同樣是用于安全保障，堡壘機和防火墻有什么區(qū)別呢？

什么是堡壘機？

堡壘機針對內(nèi)部運維人員的運維安全審計系統(tǒng)。主要的功能是對運維人員的運維操作進行審計和權(quán)限控制。同時堡壘機還有賬號集中管理，單點登陸的功能。

堡壘機作為IT系統(tǒng)看門人的堡壘機其嚴格管控能力十分強大,能在很大程度上的攔截非法訪問和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設(shè)備的非法訪問行為,并對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控,以便事后責任追蹤。

不過審計是事后行為,審計可以發(fā)現(xiàn)問題,但是無法防止問題發(fā)生只有在事前嚴格控制,才能從源頭真正解決問題。

諸如任何人都只能通過堡壘機作為門戶單點登錄系統(tǒng)。堡壘機能集中管理和分配全部賬號,更重要的是堡壘機能對運維人員的運維操作進行嚴格審計和權(quán)限控制,確保運維的安全合規(guī)和運維人員的最小化權(quán)限管理,堡壘機的出現(xiàn)能夠保護企業(yè)網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性,使得企業(yè)網(wǎng)絡(luò)管理合理化和專業(yè)化。

堡壘機的工作原理

  在實際使用場景中，堡壘機的使用人員通?？煞譃楣芾砣藛T、運維操作人員、審計人員三類用戶。

  管理人員最重要的職責是根據(jù)相應(yīng)的安全策略和運維人員應(yīng)有的操作權(quán)限來配置堡壘機的安全策略。堡壘機管理員登錄堡壘機后，在堡壘機內(nèi)部，“策略管理”組件負責與管理員進行交互，并將管理人員輸入的安全策略存儲到堡壘機內(nèi)部的策略配置庫中。

  “應(yīng)用代理”組件是堡壘機的核心，負責中轉(zhuǎn)運維操作用戶的操作，并與堡壘機內(nèi)部其他組件進行交互。“應(yīng)用代理”組件收到運維人員的操作請求后，調(diào)用“策略管理”組件對該操作行為進行核查，核查依據(jù)便是管理員已經(jīng)配置好的策略配置庫，如此次操作不符合安全策略，代理”組件將拒絕該操作行為的執(zhí)行。

  運維人員的操作行為通過“策略管理”組件的核查之后，“應(yīng)用代理”組件則代替運維人員連接目標設(shè)備完成相應(yīng)操作，并將操作返回結(jié)果返回給對應(yīng)的運維操作人員；同時此次操作過程被提交給堡壘機內(nèi)部的“審計模塊”，然后此次操作過程被記錄到審計日志數(shù)據(jù)庫中。

  最后，當需要調(diào)查運維人員的歷史操作記錄時，由審計員登錄堡壘機進行查詢，然后“審計模塊”從審計日志數(shù)據(jù)庫中讀取相應(yīng)日志記錄，并展示在審計員交互界面上。

堡壘機的作用

  當公司的運維人員越來越多，當需要運維的設(shè)備越來越多，當參與運維的崗位越來越多樣性，如果沒有一套好的機制，就會產(chǎn)生運維混亂。具體而言，你很想知道“哪些人允許以哪些身份訪問哪些設(shè)備“而不可得。

（一）堡壘機讓“運維混亂”變“運維有序”

  堡壘機承擔起了運維人員在運維過程中的唯一入口，通過精細化授權(quán)，可以明確“哪些人以哪些身份訪問哪些設(shè)備”，從而讓運維混亂變得有序起來。堡壘機還有賬號集中管理，單點登陸的功能，堡壘機能夠集中管理資產(chǎn)權(quán)限。

（二）堡壘機讓“運維混亂”變“運維安全”

