網(wǎng)關(guān)型堡壘機(jī)

網(wǎng)關(guān)型的堡壘機(jī)被部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，其本身不再直接向外部提供服務(wù)，而是作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點(diǎn)，用于提供對內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問控制。這類堡壘機(jī)不提供路由功能，將內(nèi)　外網(wǎng)從網(wǎng)絡(luò)層隔離開來，因此除非授權(quán)訪問外，還可以過濾掉一些針對內(nèi)網(wǎng)的來自應(yīng)用層以下的攻擊，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類堡壘機(jī)需要處理應(yīng)用　層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進(jìn)出口處流量越來越大，部署在網(wǎng)關(guān)位置的堡壘機(jī)逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機(jī)逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。

堡壘機(jī)運(yùn)維操作審計的工作原理

在實際使用場景中，堡壘機(jī)的使用人員通常可分為管理人員、運(yùn)維操作人員、審計人員三類用戶。

管理員重要的職責(zé)是根據(jù)相應(yīng)的安全策略和運(yùn)維人員應(yīng)有的操作權(quán)限來配置堡壘機(jī)的安全策略。堡壘機(jī)管理員登錄堡壘機(jī)后，在堡壘機(jī)內(nèi)部，“策略管理”組件負(fù)責(zé)與管理員進(jìn)行交互，并將管理　員輸入的安全策略存儲到堡壘機(jī)內(nèi)部的策略配置庫中。

“應(yīng)用代理”組件是堡壘機(jī)的，負(fù)責(zé)中轉(zhuǎn)運(yùn)維操作用戶的操作，并與堡壘機(jī)內(nèi)部其他組件進(jìn)行交互。“應(yīng)用代理”組件收到運(yùn)維人員的操作請求后，調(diào)用“策略管理”組件對該操作行為進(jìn)行核查，核查依據(jù)便是管理員已經(jīng)配置好的策略配置庫，如此次操作不符合安全策略，代理”組件將拒絕該操作行為的執(zhí)行。

堡壘機(jī)常見的運(yùn)維方式

B/S運(yùn)維：通過瀏覽器運(yùn)維。C/S運(yùn)維：通過客戶端軟件運(yùn)維，比如Xshell，CRT等。H5運(yùn)維：直接在網(wǎng)頁上可以打開遠(yuǎn)程桌面，進(jìn)行運(yùn)維。無需安裝本地運(yùn)維工具，只要有瀏覽器就可以對常用協(xié)議進(jìn)行運(yùn)維操作，支持ssh、telnet、rlogin、rdp、vnc協(xié)議網(wǎng)關(guān)運(yùn)維：采用SSH關(guān)方式，實現(xiàn)代理直接登錄目標(biāo)主機(jī)，適用于運(yùn)維自動化場景。