堡壘機，聽起來就是一個夠酷的名字，有用戶笑言，聽着名兒就覺着安全，就像大塊頭施瓦辛格一出現在電影鏡頭裡就像終結者一樣。

那麼，作為内網安全的"終結者",堡壘機究竟是個什麼模樣。所謂"堡壘主機"（簡稱"堡壘機"），就是一種被強化的可以防禦進攻的計算機，具備很強安全防範能力。

“堡壘主機"這個詞是有專門含義的概念，最初由美國Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。

他提出堡壘主機"是一個系統，作為網絡安全的一個關鍵點，它由防火牆管理員來标識”,“堡壘主機需要格外的注意自己的安全性，需要定期的審核，并擁有經過修改的軟件”

通常，堡壘主機是一立應用的主機。（這有點類似單用戶的單機操作），它有極大的價值，可能蘊含着用戶的敏感信息，經常提供重要的網絡服務；大部分時候它被防火牆保護，有的則直接裸露在外部網絡中。

其所承擔的服務大都極其重要，如銀行、證券、政府單位用來實現業務、發布信息的平台。"堡壘主機"的工作特性要求達到高安全性。

早期堡壘主機，通常是指這樣一類提供特定網絡或應用服務的計算機設備，其自身相對安全并可以防禦一定程度的攻擊。作為安全但可公開訪問的計算機，堡壘主機通常部署于外圍網絡（也稱為DMZ、網絡隔離區域或屏蔽子網）面向公衆的一端。

這類堡壘主機不受防火牆或過濾路由器的保護，因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web服務器、域名系統（DNS）服務器或文件傳輸（FTP）服務器等。

通過将這些必須開放的服務部署在堡壘主機，而不是内部網絡中，可以換取内部網絡的安全。因為這些主機吸引了入侵者的注意力，也就相應地減少了内部網絡遭受安全攻擊的可能性和随之帶來的風險。

堡壘主機自身安全性的強化通常是通過禁用或删除不必要的服務、協議、程序和網絡接口來實現的。也就是說，堡壘主機往往僅提供極少的必要的服務，以期減少自身的安全漏洞。

另外一些可以提高自身安全性的手段則包括：采用安全操作系統、采取必要的身份認證和嚴格的權限控制技術等。

• B/S運維：通過浏覽器運維。
• C/S運維：通過客戶端軟件運維，比如Xshell，CRT等。
• H5運維：直接在網頁上可以打開遠程桌面，進行運維。無需安裝本地運維工具，隻要有浏覽器就可以對常用協議進行運維操作，支持ssh、telnet、rlogin、RDP、vnc協議
• 網關運維：采用SSH網關方式，實現代理直接登錄目标主機，适用于運維自動化場景。

• 文件傳輸：一般都是登錄堡壘機，通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。
• 細粒度控制：可以對訪問用戶、命令、傳輸等進行精細化控制。
• 支持開放的API

1、單機部署

堡壘機主要都是旁路部署，旁挂在交換機旁邊，隻要能訪問所有設備即可。

部署特定：

• 旁路部署，邏輯串聯。
• 不影響現有網絡結構。

2、HA高可靠部署

旁路部署兩台堡壘機，中間有心跳線連接，同步數據。對外提供一個虛拟IP。

部署特點：

• 兩台硬件堡壘機，一主一備/提供VIP。
• 當主機出現故障時，備機自動接管服務。

3、異地同步部署

通過在多個數據中心部署多台堡壘機。堡壘機之間進行配置信息自動同步。

部署特點：

• 多地部署，異地配置自動同步
• 運維人員訪問當地的堡壘機進行管理
• 不受網絡/帶寬影響，同時祈禱災備目的

4、集群部署（分布式部署）

當需要管理的設備數量很多時，可以将n多台堡壘機進行集群部署。其中兩台堡壘機一主一備，其他n-2台堡壘機作為集群節點，給主機上傳同步數據，整個集群對外提供一個虛拟IP地址。

部署特點：

• 兩台硬件堡壘機，一主一備、提供VIP
• 當主機出現故障時，備機自動接管服務。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!