  堡壘機不僅可以明確每一個運維人員的訪問路徑，還可以將每一次訪問過程變得可“審計”，一旦出現(xiàn)問題，可追溯回源。

  堡壘機針對內(nèi)部運維人員的運維安全審計系統(tǒng)，主要的功能是對運維人員的運維操作進行審計和權(quán)限控制。全程記錄操作數(shù)據(jù)，實時還原運維場景，助力企業(yè)用戶構(gòu)建云上統(tǒng)一、安全、高效運維通道；保障云端運維工作權(quán)限可管控、操作可審計、合規(guī)可遵從。

  作為IT系統(tǒng)看門人的堡壘機其嚴格管控能力十分強大,能在很大程度上攔截非法訪問和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設(shè)備的非法訪問行為,并對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控,以便事后責任追蹤。

  如何做到可審計？顯而易見的方法是“全程錄像”和“指令查詢”。全程錄像很好理解，那么何謂指令查詢呢？所謂指令查詢是指將運維操作指令化。舉例而言，你家里在過去24小時內(nèi)進小偷了，你有監(jiān)控錄像，但需要你翻閱這24小時的錄像顯然不是一個聰明的做法，如果這時系統(tǒng)能夠幫助你把24小時錄像中出現(xiàn)的所有人頭像直接識別并羅列出來，你自然可以知道什么時間進來的小偷?！爸噶畈樵儭币彩侨绱?，錄像文件是你最后的保障，但通過指令查詢可以幫助你快速的定位到錄像文件的可疑位置。

堡壘機的分類

  基于其應(yīng)用場景，堡壘機可分為兩種類型：

1.網(wǎng)關(guān)型堡壘機

  網(wǎng)關(guān)型的堡壘機被部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，其本身不再直接向外部提供服務(wù)，而是作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，用于提供對內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問控制。這類堡壘機不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開來，因此除非授權(quán)訪問外，還可以過濾掉一些針對內(nèi)網(wǎng)的來自應(yīng)用層以下的攻擊，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類堡壘機需要處理應(yīng)用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進出口處流量越來越大，部署在網(wǎng)關(guān)位置的堡壘機逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。

2.運維審計型堡壘機

  運維審計型堡壘機的原理與網(wǎng)關(guān)型堡壘機類似，但其部署位置與應(yīng)用場景不同，且更為復(fù)雜。運維審計型堡壘機被部署在內(nèi)網(wǎng)中的服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對運維人員的操作權(quán)限進行控制和操作行為審計；運維審計型堡壘機既解決了運維人員權(quán)限難以控制的混亂局面，又可對違規(guī)操作行為進行控制和審計，而且由于運維操作本身不會產(chǎn)生大規(guī)模的流量，堡壘機不會成為性能的瓶頸，所以堡壘機作為運維操作審計的手段得到了快速發(fā)展。


什么是防火墻？

現(xiàn)代的防火墻一般都是指網(wǎng)絡(luò)防火墻，是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件。計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過網(wǎng)絡(luò)防火墻。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

 防火墻這個名詞，大家應(yīng)該不陌生，其實我們的PC主流使用的window 7 或 window10 系統(tǒng)都默認安裝了一個內(nèi)置防火墻，如下圖：

  防火墻，在物理意義上原指古代人們在房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。

 這里提到的網(wǎng)絡(luò)上的防火墻當然不是上面說到的含義，但是原理相似，也是防止災(zāi)難的擴散。

  防火墻（Firewall），也稱防護墻，它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。局域網(wǎng)內(nèi)部，不連接互聯(lián)網(wǎng)外網(wǎng)的一般是不需要防火墻的。通過防火墻可以隔離風險區(qū)域（即Internet或有一定風險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng))的連接，同時不會妨礙人們對風險區(qū)域的訪問。所以它一般連接在核心交換機與外網(wǎng)之間，起到一個把關(guān)的作用。

防火墻的工作原理

  一套完整的防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。

1、屏蔽路由器

  是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。

  這里舉個例子：

  一堆人來到一個快要開盤樓盤售樓部買房，售樓小姐先需要對他們進行簡單的登記和了解，如是否有正規(guī)工作、是否是本市戶口、是否能正常貸款、首付多少等等,記錄這一系列的問題后，售樓小姐會對來買房的人員進行一個過濾。

