堡壘主機的作用

1、什麼是堡壘主機啊

堡壘主機  

1.堡壘主機是一種被強化的可以防禦進攻的計算機，被暴露於網際網路之上，作為進入內部網路的一個檢查點，以達到把整個網路的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。堡壘主機是網路中最容易受到侵害的主機,所以堡壘主機也必須是自身保護最完善的主機。你可以使用單宿主堡壘主機。多數情況下，一個堡壘主機使用兩塊網卡，每個網卡連接不同的網路。一塊網卡連接你公司的內部網路用來管理、控制和保護，而另一塊連接另一個網路，通常是公網也就是Internet。堡壘主機經常配置網關服務。網關服務是一個進程來提供對從公網到私有網路的特殊協議路由，反之亦然。在一個應用級的網關里，你想使用的每一個應用程協議都需要一個進程。因此，你想通過一台堡壘主機來路由Email，Web和FTP服務時，你必須為每一個服務都提供一個守護進程。

2.堡壘主機是一台完全暴露給外網攻擊的主機。它沒有任何防火牆或者包過慮路由器設備保護。堡壘主機執行的任務對於整個網路安全系統至關重要。事實上，防火牆和包過慮路由器也可以被看作堡壘主機。由於堡壘主機完全暴露在外網安全威脅之下，需要做許多工作來設計和配置堡壘主機，使它遭到外網攻擊成功的風險性減至最低。其他類型的堡壘主機包括：Web,Mail,DNS,FTP伺服器。一些網路管理員會用堡壘主機做犧牲品來換取網路的安全。這些主機吸引入侵者的注意力，耗費攻擊真正網路主機的時間並且使追蹤入侵企圖變得更加容易。 

  有效的堡壘主機配置與典型主機配置非常不同。在堡壘主機上，所有不是必需的服務、協議、程序和網路的埠都被禁用或者刪除。堡壘主機和內網信任主機之間並不共享認證服務，是為了如果堡壘主機被攻破，入侵者也無法利用堡壘主機攻擊內網。堡壘主機被加固用來阻止潛在可能的攻擊。對特定的堡壘主機進行加固的步驟取決於堡壘主機的工作和在其上運行的操作系統及其他軟體。加固工作將會更改服務控制列表；不需要的TCP和UDP埠將被禁用；並不重要的服務和守護程序也會被刪除。所有最新的補丁程序應該及時載入。記錄所有安全事件的安全日誌應該啟動，而且確保日誌文件完整性的安全的工作要做好，用來保證入侵者不會抹掉自己入侵的記錄。所有用戶的帳號和密碼庫應該被加密保存。

  最後需要做的工作是要保證網路應用程序的正常運行。由於應用程序開發商在開發程序時沒有考慮程序的安全風險，所以給網路管理員的安全保障工作帶來困難。網路管理員應隨時注意應用程序開發商發表的安全公告、安全補丁，來保證網路服務程序的正常運行。

2、堡壘主機的功能

<

3、什麼是堡壘主機和雙宿主機的區別

堡壘主機是一種被強化的可以防禦進攻的計算機，作為進入內部網路的一個檢查點，以達到把整個網路的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。堡壘主機是網路中最容易受到侵害的主機,所以堡壘主機也必須是自身保護最完善的主機。一個堡壘主機使用兩塊網卡，每個網卡連接不同的網路。一塊網卡連接你公司的內部網路用來管理、控制和保護，而另一塊連接另一個網路，通常是公網也就是Internet。堡壘主機經常配置網關服務。網關服務是一個進程來提供對從公網到私有網路的特殊協議路由，反之亦然

類型的堡壘主機包括：Web,Mail,DNS,FTP伺服器

感覺相對比起來，還是屏蔽子網防火牆要抗攻擊強一些，但是缺點是要求設備多，造價高
雙宿主堡壘主機結構是圍繞著至少具有兩塊網卡的雙宿主主機而構成的。雙宿主主機內外的網路均可與雙宿主主機實施通信，但內外網路之間不可直接通信，內外部網路之間的數據流被雙宿主主機完全切斷。雙宿主主機可以通過代理或讓用戶直接注冊到其上來提供很高程度的網路控制。它採用主機取代路由器執行安全控制功能，故類似於包過濾防火牆。雙宿主機即一台配有多個網路介面的主機，它可以用來在內部網路和外部網路之間進行定址。當一個黑客想要訪問你內部設備時，他(她)必須先要攻破雙宿主堡壘主機，這有希望讓你有足夠的時間阻止這種安全侵入和作出反應。

