企業裡面有很多的伺服器和運維人員,為了方便運維,其中一些運維人員有伺服器的超級管理員賬號。如果某個運維人員因操作失誤把資料庫刪了,如何知道是哪個運維人員幹的呢?最開始的基本需求是:行為回放(記錄下來何人,在何時做了何事,方便事後追究責任)後來這個系統不斷的完善,後續又加入了許可權分離和安全管控,逐漸就形成了我們現在所見到的堡壘機
總結一下,堡壘機的三大作用:行為回放、許可權分離、安全管控。
主要用於登入各種網路裝置:交換機、防火牆、路由器、伺服器等。通過堡壘機可以實現許可權分離、安全管控、行為回放。
安全管控:只有通過它才能遠端登入各種遠端裝置,在它沒有攻破之前,即使有人獲得使用者名稱和密碼也無法登入相應的裝置和系統,像是乙個堡壘一樣,在堡壘沒有攻破之前,後續無法攻擊,所以叫堡壘機。運維人員只有堡壘機的登入賬號,但是沒有需要管理的各個系統和賬號的密碼,直接通過堡壘機登入即可,這樣極大的保護了密碼的洩露。
許可權分離:在堡壘機可以根據每個運維人員的角色,關聯不同許可權。比如:cto(首席技術執行官)擁有最高許可權,可以對所有的裝置進行任意操作;網路工程師僅有能使用網路裝置的權利,而沒有使用伺服器的權利;運維工程師僅有能使用伺服器的許可權,而沒有使用網路裝置的許可權。這是許可權裝置型別進行許可權的控制,實際上可以通過多種方式對許可權進行劃分,比如,通過協議,某個使用者僅能使用什麼協議,不能使用什麼協議。
行為回放,事後追責:假如某個運維人員的某項操作給企業造成了很大的損失,比如刪庫,就可以通過堡壘機找到是哪個人員、在什麼時間、做了什麼事。
note:想要實現安全管控很有可能需要其它網路裝置的配合,將使用者通過其它途徑訪問資源的途徑阻斷。
1) 建立資源
2) 建立角色,將使用者加入到相應的角色。
3) 將角色關聯到相應的資源
與防火牆最相似的產品就是網閘了,它們的功能有很多重合的地方,但是它們的本質是不同的。
防火牆的作用:
「用於網路層多個子網之間的隔離和控制,隔離惡意報文的同時保證正常報文通過」
網閘的作用:
「用於網路介面層一對子網之間的隔離和控制,隔離惡意報文的同時保證正常報文通過」
國家保密部門以及其他有關部門規定,像涉密網及國家重大基礎設施網路必須與公網進行物理隔離,但有些內網又必須與公網進行資料交換,為了解決這一矛盾,這樣就催生了物理隔離網閘gap產品的誕生,希望網閘可以實現:內外兩個網路物理隔離,但邏輯上實現資料交換。這種相互矛盾的要求,注定是無法完全實現的,網閘也沒有完全實現,最多只能說勉強實現。
網閘長這個樣子的:
如果把它拆開會發現內部的構造是兩塊主機板,主機板和主機板之後連線了一根線;從構造當中就可以看出來,它沒有實現國家要求的物理隔離,主機板和主機板之間還連著線,明明物理上連線著,所以不能說是實現了物理隔離。
這根線值得說道說道,這根線是用來傳輸主機板與主機板之間、網路和網路之間的資料,但這根線有乙個厲害的地方就是不允許有協議的連線通過,為什麼說這個功能很厲害呢?因為病毒、木馬、黑客的各種攻擊必須通過根據某種協議做為載體進行破壞,這根線不允許有協議的連線通過,意味著乙個主機板上的威脅無法通過這根線蔓延到另一塊主機板。可能你疑惑了,這根線不允許協議的連線通過,難道正常的資料在主機板之間傳輸不用協議嗎?正常的資料傳輸也必須通過某些協議,如果是這樣的話,豈不是正常的資料也無法通過了?其實這根線還有乙個控制器,這個控制器上有規則,這個規則是我們給它制定的,只有資料通過控制器嚴格的層層檢測,資料在控制器的控制下以電氣訊號的方式傳輸到另一塊主機板,在傳輸的過程當中
