一、跳板机

早在2000年左右，一些中大型企业为了能对运维人员的远程登录进行集中管理，会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器，所有运维人员都需要先远程登录跳板机，然后再从跳板机登录其他服务器中进行运维操作。

二、为什么需要堡垒机？

堡垒机是从跳板机（也叫前置机）的概念演变过来的。

跳板机并没有实现对运维人员操作行为的控制和审计，使用跳板机过程中还是会有误操作、违规操作导致的操作事故，一旦出现操作事故很难快速定位原因和责任人。

此外，跳板机存在严重的安全风险，一旦跳板机系统被攻入，则将后端资源风险完全暴露无遗。同时，对于个别资源（如telnet）可以通过跳板机来完成一定的内控，但是对于更多更特殊的资源（ftp、rdp等）来讲就显得力不从心了。

堡垒机是一种用于管理和控制远程服务器、网络设备等系统的安全设备。它能够将用户的访问流量进行精细化的管理和控制，实现用户权限的集中管控、会话管理、审计跟踪等功能，从而提升系统安全性和管理效率。

堡垒机既可以是硬件设备，也可以是软件。

硬件设备通常是指预装了堡垒机软件的专用服务器，具有更高的稳定性和性能，而软件形式的堡垒机则可以在虚拟化环境中部署。

但是，堡垒机的配置、部署和维护都需要专业技术，不正确的配置可能会影响系统的安全性和稳定性。

堡垒机与跳板机的区别主要在于功能不同：跳板机只是一种通用的远程登录工具，用于远程登录到目标机器，可以将本地的 SSH 连接转发到被控机器上；而堡垒机则具备更为丰富的管理和控制功能，如用户认证、权限授权、会话审计、运维流程控制、统一管理等，帮助企业实现安全管控和降低风险。

1）核心系统运维和安全审计管控；

2）过滤和拦截非法访问、恶意攻击，阻断不合法命令，审计监控、报警、责任追踪；

3）报警、记录、分析、处理；

1）单点登录功能

支持对X11、Linux、Unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全；

2）账号管理

设备支持统一账户管理策略，能够实现对所有服务器、网路设备、安全设备等账号进行集中管理，完成对账号整个生命周期的监控，并且可以对设备进行特殊角

设置，如：审计巡检员、运维操作员、设备管理员等自定义，以满足审计需求；

3）身份认证

设备提供统一的认证接口，对用户进行认证，支持身份认证模式包括动态口令、静态密码、硬件key、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器直接结合；

安全的认证模式，有效提高了认证的安全性和可靠性；

4）资源授权

设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全；

5）访问控制

设备支持对不同用户进行不同策略的制定，细粒度的访问控制能够最大限度的

保护用户资源的安全，严防非法、越权访问事件的发生；

6）操作审计

设备能够对字符串、图形、文件传输、数据库等安全操作进行行为审计；通过设备录像方式监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作，对违规行为进行事中控制；对终端指令信息能够进行精确搜索，进行录像精确定位；