引用自網友！

4、堡壘機&堡壘主機是同一個概念嗎

是同一個概念。
堡壘主機最佳方案是一主一備，若主機因故停掉，備機自動運行，待主機恢復正常運行後，備機再度回歸到備用狀態。

5、堡壘主機的應用

1 政府行業的信息化現狀
政務電子化是信息社會政府管理發展的一種新趨勢，已成為世界各國政府關注的焦點。
隨著政務信息化的不斷推進，業務應用、辦公系統、商務平台的推出和投入運行，信息系統在企業的運營中全面滲透。使用數量較多的伺服器主機來運行關鍵業務，提供電子政務、資料庫應用、運維管理、ERP和協同工作群件等服務。由於伺服器眾多，系統管理員壓力太大等因素，人為誤操作的可能性時有發生，這會對部門或者企業聲譽造成重大影響，並嚴重影響其經濟運行效能。黑客和惡意訪問也有可能獲取系統許可權，闖入部門或企業內部網路，造成不可估量的損失。如何提高系統運維管理水平，滿足相關標准要求，防止黑客的入侵和惡意訪問，跟蹤伺服器上用戶行為，降低運維成本，提供控制和審計依據，成為企業越來越關心的問題。
2 政府行業的運維管理需求
2.1 滿足國家等級保護的政策性審核
1、用戶賬號許可權需要得到嚴格管理控制，用戶賬號口令安全與登錄安全需要得到加強監管；
2、信息系統的各種訪問操作日誌需要全面審計，包括網路、系統、數據、應用等幾個方面；
3、進行遠程信息系統操作時，能夠保障通信鏈路可信、及通訊數據加密。
2.2 符合企業內部控制基本規范的要求
2010年，財政部、證監會、審計署、銀監會、保監會印發的《企業內部控制應用指引第18號――信息系統》中第十二條明確要求「企業應當建立用戶管理制度，加強對重要業務系統的訪問許可權管理，定期審閱系統賬號，避免授權不當或存在非授權賬號，禁止不相容職務用戶賬號的交叉操作」。
2.3 管理復雜，工作效率不高
1、支撐企業業務運行的IT系統主要由大量的網路設備、主機系統和應用系統組成，這些設備和系統從應用角度來分又分別屬於不同的業務系統和部門，網路設備、主機系統等分別具備獨立的用戶管理、認證授權和審計系統。
2、各種系統由不同的系統管理員負責維護和管理，維護人員面對這些系統時，工作復雜程度成倍增加，並且需要頻繁的登錄注銷，影響了工作效率。
2.4 賬號共享、密碼簡單等網路安全隱患不可避免
1、 為了降低管理復雜度和難度，有些帳號被多人共用，這些帳號的擴散不容易控制，賬號和密碼信息容易外泄，安全事故也多由於這種帳號共用發生；
2、 對於維護人員來講，頻繁的切換系統，需要輸入不同系統的用戶名和口令進行登錄，為了便於記憶，常有維護人員會採用比較簡單的口令或多個系統使用同樣的口令，緊急情況下還可能將自己的用戶名和口令共享給他人使用，這些都對整個系統的安全性產生極大威脅。
2.5 對系統和網路設備的審計不集中、不全面
1、由於各個系統獨立運行，對於系統運行日誌、維護人員操作審計也只能分系統獨立進行，系統發生故障時，必須逐個系統去排查問題，無法進行統一集中的問題排查，極大的降低工作效率，也造成了損失擴大的可能性；
2、並且不能做到實名審計，只能審計到賬號，不能關聯到自然人。
3 政府行業堡壘主機產品技術解決方案
基於天融信堡壘主機（TA-SAG）政府行業技術解決方案是出於4A統一網路安全管理平台的理念，通過賬號的集中管理、認證機制、授權機制、以及用戶的操作行為審計等策略來對企業中的伺服器、資料庫、交換機、路由器(防火牆)等網路設備進行有效的控制和統一的管理以及全程的操作審計。
根據政府行業的現狀和需求，天融信公司使用TA-SAG平台提出針對性的解決方案。該方案主要從以下六點著重考慮。
3.1 遵循與參考的標准和規范
1、國家保密標准BMZ2-2001《涉及國家秘密的計算機信息系統安全保密方案設計指南》
2、國家保密標准BMZ1-2000，《涉及國家秘密的計算機信息系統保密技術要求
3、國家保密標准《計算機信息系統保密管理暫行規定》（國保發{1998}1號）
4、國家標准GB17859-1999，《計算機信息系統安全保護等級劃分准則》
5、國家標准GB/T18336.2-2001，《信息技術 安全技術 信息技術安全性 評估准則 第2部分: 安全功能要求》
6、ISO27001/ISO17799:2005/BS7799,《信息安全管理技術規范》。
3.2 統一的帳號管理
1、管理員通過主帳號信息管理界面維護主帳號的整個生命周期，對主帳號進行增加、修改、刪除及鎖定、解鎖等操作，同時設置主帳號的密碼使用策略及用戶的級別定義。
2、主帳號用戶可以通過自服務功能管理自身帳號信息，對手機、郵件及密碼等個人信息進行修改。
3、通過主賬號與資源賬號進行關聯，同時也滿足了實名審計的需要。
3.3 多種認證方式進行統一部署
1、用戶通過用戶名密碼方式登錄到天融信TA-SAG（堡壘主機）管理平台，選擇資產從帳號，直接登錄目標資產。
2、用戶通過數字證書、動態令牌等方式登錄到管理單元，由管理單元向執行單元發放一次性口令登錄目標資產。
3.4 SSO單點登錄
1、用戶登錄到天融信TA-SAG（堡壘主機）管理平台後，能夠看到已授權的資源列表，直接選擇目標資產及從帳號，由堡壘主機完成帳號及密碼的代填，實現自動登錄。
2、 同時減少了對伺服器頻繁登錄注銷的繁瑣性，提高了工作效率。
3.5 更全面、更集中的日誌審計
1、堡壘主機將每個自然人賬號對其資源的操作進行全面的日誌審計。
2、 日誌審計支持通過伺服器查詢、自然人查詢、登錄地址等自定義條件的查詢。
3.6 支持雙機熱備、可安全穩定的運行
堡壘主機支持雙機熱備，擁有完善的高可用性，可以保證系統長期、可靠的運行。

