07堡垒机

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受入侵和破坏，运用各种技术手段监控对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便于集中报警、及时处理及审计定责。

## 概述

其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。

堡垒机是是一种用于统一监控、控制和审计技术运维人员（如网络管理员、系统管理员、数据库管理员）访问和操作关键基础设施（如服务器、网络设备、数据库）的网络安全产品。

它的核心设计理念是 “统一入口、集中管控、全程审计” ，旨在解决运维阶段面临的权限混乱、行为失控、责任难追溯等安全痛点。

> 比喻

企业的核心IT资产（服务器、数据库等）就像一座机密大楼。

堡垒机就是这栋大楼的唯一前台和全天候监控室。

任何运维人员（无论是内部员工还是第三方）要进入大楼访问任何房间（服务器），必须先在前台登记验证身份，并由前台发放有特定权限的门禁卡。

该人员在楼内的所有活动，包括去了哪里、做了什么、说了什么，都被监控室全程记录和录像。

## 功能

### **统一访问入口**

为所有运维协议（如RDP、SSH、Telnet、SFTP、VNC等）提供一个唯一的Web化或客户端访问入口。运维人员不再直接连接目标设备，而是先登录堡垒机。

### **集中账号管理**

账号管理：将分散在各设备上的账号集中到堡垒机进行管理，实现账号与具体自然人的绑定。

密码托管：堡垒机可以托管目标设备的高权限账号密码，运维人员无需知道密码，通过堡垒机的代理授权进行登录。支持自动定期改密。

### **精细权限控制**

授权管理：基于“用户 -> 授权 -> 设备”的模型，为不同角色的运维人员分配最小化权限。

控制粒度：

- 允许访问哪些设备。
- 允许使用哪些账号（例如，普通用户只能使用自己的低权限账号，而授权后才能临时使用管理员账号）。
- 允许执行哪些命令（例如，对网络工程师，只允许其使用show、config等必要命令，而屏蔽`delete`、`format`等危险命令）。

### **身份认证与多因子认证**

支持与企业的统一身份认证（如AD/LDAP）对接。

提供强制的多因子认证，如短信/邮箱验证码、动态令牌、生物识别等，确保登录账号即为人。

### **会话管理与实时监控**

会话接管：管理员可以实时监控任何正在进行的运维会话，并在发现危险操作时立即中断该会话。

协同运维：支持多人同时登录同一台设备进行协同排障。

### **操作审计与录制（核心价值）**

全程录制：对RDP、VNC等图形会话和SSH、Telnet等字符会话进行全程屏幕录像，做到“所见即所录”。

指令日志：对字符操作命令进行精确的记录，包括输入的命令、返回结果、操作时间等。

文件传输审计：记录所有通过FTP/SFTP上传和下载的文件，并可对文件内容进行备份和检查。

### **危险操作实时阻断与告警**

预设危险指令库（如`rm -rf`），当运维人员触发时，系统可实时弹出告警、要求二次确认，或直接阻断该命令的执行。

## 工作流程

用户请求访问：运维人员通过客户端或浏览器尝试访问一台服务器。

认证与授权：堡垒机拦截请求，要求用户进行强身份认证，并根据预配置的策略判断该用户是否有权访问该服务器。

建立代理会话：认证授权通过后，堡垒机用自己的身份（或托管的账号）代为用户登录目标服务器。

操作转发与监控：用户在客户端的所有操作指令均通过堡垒机转发给服务器，同时堡垒机开始录制会话和记录日志。

会话结束与日志保存：会话结束后，所有审计数据（录像、日志）被加密存储，供日后查询和回放。

## 部署模式

旁路部署：逻辑上串联，物理上可以通过在交换机上设置访问控制策略，强制所有运维流量必须先经过堡垒机。

串联部署：直接作为网关部署在运维网络与核心服务器网络之间，所有流量必须物理通过它。