2、代理服務(wù)器

  是防火墻中的一個服務(wù)器進程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān)，一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項TCP/TP應(yīng)用，比如Telnet或者FTP，同代理服務(wù)器打交道，代理服務(wù)器要求用戶提供其要訪問的遠程主機名。當用戶答復(fù)并提供了正確的用戶身份及認證信息后，代理服務(wù)器連通遠程主機，為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。

  繼續(xù)講買房：

  當你已經(jīng)符合買房的條件了，你要買到房，關(guān)鍵的環(huán)節(jié)就是貸款，這時售樓顧問就是網(wǎng)關(guān)，你提供完整的貸款資料（工資證明，收入明細等）給售樓顧問，售樓顧問會審核下，各條件都符合了，沒有問題的話，他就提交給銀行，貸款批下來了，房子就可以順利的買到了。

防火墻的作用

 防火墻的作用是防止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡(luò)，入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。我們還可以將防火墻配置成許多不同保護級別。

  防火墻的基本作用：

1.限制入侵者進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；

2.防止入侵者接近防御設(shè)施；

3.限定用戶訪問特殊站點；

4.記錄通過防火墻信息內(nèi)容和活動；

5.對網(wǎng)絡(luò)攻擊檢測和告警；

6.關(guān)閉不使用的端口；

7.禁止特定端口的流出通信。

防火墻的分類

（一）網(wǎng)絡(luò)層防火墻

  網(wǎng)絡(luò)層防火墻可視為一種 IP封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

  我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

  較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源IP地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型（如 HTTP 或是 FTP）。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段等屬性來進行過濾。

（二）應(yīng)用層防火墻

  應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作，使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用FTP 時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進出某應(yīng)用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。

  防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言，這個方法既煩且雜（軟件有千千百百種啊），所以大部分的防火墻都不會考慮以這種方法設(shè)計。

  XML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

  目前市場的防火墻產(chǎn)品非常之多，劃分的標準也比較雜。主要分類如下：

1.從軟、硬件形式上，分為：軟件防火墻和硬件防火墻以及芯片級防火墻三種；

2.從防火墻技術(shù)上，分為：“包過濾型”和“應(yīng)用代理型”兩大類；

3.從防火墻結(jié)構(gòu)上，分為：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種；

4.按防火墻的應(yīng)用部署位置，分為：邊界防火墻、個人防火墻和混合防火墻三大類；

5.按防火墻性能，分為：百兆級防火墻和千兆級防火墻兩類。

（三）數(shù)據(jù)庫防火墻

  數(shù)據(jù)庫防火墻是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護系統(tǒng)?；谥鲃臃烙鶛C制，實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計。

  數(shù)據(jù)庫防火墻通過SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈，實現(xiàn)SQL危險操作的主動預(yù)防、實時審計。

  數(shù)據(jù)庫防火墻面對來自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫虛擬補丁包功能。

堡壘機和防火墻的區(qū)別是什么？

防火墻是私有網(wǎng)絡(luò)與公網(wǎng)之間的門衛(wèi)，而堡壘機是內(nèi)部運維人員與私網(wǎng)之間的門衛(wèi)。

防火墻墻所起的作用是隔斷，無論誰都過不去，但是堡壘機就不一樣了，他的職能是檢查和判斷是否可以通過，只要符合條件就可以通過，堡壘機更加靈活一些。

總的來說，公司內(nèi)部的網(wǎng)絡(luò)與公司外部的網(wǎng)絡(luò)之間可以通過防火墻來做一些網(wǎng)絡(luò)的限制，公司內(nèi)部網(wǎng)絡(luò)內(nèi)的電腦可以通過行云管家堡壘機來做統(tǒng)一訪問的入口，并提供運維審計與危險指令攔截等功能。我們的堡壘機是國內(nèi)領(lǐng)先的運維堡壘機品牌，在IT運維領(lǐng)域長達10年的沉淀和積累，同時也是市面上首款支持Windows2012/2016系統(tǒng)操作指令審計的運維堡壘機。