6、堡壘機如何使用

堡壘機在安全運維中的主要功能是，通過堡壘機進行事前資源授權，事中錄像監控，事後指令審計，來保障自身數據安全，那麼我們要如何使用堡壘機？

從安全運維的角度來看，資源授權滿足了主機層面的安全管理需求，但是一旦登錄到主機後，團隊成員便可對該台主機進行任何的操作，所以團隊成員在登錄主機前、後，都處於行雲管家堡壘機安全監管之下。在行雲管家中，把這些安全性更高的主機叫做關鍵設備，展開菜單選擇「安全審計/關鍵設備運維策略」，進入【相應的策略】功能設置。

關鍵配置

審計錄像： 訪問運維策略里的關鍵設備時，是否強制進行審計錄像。這里需要注意，在雲賬戶中也存在該項設置，而一台主機訪問時是否強制錄像，同時受到它所在的雲賬戶和運維策略的設置影響，只要其中有一個設置為「強制錄像」，那麼訪問時即會進行強制錄像；
會話水印：行雲管家堡壘機會話水印功能，是將訪問該伺服器的運維人員的賬號等信息，以半透明水印的方式印在伺服器遠程桌面會話窗口上，當遠程桌面會話窗口被錄像、截屏、拍照，運維人員的信息也會被一並記錄，方便事後回溯追責。
雙因子認證：也叫多重身份認證，開啟後，在執行重啟主機、停止主機、修改主機操作系統密碼、修改管理終端密碼、創建主機會話、快照回滾、更換系統盤、初始化磁碟、卸載數據盤、掛載數據盤等操作時，會要求以微信或簡訊接收驗證碼的方式進行二次身份確認，確保訪問者的身份合法性；
指令審計規則：您可以指定該條運維策略是啟用指令白名單還是黑名單，如果是白名單，那麼將只允許指令規則中的指令執行。如果是黑名單，團隊成員在操作中執行的指令只要被敏感指令規則匹配，即執行相應的響應動作。
指令審計角色：敏感指令如果觸發的是審核操作，那麼將推送審核消息給指令審計角色成員，由他們審核通過後，敏感指令才能在主機上執行； 指令審核超時時長：敏感指令觸發審核操作時，如果在超時時長內未處理，指令將因超時被取消執行。

7、什麼是堡壘主機防火牆？

"堡壘主機" 在學術文獻中的解釋

1、堡壘主機的含義是指任何對網路安全至關重要的運行防火牆系統的主機,堡壘主機必須由網路管理員嚴密監視.在屏蔽主機型防火牆系統中,堡壘主機配置在內部網上,而具有包過濾功能的路由器則放置在內部網和外部網之間