第7節(jié)堡壘機(jī)第4章目

錄01堡壘機(jī)簡(jiǎn)介02堡壘機(jī)的功能03堡壘機(jī)的部署方式及應(yīng)用01堡壘機(jī)簡(jiǎn)介堡壘機(jī)的概念什么是堡壘機(jī)？一種旁路部署在網(wǎng)絡(luò)交換節(jié)點(diǎn)上，能夠?qū)Ψ?wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)進(jìn)行集中管理與審計(jì)實(shí)現(xiàn)物理并聯(lián)邏輯串聯(lián)的硬件設(shè)備。堡壘機(jī)產(chǎn)生的原因01.02.03.04.05.企業(yè)大量的網(wǎng)絡(luò)設(shè)備、系統(tǒng)分屬不同部門，認(rèn)證、授權(quán)和審計(jì)方式?jīng)]有統(tǒng)一；一些設(shè)備和業(yè)務(wù)系統(tǒng)由廠商代維，因缺乏統(tǒng)一監(jiān)管，安全狀況不得而知；權(quán)限管理復(fù)雜，系統(tǒng)安全難以得到保障；一人多個(gè)賬號(hào)，多人共用一個(gè)賬號(hào)，發(fā)生安全事故時(shí)更難以確定實(shí)際使用者；需要多個(gè)口令在各系統(tǒng)間進(jìn)行切換。堡壘機(jī)的概念堡壘機(jī)的地位人們往往重視控制設(shè)備而不是取證設(shè)備缺乏堡壘機(jī)，好比城墻堅(jiān)固，內(nèi)部卻很脆弱例如：特洛伊木馬典故堡壘機(jī)與其他安全設(shè)備同等重要提供事后取證，讓惡意者無(wú)法狡辯；保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞。堡壘機(jī)的作用企業(yè)角度通過(guò)細(xì)粒度的安全管控策略，保證企業(yè)設(shè)備安全可靠運(yùn)行降低人為安全損失，保障企業(yè)效益。管理員角度簡(jiǎn)單有序管理所有的運(yùn)維賬號(hào)，直觀方便的監(jiān)控各種訪問(wèn)行為，及時(shí)發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。普通用戶角度運(yùn)維人員只需要登錄一次，即可訪問(wèn)多臺(tái)設(shè)備，提高了工作效率。02堡壘機(jī)的功能堡壘機(jī)的核心功能堡壘機(jī)的核心功能包括單點(diǎn)登錄身份認(rèn)證資源授權(quán)訪問(wèn)控制操作審計(jì)01.單點(diǎn)登錄單點(diǎn)登錄（SingleSignOn，SSO）指的是用戶只要登錄一個(gè)系統(tǒng)，就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。作用減少用戶在不同系統(tǒng)中登錄耗費(fèi)的時(shí)間，減少用戶登錄出錯(cuò)的可能性實(shí)現(xiàn)安全的同時(shí)避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權(quán)限的時(shí)間增加了安全性：系統(tǒng)管理員有了更好的方法管理用戶堡壘機(jī)的核心功能單點(diǎn)登錄解決方案以Cookie作為憑證媒介01HTTP是一種無(wú)狀態(tài)的協(xié)議，服務(wù)器單從網(wǎng)絡(luò)連接上無(wú)法知道客戶身份。0203服務(wù)器記錄該用戶狀態(tài)，向客戶端瀏覽器頒發(fā)一個(gè)Cookie。客戶端瀏覽器會(huì)把Cookie保存起來(lái)。0405瀏覽器再請(qǐng)求該網(wǎng)站時(shí)，把網(wǎng)址連同該Cookie一同提交給服務(wù)器。服務(wù)器檢查該Cookie，以此來(lái)辨認(rèn)用戶狀態(tài)。堡壘機(jī)的核心功能父應(yīng)用子應(yīng)用登錄驗(yàn)證cookie通過(guò)驗(yàn)證，并登錄成功以Cookie作為憑證媒介實(shí)施過(guò)程用戶登錄父應(yīng)用之后，應(yīng)用返回一個(gè)加密的Cookie。訪問(wèn)子應(yīng)用的時(shí)候，攜帶上這個(gè)Cookie。