1. 基本概念

堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能。从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过堡垒机的翻译。打一个比方,堡垒机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后进行责任追踪。

2. 为什么要使用堡垒机

随着苏州大学信息化建设的展开,网络设备和服务器(包括虚拟机)的数量激增,在这群复杂的设备背后,是来自不同背景的运维人员。在日常对网络设备和服务器运行维护的过程中,常常会出现如下一些主要问题:
  • 多个用户使用同一个账号管理一台设备。这种做法会导致发生安全事故后,难以定位账号的实际使用者和责任人,存在较大安全风险和隐患。
  • 一个用户使用多个账号管理多台设备。目前,这种做法是比较普遍的,一个运维人员往往需要管理很多设备,他需要记忆多套账号口令,在多套主机系统、网络设备之间切换。这种做法会降低工作效率,增加工作复杂度。
  • 现在的网络设备和服务器大多数是被动防御,即在安全问题发生后人为的通过日志分析去定位安全责任,这种做法很难及时通过系统自身审计发现违规操作行为和追查取证。
随着堡垒机的上线,我们可以解决上述这些问题,以及其他的诸如访问控制、自动化操作等问题。