一、堡壘機
堡壘機的產生:
企業里面有很多的服務器和運維人員,為了方便運維,其中一些運維人員有服務器的超級管理員賬號。如果某個運維人員因操作失誤把數據庫刪了,如何知道是哪個運維人員干的呢?最開始的基本需求是:行為回放(記錄下來何人,在何時做了何事,方便事后追究責任)后來這個系統不斷的完善,后續又加入了權限分離和安全管控,逐漸就形成了我們現在所見到的堡壘機
總結一下,堡壘機的三大作用:行為回放、權限分離、安全管控。
主要作用:
主要用於登錄各種網絡設備:交換機、防火牆、路由器、服務器等。通過堡壘機可以實現權限分離、安全管控、行為回放。
- 安全管控:只有通過它才能遠程登錄各種遠程設備,在它沒有攻破之前,即使有人獲得用戶名和密碼也無法登錄相應的設備和系統,像是一個堡壘一樣,在堡壘沒有攻破之前,后續無法攻擊,所以叫堡壘機。運維人員只有堡壘機的登錄賬號,但是沒有需要管理的各個系統和賬號的密碼,直接通過堡壘機登錄即可,這樣極大的保護了密碼的泄露。
- 權限分離:在堡壘機可以根據每個運維人員的角色,關聯不同權限。比如:CTO(首席技術執行官)擁有最高權限,可以對所有的設備進行任意操作;網絡工程師僅有能使用網絡設備的權利,而沒有使用服務器的權利;運維工程師僅有能使用服務器的權限,而沒有使用網絡設備的權限。這是權限設備類型進行權限的控制,實際上可以通過多種方式對權限進行划分,比如,通過協議,某個用戶僅能使用什么協議,不能使用什么協議。
- 行為回放,事后追責:假如某個運維人員的某項操作給企業造成了很大的損失,比如刪庫,就可以通過堡壘機找到是哪個人員、在什么時間、做了什么事。
NOTE:有些品牌堡壘機對登錄的審核非常嚴格,需要事先有一個類似U盾一樣的東西或者安裝一個APP,每隔 一段時間就會生成一段隨機碼,運維人員登錄時不僅需要用戶名和密碼,而且還要輸入這段隨機碼!這樣用戶名和密碼被知道了,也無法登陸堡壘機。如果登錄了堡壘機,就相當於一機在手,天下我有。
部署方式:
NOTE:想要實現安全管控很有可能需要其它網絡設備的配合,將用戶通過其它途徑訪問資源的途徑阻斷。
配置思路:
1) 創建資源
2) 創建角色,將用戶加入到相應的角色。
3) 將角色關聯到相應的資源
二、網閘GAP
與防火牆最相似的產品就是網閘了,它們的功能有很多重合的地方,但是它們的本質是不同的。
防火牆的作用:
“用於網絡層多個子網之間的隔離和控制,隔離惡意報文的同時保證正常報文通過”
網閘的作用:
“用於網絡接口層一對子網之間的隔離和控制,隔離惡意報文的同時保證正常報文通過”
網閘的產生:
國家保密部門以及其他有關部門規定,像涉密網及國家重大基礎設施網絡必須與公網進行物理隔離,但有些內網又必須與公網進行數據交換,為了解決這一矛盾,這樣就催生了物理隔離網閘GAP產品的誕生,希望網閘可以實現:內外兩個網絡物理隔離,但邏輯上實現數據交換。這種相互矛盾的要求,注定是無法完全實現的,網閘也沒有完全實現,最多只能說勉強實現。
網閘長這個樣子的:
如果把它拆開會發現內部的構造是兩塊主板,主板和主板之后連接了一根線;從構造當中就可以看出來,它沒有實現國家要求的物理隔離,主板和主板之間還連着線,明明物理上連接着,所以不能說是實現了物理隔離。
這根線值得說道說道,這根線是用來傳輸主板與主板之間、網絡和網絡之間的數據,但這根線有一個厲害的地方就是不允許有協議的連接通過,為什么說這個功能很厲害呢?因為病毒、木馬、黑客的各種攻擊必須通過根據某種協議做為載體進行破壞,這根線不允許有協議的連接通過,意味着一個主板上的威脅無法通過這根線蔓延到另一塊主板。可能你疑惑了,這根線不允許協議的連接通過,難道正常的數據在主板之間傳輸不用協議嗎?正常的數據傳輸也必須通過某些協議,如果是這樣的話,豈不是正常的數據也無法通過了?其實這根線還有一個控制器,這個控制器上有規則,這個規則是我們給它制定的,只有數據通過控制器嚴格的層層檢測,數據在控制器的控制下以電氣信號的方式傳輸到另一塊主板,在傳輸的過程當中
物理隔離網閘技術在兩個網絡之間創建了一個物理隔斷,這意味着網絡IP包不能從一個網絡流向另外一個網絡,系統命令不可能從一個網絡流向另外一個網絡,網絡協議也不可能從一個網絡流向另外一個網絡。並且可信網絡上的計算機和不可信網絡上的計算機從不會有實際的連接。對於有連接的PC,黑客使用各種方法,通過網絡能夠建立連接來對它們進行控制,然而物理隔斷卻能杜絕這種情況發生。物理隔離網閘技術除可以實現物理隔斷外,還可以允許可信網絡和不可信網絡之間的數據、資源和信息的安全交換。
物理隔離網閘的一個特征,就是內網與外網永不連接,內網和外網在同一時間最多只有一個同隔離設備建立非TCP/IP協議的數據連接。其數據傳輸機制是存儲和轉發。
物理隔離網閘的好處是明顯的,即使外網在最壞的情況下,內網不會有任何破壞。修復外網系統也非常容易。
網閘與防火牆的區別
側重點不同。防火牆側重於對網絡層、傳輸層的控制,在制定規則的時候通常是根據五元組(源/目標IP、源/目標端口、協議)制定規則,雖然也有對應用層數據的檢查功能,但其深度並不如網閘;而網閘更加側重於對應用層數據的深度檢查和控制,雖然也有對網絡層、傳輸層的控制,但這方面控制能力不如防火牆。
網閘對應用層數據的檢測的細粒度更強,比防火牆更有效的對泄密、病毒和木馬進行檢查。如果報文觸發了防火牆的拒絕規則,那只是在邏輯上拒絕報文通過,因為只有一塊主板,屬於在邏輯上拒絕通過;而如果報文觸發了網閘的拒絕規則,因為有兩塊主板,可以在物理上就拒絕報文傳遞到另一塊主板。所以網閘的安全性更好、更強,網閘是二層的設備,防火牆是三層設備,設備越底層,數據的安全性越高。
網閘上兩個網絡進行數據傳輸的時候要進行深度報文檢測,檢測完成之后才允許數據從一個主板“擺渡”到另一個主板,兩個主板之間的數據傳輸相當於兩個設備之間的數據傳輸,所以網閘的性能不如防火牆。
有的公司的人會問,我看別人都買網閘放置在網絡出口,但是覺得太貴了,我能不能買一個防火牆?你怎么回答?
- 都是邏輯隔離,而不是物理隔離
- 防火牆是三層設備、網閘是二層設備,網閘的對數據的檢查的細粒度更高。
- 防火牆的主要作用是安全域的划分和邊界的訪問控制,網閘是兩個網之間的數據“擺渡”,安全級別比防火牆更高,但是它的速率比防火牆要低。
- 兩者不能相互替代,為什么?用網閘代替防火牆的話,處理報文的速度太慢了;用防火牆代替網閘的話,對應用報文檢查的細粒度不夠。