内网安全威胁的“终结者”：堡垒机

　　堡垒机现身　企业内控运维安全“终结者”

　　堡垒机，听起来就是一个够酷的名字，有用户笑言，听着名儿就觉着安全，就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。那么，作为内网安全的“终结者”，堡垒机究竟是个什么摸样。

　　所谓“堡垒主机”(简称“堡垒机”)，就是一种被强化的可以防御进攻的计算机，具备很强安全防范能力。“堡垒主机”这个词是有专门含义的概念，最初由美国 Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。他提出堡垒主机“是一个系统，作为网络安全的一个关键点，它由防火墙管理员来标识”，“堡垒主机需要格外的注意自己的安全 性，需要定期的审核，并拥有经过修改的软件”。通常，堡垒主机是一台独立应用的主机。(这有点类似单用户的单机操作)，它有极大的价值，可能蕴含着用户的 敏感信息，经常提供重要的网络服务;大部分时候它被防火墙保护，有的则直接裸露在外部网络中。其所承担的服务大都极其重要，如银行、证券、政府单位用来实 现业务、发布信息的平台。“堡垒主机”的工作特性要求达到高安全性。

　　早期堡垒主机，通常是指这样一类提供特定网络或应用服务的计 算机设备，其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机，堡垒主机通常部署于外围网络(也称为 DMZ、网络隔离区域或屏蔽子网)面向公众的一端。这类堡垒主机不受防火墙或过滤路由器的保护，因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服 务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。通过将这些将必须开放的服务部署在堡垒主机而不是内部网络中，可以换取内部网络的安全。因 为这些主机吸引了入侵者的注意力，也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。

　　堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说，堡垒主机往往仅提供极少的必要的服务，以期减少自身的安全漏洞。另外一些可以提 高自身安全性的手段则包括：采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。

　　后来，堡垒主机被部署在外部网络和企业内部网络之间，提供对内部网络特定资源的安全访问。这类堡垒主机本身不提供网络层的路由功能，因此可以过滤对内部网络 的非授权访问。对内部网络特定资源的访问则必须先登录到堡垒主机上方可完成。SSL VPN可以视为这类堡垒主机的一个成功应用。这类堡垒主机是进入内部网络的一个集中检查点和控制点，因此很容易将整个网络的安全问题集中在自身解决，为内 部网络其他主机的安全提供了一道天然的安全屏障。

　　新一代堡垒主机，又被具体称为“内控堡垒主机”，它综合了运维管理和安全性的融合，切断了终端 计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡 垒主机的翻译。极地安全专家王晓航打了一个比方，内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截 非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

　　目前主流的内控堡垒主机，一般具有六大主要功能。

　　其一，单点登录功能。

　　内控堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具 有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时， 由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。 单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。

　　其二，帐号管理功能。

　　集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监 控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全 策略。 通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。

　　其三，身份认证功能。

　　内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

　　集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间结合。

　　其四，资源授权功能。

　　内控堡垒主机系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制 可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各 网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在极地银河内控堡垒主机系统上，可以对各自的 管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资 源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样应用内部的细粒度授权。

　　其五，访问控制功能。

　　内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命 令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重 要环节，制定良好的访问策略能够更好的提高系统的安全性。

　　其六，操作审计功能。

　　操作审计管理主要审计人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的 完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方产品。

　　在这些主干功能构筑的强大安全体系下，堡垒机漂亮地实现了对系统用户管理、对内网操作审计、对网络设备管理和对黑客行为防范四大功能，完美地演绎了内网安全“终结者”角色，成为大型企事业单位内网安全建设的未来战士。