跳板机和堡垒机

百度了好久，翻了好几页，也没有把跳板机和堡垒机讲明白，知道看到了这篇：原文链接：http://blog.51cto.com/3436673/1761000，才算是把堡垒机和跳板机搞明白，推荐给大家！！！！

https://www.cnblogs.com/tiger-fu/p/9081078.html

 

跳板机

1.跳板机简介

跳板机就是一台服务器，运维人员在维护过程中首先要统一登录到这台服务器，然后再登录到目标设备进行维护和操作；

在腾讯，跳板机是开发者登录到服务器的唯一途径，开发者必须先登录跳板机，再通过跳板机登录到应用服务器。

2.跳板机的验证方式

1）固定密码

2）证书+固定密码+动态验证码三重认证方式（腾讯）

 

作用：a.保护业务机器的安全；

b.通过证书避免身份伪造，通过动态token避免证书丢失后的身份假冒，最大限度的保证安全性；

证书：Certificate证书为文本格式，长度为2048bit；是应用登录到机器上的唯一身份标识，每个用户有且仅有一个证书；

固定密码：分配LDAP账号时，同时也会分配一个固定密码

动态验证码（token）：是一个6位数的数字串，每个动态验证码有效期3分钟；

参考（腾讯客服）：http://kf.qq.com/faq/120322fu63YV130422RZbMrY.html

3.跳板机的优势和不足：

1）优势：集中管理

2）不足：

没有实现对运维人员操作行为的控制和审计，使用跳板机的过程中还是会出现误操作、违规操作导致的事故，一旦出现操作事故很难快速定位到原因和责任人；

4.运维思想：

1）审计是事后行为，可以发现问题及责任人，但无法防止问题发生；

2）只有事先严格控制，才能从源头真正解决问题；

3）系统账号的作用只是区分工作角色，但无法确认用户身份；

4）只要是机器能做的，就不要人去做；

运维堡垒机

1.堡垒机简介

1）堡垒机的理念起于跳板机；

2005年齐治科技研发出世界第一台运维堡垒机；（齐治科技官网http://www.shterm.com/）

2）齐治科技堡垒机：

 

集中管理是前提；

身份管理是基础；

访问控制是手段；

操作审计是保证；

自动化是目标。

具体怎么实现呢？------有待研究。。。

3）堡垒机是通过切断终端对计算机网络和服务器资源的直接访问，采用协议代理的方式接管终端计算机对网络和服务器的访问；

2.堡垒机作用

1）核心系统运维和安全审计管控；

2）过滤和拦截非法访问、恶意攻击，阻断不合法命令，审计监控、报警、责任追踪；

3）报警、记录、分析、处理；

3.堡垒机核心功能

1）单点登录功能

支持对X11、Linux、Unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全；

2）账号管理

设备支持统一账户管理策略，能够实现对所有服务器、网路设备、安全设备等账号进行集中管理，完成对账号整个生命周期的监控，并且可以对设备进行特殊角

设置，如：审计巡检员、运维操作员、设备管理员等自定义，以满足审计需求；

3）身份认证

设备提供统一的认证接口，对用户进行认证，支持身份认证模式包括动态口令、静态密码、硬件key、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器直接结合；

安全的认证模式，有效提高了认证的安全性和可靠性；

4）资源授权

设备提供基于用户、目标设备、