首頁


1. 基本概念

 堡壘機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、及時處理及審計定責。

 其從功能上講,它綜合了核心系統運維和安全審計管控兩大主干功能。從技術實現上講,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。形象地說,終端計算機對目標的訪問,均需要經過堡壘機的翻譯。打一個比方,堡壘機扮演著看門者的工作,所有對網絡設備和服務器的請求都要從這扇大門經過。因此堡壘機能夠攔截非法訪問和惡意攻擊,對不合法命令進行阻斷,過濾掉所有對目標設備的非法訪問行為,并對內部人員誤操作和非法操作進行審計監控,以便事后進行責任追蹤。

2. 為什么要使用堡壘機

 隨著蘇州大學信息化建設的展開,網絡設備和服務器(包括虛擬機)的數量激增,在這群復雜的設備背后,是來自不同背景的運維人員。在日常對網絡設備和服務器運行維護的過程中,常常會出現如下一些主要問題:

  • 多個用戶使用同一個賬號管理一臺設備。這種做法會導致發生安全事故后,難以定位賬號的實際使用者和責任人,存在較大安全風險和隱患。

  • 一個用戶使用多個賬號管理多臺設備。目前,這種做法是比較普遍的,一個運維人員往往需要管理很多設備,他需要記憶多套賬號口令,在多套主機系統、網絡設備之間切換。這種做法會降低工作效率,增加工作復雜度。

  • 現在的網絡設備和服務器大多數是被動防御,即在安全問題發生后人為的通過日志分析去定位安全責任,這種做法很難及時通過系統自身審計發現違規操作行為和追查取證。

 隨著堡壘機的上線,我們可以解決上述這些問題,以及其他的諸如訪問控制、自動化操作等問題。

3. 堡壘機的主要功能

 圖 1展現了堡壘機的主要功能;表 1列出了我校購入的帕拉迪堡壘機的主要功能。

 1 堡壘機功能


 1 帕拉迪堡壘機功能

功能

功能說明

運維協議

支持SSHSFTPFTPTelnetRDP(遠程桌面)等協議,支持PcAnywhereVNCVMware Client、數據庫客戶端等運維工具連接設備進行操作并審計。

運維方式

支持單點登錄(通過蘇州大學統一身份認證),可最小限度改變運維習慣,支持PuTTYSecureCRTXshell Windows 自帶命令行、遠程桌面等。

安全檢測

可對設備的安全性、連接性進行自動監測和發現。

密碼集中管理

支持對UnixLinuxWindows、網絡設備等資產的賬號進行自動化周期改密。

訪問控制

支持基于IP/IP段、用戶/用戶組、資產/資產組、協議、時間、危險級別等組合策略進行訪問控制,對于匹配規則的行為予以阻斷或放行。

命令防火墻

可對危險的命令實時阻斷、告警、雙人審批。

運維審計

可支持運維過程的完整審計,可進行實時監控和歷史運維過程真實回放。

高可用

完美支持HA模式,可實現雙機熱備。




聯系我們GET HELP

知識庫搜索

服務熱線:65880000(內線80000)

郵箱地址:80000@suda.edu.cn

辦公地點:

天賜莊校區:東校區教育超市北

獨墅湖校區:獨墅湖一期304號樓5樓

陽澄湖校區:行政樓401房間

凯时kb88.com - 凯时Kb88平台官网