer
bzoj2434: [Noi2011]阿狸的打字机 ac自动机+树状数组
每日归档
更多
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022