物理隔離網閘技術在兩個網路之間建立了乙個物理隔斷,這意味著網路ip包不能從乙個網路流向另外乙個網路,系統命令不可能從乙個網路流向另外乙個網路,網路協議也不可能從乙個網路流向另外乙個網路。並且可信網路上的計算機和不可信網路上的計算機從不會有實際的連線。對於有連線的pc,黑客使用各種方法,通過網路能夠建立連線來對它們進行控制,然而物理隔斷卻能杜絕這種情況發生。物理隔離網閘技術除可以實現物理隔斷外,還可以允許可信網路和不可信網路之間的資料、資源和資訊的安全交換。
物理隔離網閘的乙個特徵,就是內網與外網永不連線,內網和外網在同一時間最多只有乙個同隔離裝置建立非tcp/ip協議的資料連線。其資料傳輸機制是儲存和**。
物理隔離網閘的好處是明顯的,即使外網在最壞的情況下,內網不會有任何破壞。修復外網系統也非常容易。
側重點不同。防火牆側重於對網路層、傳輸層的控制,在制定規則的時候通常是根據五元組(源/目標ip、源/目標埠、協議)制定規則,雖然也有對應用層資料的檢查功能,但其深度並不如網閘;而網閘更加側重於對應用層資料的深度檢查和控制,雖然也有對網路層、傳輸層的控制,但這方面控制能力不如防火牆。
網閘對應用層資料的檢測的細粒度更強,比防火牆更有效的對洩密、病毒和木馬進行檢查。如果報文觸發了防火牆的拒絕規則,那只是在邏輯上拒絕報文通過,因為只有一塊主機板,屬於在邏輯上拒絕通過;而如果報文觸發了網閘的拒絕規則,因為有兩塊主機板,可以在物理上就拒絕報文傳遞到另一塊主機板。所以網閘的安全性更好、更強,網閘是二層的裝置,防火牆是三層裝置,裝置越底層,資料的安全性越高。
網閘上兩個網路進行資料傳輸的時候要進行深度報文檢測,檢測完成之後才允許資料從乙個主機板「擺渡」到另乙個主機板,兩個主機板之間的資料傳輸相當於兩個裝置之間的資料傳輸,所以網閘的效能不如防火牆。
有的公司的人會問,我看別人都買網閘放置在網路出口,但是覺得太貴了,我能不能買乙個防火牆?你怎麼回答?
都是邏輯隔離,而不是物理隔離
防火牆是三層裝置、網閘是二層裝置,網閘的對資料的檢查的細粒度更高。
防火牆的主要作用是安全域的劃分和邊界的訪問控制,網閘是兩個網之間的資料「擺渡」,安全級別比防火牆更高,但是它的速率比防火牆要低。
兩者不能相互替代,為什麼?用網閘代替防火牆的話,處理報文的速度太慢了;用防火牆代替網閘的話,對應用報文檢查的細粒度不夠。
堡壘機 網閘以及防火牆區別
4a特性 作用 由於當公司規模增大時,運維人員數量也會增加,對於不同運維人員的許可權也不同,並且當出現問題時要進行追責,可以使用堡壘機作為運維人員想要操作裝置必須要進入的乙個 入口 明確每個運維人員的訪問許可權以及行為的監控,當發生問題需要追溯問題源頭的時候,可以通過之前監控行為 審計 進行溯源,明...
網閘 中網網閘產品介紹
真正的物理隔離 中網物理隔離網閘真正實現了兩個網路之間的物理隔離。物理隔離網閘中斷了兩個網路之間的直接連線,所有的資料交換必須通過物理隔離網閘,網閘從網路層的第七層將資料還原為原始資料 檔案 然後以 擺渡檔案 的形式來傳遞資料。沒有包,命令和tcp ip協議可以穿透物理隔離網閘。這同透明橋,混雜模式...
堡壘機技術
有一句名言 堡壘往往從內部攻破。在資訊化社會,資訊保安發展的程序,已經清晰地印證了這個道理。如何加固組織機構內部網路的 內防體系 有效防範打擊 內鬼 杜絕因為內部隱患而導致的資訊遭竊密 資料被篡改 系統被破壞等嚴重後果,成為近年內國際資訊保安業界在內網安全領域的新課題。資料內控,也自然成為整個行業市...