【堡垒机测评】关于纽盾堡垒机、jumpserver堡垒机、行云管家堡垒机的使用对比

公司的业务开展得愈来愈广，对IT的支撑能力要求也愈来愈高了。有几个方面表现得特别突出：一是业务系统在不断膨胀，用到的主机和服务（如数据库）也随之膨胀；二是业务系统在逐渐往云上搬，使用的云资源在逐渐增多；三是对安全要求愈来愈高了，业务系统自己要求稳定运行，运维操做也不容有失。

近日，公司准备上堡垒机了，做为运维老兵，本人也参与了堡垒机产品的试用和选型工做，期间根据安排测试试用了几款产品：行云管家、纽盾堡垒机、Jumpserver。

下面根据个人测试试用过程，从产品的安装配置、产品功能、使用体验、产品报价等几个方面介绍下上述几款产品的特色，权做选型试用做业的答卷，也但愿能给你们一个参考。

1. 产品部署

堡垒机做为IT基础设施的一部分，其自己也是须要维护的，那么熟知堡垒机的运行环境，对堡垒机进行安装部署就是对堡垒机自己进行运维的一部分了。

总的来讲，在我所试用的这几款堡垒机产品中，相对最容易安装部署的是行云管家；纽盾堡垒机须要准备机房环境和额外的网络环境；Jumpserver即使是快捷安装，也须要自行手工安装诸多依赖组件，过程较繁琐。

分述以下：

行云管家堡垒机

产品形态：纯软件，有SaaS版和私有部署版

安装环境要求：物理服务器或虚拟机，最低2核4G，50G存储空间，CentOS操做系统

安装准备：CentOS7.4/7.5/7.6/7.7都可，最小化安装便可，无需额外准备其它组件或环境

安装方式：一键式安装，执行一个安装命令便可

部署方式：一体化部署或分布式部署，支持高可用部署

纽盾堡垒机

产品形态：物理硬件

安装环境要求：需提供机房环境（机架机位、电源），单独的网络

安装准备：获取厂家提供的硬件（可申请试用），准备机房环境和网络环境

安装方式：硬件设备安装+网络调试

部署方式：支持高可用部署（所需硬件翻倍）

Jumpserver堡垒机

产品形态：纯软件，无SaaS版，须要自行部署

安装环境要求：2个CPU核心, 4G 内存, 50G 硬盘，CentOS或Ubuntu操做系统

安装准备：Centos7/8或Ubuntu18.04，安装服务器须要可以链接互联网

安装方式：需手工逐一安装MySQL、Redis、Nginx等各个组件

部署方式：一体化部署或分布式部署

2. 堡垒机的产品功能

做为堡垒机的最终使用者，更多的是考察产品的功能，结合咱们自身当前的使用需求，兼顾向云上特别是公有云迁移的态势，来考察几款堡垒机的需求知足能力以及扩展性等方面。

我主要从可管理资源、资源受权、资源访问、访问审计这几个方面对三个产品进行了试用考察。

可管理资源

从可管理资源角度看，三款试用产品基本都能管理IP化的设备，其中行云管家支持以API方式管理几乎全部公有云厂商的云资源，能很好的知足咱们向云迁移的需求，这点优点比较突出。

分述以下：

行云管家堡垒机：支持管理任何IP化的资源，支持以API方式管理几乎全部公有云厂商资源

纽盾堡垒机：支持管理IP化资源，由于其访问方式限制，必需要其浏览器插件支持的本地工具能够对资源进行访问才能管理该资源；不支持以API方式管理公有云厂商资源

Jumpserver堡垒机：支持管理IP化资源；不支持以API方式管理公有云厂商资源

资源受权

受权控制做为堡垒机的关键核心能力，须要灵活的受权能力和统一的受权视图。

行云管家堡垒机：支持将任意资源受权予用户、用户组或角色；能够以受权组形式，显式地进行资源受权----将资源与用户（或用户组、角色）显式的进行关联受权管理

纽盾堡垒机：支持将单个或一组资源受权予用户或用户组，无角色概念，受权欠清晰

Jumpserver堡垒机：支持将单个或一组资源受权予用户或用户组，无角色概念，受权欠清晰

访问控制策略

行云管家堡垒机：支持控制来源IP、访问时段；登陆审批、指令审批；控制是否容许使用本地工具；控制主机操做动做（启/停等）；控制文件传输；运维会话背景加水印

纽盾堡垒机：支持控制来源IP、访问时段；命令过滤

Jumpserver堡垒机：命令过滤

资源访问方式

行云管家堡垒机：支持跳板机、Web桌面（终端）、本地工具，支持移动终端访问（手机、平板等设备访问有特别优化）

纽盾堡垒机：仅支持PC端的本地工具

Jumpserver堡垒机：支持跳板机、Web桌面（终端）

会话过程控制

行云管家堡垒机：管理员可查看会话列表、进入并查看会话、剥夺会话控制权（鼠标/键盘输入）、终断会话

纽盾堡垒机：管理员可查看会话列表、进入并查看会话、终断会话

Jumpserver堡垒机：管理员可查看会话列表、终断会话

访问审计

行云管家堡垒机：访问过程录像回放、Windows指令审计，指令检索、指令录像定位

纽盾堡垒机：访问过程录像回放、指令检索、指令录像定位

Jumpserver堡垒机：访问过程录像回放

3. 操做体验

行云管家堡垒机：界面风格及提示友好，操做界面引导性强，无陌生词，基本无需培训（文档）便可使用

纽盾堡垒机：界面风格略显笨重，需培训或文档指引，界面操做缺少引导性（无向导）

Jumpserver堡垒机：界面风格基本友好，界面操做缺少引导性（无向导）

4. 产品价格

行云管家堡垒机：有SaaS版，基础版免费，根据资产规模有阶梯式报价，私有部署版根据资产规模报价，资产规模梯级粒度较细

纽盾堡垒机：物理设备报价，价格梯级间差距略粗

Jumpserver堡垒机：为开源产品，有商业版

5. 试用总结

经过测试试用发现，从堡垒机的安装部署及维护角度来看，行云管家执行一个脚本便可完成部署，无需手工安装依赖组件，相对较容易部署和维护；从产品功能来看，几款堡垒机基本可以知足公司当前的使用场景需求，但从向云迁移这个需求角度来看，行云管家更加适合；产品体验方面来讲，行云管家特色比较突出，相对易用和友好，Jumpserver的界面也比较友好，只是其在引导性方面稍微欠缺。

为了方便各位看官参考，对三款产品之间的差别以表格展列以下：

最后，提示一下，本文所述内容仅仅是做者自身对几款产品的测试试用总结，其结果可能会由于产品版本不一样、使用场景不一样等缘由，而与各位看官得到的结果不一致，仅供参考！