堡垒机
4A特性:
集中认证(authentication)
目前,很多系统采用基本的帐号与口令方式进行认证,由于没有技术机制的限制,口令的设置过于简单,无法实现用户标识唯一性,须考虑增强认证手段和统一管理。
集中帐号(account)
帐号是用来标识身份,管理访问权限等。西部数码的堡垒机支持多种双因子认证机制,通过短信认证、RAM子账号MFA等技术,防止运维人员身份冒用和复用,控制账号密码泄露风险。
集中权限(authorization)
每个帐号在系统中能做的操作是不同的,需要管理者进行精细的授权,确保每个帐号具有最合适的权限,防止操作越权。目前各系统都有一套独立的认证、授权和审计机制,分别由管理员负责维护和管理。
集中审计(audit)
在IT运维领域,堡垒机主要是对运维人员操作的真实性、正确性、合规性等进行审查和监督。所有操作和行为可视化,并提供实时监控、记录、在线回放等功能,为追溯运维操作和事故分析提供依据,达到运维审计的目的。
作用:
由于当公司规模增大时,运维人员数量也会增加,对于不同运维人员的权限也不同,并且当出现问题时要进行追责,可以使用堡垒机作为运维人员想要操作设备必须要进入的一个"入口",明确每个运维人员的访问权限以及行为的监控,当发生问题需要追溯问题源头的时候,可以通过之前监控行为(审计)进行溯源,明确问题的发生源头。
在堡垒机中,我们可以统一登录服务器,只需要输入堡垒机中自己用户的密码,选择进入的服务器即可,不需要记录某台服务器的远程登录密码。
网闸
网闸(GAP,安全隔离网闸):
是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的设备。
作用:
在保证网络绝对安全的情况下进行通信,如果发现不安全的因素,那么就会进行物理层面的断开,类似于断开网线,网闸能够让使用者拥有对不同网络直接隔壁与访问的控制权,因为如果没有了链路的连接,是不能直接通过网络进行攻击的。
防火墙
发展历史
1代防火墙(包过滤防火墙)
2代防火墙(应用代理防火墙)
3代防火墙
(状态检测防火墙(刚开始属于软件形式,部署在小型机上,1995年后有了物理防火墙)
专用防火墙(例如WAF等等)
UTM(统一威胁管理)
NGFW(下一代防火墙)
对于UTM这类设备来说,虽然集成了大部分的功能,但是不能进行联动使用,因为模块的独立化,因此很吃设备性能,容易导致宕机,因此能一次性使用的模块不多。
下一代防火墙目前使用是比较多的,由于使用一体化的检测流程,因此能够满足多功能联动的效果,比起UTM来说好得多的多。
课程咨询 :
微信:smallbellbee
欢迎添加,了解腾科课程体系介绍,可获取学习资源。
官方微博:腾科教育官微
官网:www.tk-edu.com
全国统一热线:400-1024-400
