堡垒机与网闸

1、堡垒机

堡垒机的产生：

企业里面有不少的服务器和运维人员，为了方便运维，其中一些运维人员有服务器的超级管理员帐号。若是某个运维人员因操做失误把数据库删了，如何知道是哪一个运维人员干的呢？最开始的基本需求是：行为回放（记录下来何人，在什么时候作了何事，方便过后追究责任）后来这个系统不断的完善，后续又加入了权限分离和安全管控，逐渐就造成了咱们如今所见到的堡垒机

总结一下，堡垒机的三大做用：行为回放、权限分离、安全管控。

主要做用：

主要用于登陆各类网络设备：交换机、防火墙、路由器、服务器等。经过堡垒机能够实现权限分离、安全管控、行为回放。

1. 安全管控：只有经过它才能远程登陆各类远程设备，在它没有攻破以前，即便有人得到用户名和密码也没法登陆相应的设备和系统，像是一个堡垒同样，在堡垒没有攻破以前，后续没法***，因此叫堡垒机。运维人员只有堡垒机的登陆帐号，可是没有须要管理的各个系统和帐号的密码，直接经过堡垒机登陆便可，这样极大的保护了密码的泄露。
2. 权限分离：在堡垒机能够根据每一个运维人员的角色，关联不一样权限。好比：CTO（首席技术执行官）拥有最高权限，能够对全部的设备进行任意操做；网络工程师仅有能使用网络设备的权利，而没有使用服务器的权利；运维工程师仅有能使用服务器的权限，而没有使用网络设备的权限。这是权限设备类型进行权限的控制，实际上能够经过多种方式对权限进行划分，好比，经过协议，某个用户仅能使用什么协议，不能使用什么协议。
3. 行为回放，过后追责：假如某个运维人员的某项操做给企业形成了很大的损失，好比删库，就能够经过堡垒机找到是哪一个人员、在什么时间、作了什么事。

NOTE：有些品牌堡垒机对登陆的审核很是严格，须要事先有一个相似U盾同样的东西或者安装一个APP，每隔 一段时间就会生成一段随机码，运维人员登陆时不只须要用户名和密码，并且还要输入这段随机码！这样用户名和密码被知道了，也没法登录堡垒机。若是登陆了堡垒机，就至关于一机在手，天下我有。

部署方式：

NOTE：想要实现安全管控颇有可能须要其它网络设备的配合，将用户经过其它途径访问资源的途径阻断。

配置思路：

1)   建立资源

2)   建立角色，将用户加入到相应的角色。

3)   将角色关联到相应的资源

2、网闸GAP

与防火墙最类似的产品就是网闸了，它们的功能有不少重合的地方，可是它们的本质是不一样的。

防火墙的做用：

“用于网络层多个子网之间的隔离和控制，隔离恶意报文的同时保证正常报文经过”

网闸的做用：

“用于网络接口层一对子网之间的隔离和控制，隔离恶意报文的同时保证正常报文经过”

网闸的产生：

国家保密部门以及其余有关部门规定，像涉密网及国家重大基础设施网络必须与公网进行物理隔离，但有些内网又必须与公网进行数据交换，为了解决这一矛盾，这样就催生了物理隔离网闸GAP产品的诞生，但愿网闸能够实现：内外两个网络物理隔离，但逻辑上实现数据交换。这种相互矛盾的要求，注定是没法彻底实现的，网闸也没有彻底实现，最多只能说勉强实现。

网闸长这个样子的：

若是把它拆开会发现内部的构造是两块主板，主板和主板以后链接了一根线；从构造当中就能够看出来，它没有实现国家要求的物理隔离，主板和主板之间还连着线，明明物理上链接着，因此不能说是实现了物理隔离。

这根线值得说道说道，这根线是用来传输主板与主板之间、网络和网络之间的数据，但这根线有一个厉害的地方就是不容许有协议的链接经过，为何说这个功能很厉害呢？由于病毒、***、***的各类***必须经过根据某种协议作为载体进行破坏，这根线不容许有协议的链接经过，意味着一个主板上的威胁没法经过这根线蔓延到另外一块主板。可能你疑惑了，这根线不容许协议的链接经过，难道正常的数据在主板之间传输不用协议吗？正常的数据传输也必须经过某些协议，若是是这样的话，岂不是正常的数据也没法经过了？其实这根线还有一个控制器，这个控制器上有规则，这个规则是咱们给它制定的，只有数据经过控制器严格的层层检测，数据在控制器的控制下以电气信号的方式传输到另外一块主板，在传输的过程中

物理隔离网闸技术在两个网络之间建立了一个物理隔断，这意味着网络IP包不能从一个网络流向另一个网络，系统命令不可能从一个网络流向另一个网络，网络协议也不可能从一个网络流向另一个网络。而且可信网络上的计算机和不可信网络上的计算机从不会有实际的链接。对于有链接的PC，***使用各类方法，经过网络可以创建链接来对它们进行控制，然而物理隔断却能杜绝这种状况发生。物理隔离网闸技术除能够实现物理隔断外，还能够容许可信网络和不可信网络之间的数据、资源和信息的安全交换。

物理隔离网闸的一个特征，就是内网与外网永不链接，内网和外网在同一时间最多只有一个同隔离设备创建非TCP/IP协议的数据链接。其数据传输机制是存储和转发。

物理隔离网闸的好处是明显的，即便外网在最坏的状况下，内网不会有任何破坏。修复外网系统也很是容易。

网闸与防火墙的区别

侧重点不一样。防火墙侧重于对网络层、传输层的控制，在制定规则的时候一般是根据五元组（源/目标IP、源/目标端口、协议）制定规则，虽然也有对应用层数据的检查功能，但其深度并不如网闸；而网闸更加侧重于对应用层数据的深度检查和控制，虽然也有对网络层、传输层的控制，但这方面控制能力不如防火墙。

网闸对应用层数据的检测的细粒度更强，比防火墙更有效的对泄密、病毒和***进行检查。若是报文触发了防火墙的拒绝规则，那只是在逻辑上拒绝报文经过，由于只有一块主板，属于在逻辑上拒绝经过；而若是报文触发了网闸的拒绝规则，由于有两块主板，能够在物理上就拒绝报文传递到另外一块主板。因此网闸的安全性更好、更强，网闸是二层的设备，防火墙是三层设备，设备越底层，数据的安全性越高。

网闸上两个网络进行数据传输的时候要进行深度报文检测，检测完成以后才容许数据从一个主板“摆渡”到另外一个主板，两个主板之间的数据传输至关于两个设备之间的数据传输，因此网闸的性能不如防火墙。

有的公司的人会问，我看别人都买网闸放置在网络出口，可是以为太贵了，我能不能买一个防火墙？你怎么回答？

1. 都是逻辑隔离，而不是物理隔离
2. 防火墙是三层设备、网闸是二层设备，网闸的对数据的检查的细粒度更高。
3. 防火墙的主要做用是安全域的划分和边界的访问控制，网闸是两个网之间的数据“摆渡”，安全级别比防火墙更高，可是它的速率比防火墙要低。
4. 二者不能相互替代，为何？用网闸代替防火墙的话，处理报文的速度太慢了；用防火墙代替网闸的话，对应用报文检查的细粒度不够。