授權(quán)應(yīng)用解密Cookie并進(jìn)行校驗(yàn)，校驗(yàn)通過(guò)則登錄當(dāng)前用戶。用戶用戶登錄登錄成功，在客戶端生成cookie堡壘機(jī)的核心功能身份認(rèn)證是網(wǎng)絡(luò)安全的核心，目的是防止未授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)資源。身份認(rèn)證是指證實(shí)客戶的真實(shí)身份與其聲稱的身份是否相符的過(guò)程。常見(jiàn)身份驗(yàn)證的方法基于共享密鑰基于生物學(xué)特征基于公開密鑰加密算法02.身份認(rèn)證基于你所知道的（Whatyouknow）知識(shí)、口令、密碼基于你所擁有的（Whatyouhave）身份證、智能卡、令牌等基于你的個(gè)人特征（Whatyouare）指紋、筆跡、聲音、虹膜、視網(wǎng)膜堡壘機(jī)的核心功能02.身份認(rèn)證身份認(rèn)證基本途徑匹配，用戶身份得到認(rèn)證，可以訪問(wèn)系統(tǒng)資源。堡壘機(jī)的核心功能查詢數(shù)據(jù)庫(kù)返回查詢結(jié)果02.身份認(rèn)證口令認(rèn)證系統(tǒng)為每一個(gè)合法用戶建立一個(gè)用戶名并設(shè)置相應(yīng)的口令。用戶在登錄時(shí)需要輸入用戶名和口令。系統(tǒng)核對(duì)用戶輸入的用戶名、口令與系統(tǒng)內(nèi)合法的是否匹配。請(qǐng)求登錄指紋是人體獨(dú)一無(wú)二的特征，并且它們的復(fù)雜度足以提供用于鑒別的足夠特征。通過(guò)比較不同指紋的細(xì)節(jié)特征點(diǎn)來(lái)進(jìn)行鑒別。堡壘機(jī)的核心功能指紋圖像采集指紋圖像預(yù)處理特征值提取特征匹配02.身份認(rèn)證指紋識(shí)別認(rèn)證堡壘機(jī)的核心功能保障運(yùn)維人員操作和規(guī)，訪問(wèn)合法。張三李四王五允許李四、王五訪問(wèn)允許王五訪問(wèn)允許張三訪問(wèn)堡壘機(jī)03.資源授權(quán)建立用戶與設(shè)備的訪問(wèn)關(guān)系。采用一對(duì)一、一對(duì)多、多對(duì)一、多對(duì)多的授權(quán)方式。作用堡壘機(jī)的核心功能04.訪問(wèn)控制訪問(wèn)控制概念系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎(chǔ)。需要完成兩個(gè)任務(wù)識(shí)別與確認(rèn)訪問(wèn)系統(tǒng)的用戶。決定某一用戶可以對(duì)某一資源進(jìn)行何種類型的訪問(wèn)。堡壘機(jī)的核心功能信息系統(tǒng)入口監(jiān)視器客體信息主體控制策略KS審計(jì)庫(kù)04.訪問(wèn)控制訪問(wèn)控制三要素主體提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者。客體是接受其他實(shí)體訪問(wèn)的被動(dòng)實(shí)體，如：被操作的信息、資源、對(duì)象。控制策略是主體對(duì)客體的操作行為集和約束條件集。三要素之間關(guān)系主體提出一系列正常的請(qǐng)求信息。通過(guò)信息系統(tǒng)的入口到達(dá)控制規(guī)則集KS監(jiān)視的監(jiān)視器，由KS判斷是否允許或者拒絕訪問(wèn)客體。堡壘機(jī)的核心功能IP包頭TCP/UDP報(bào)頭數(shù)據(jù)以太網(wǎng)幀頭04.訪問(wèn)控制訪問(wèn)控制策略以太幀如下圖所示：各層相關(guān)字段可以用于訪問(wèn)控制策略規(guī)則定義。源MAC目的MAC協(xié)議號(hào)源IP目的IP源端口目的端口否堡壘機(jī)的核心功能匹配第二項(xiàng)允許或拒絕是是是拒絕否否允許（發(fā)往目的接口）丟棄匹配第一項(xiàng)匹配第n項(xiàng)發(fā)往訪問(wèn)組的接口的數(shù)據(jù)包訪問(wèn)控制策略工作原理當(dāng)?shù)谝粭l規(guī)則允許的話會(huì)直接通過(guò)，如果拒絕就會(huì)丟棄。第一條規(guī)則沒(méi)有相應(yīng)信息，會(huì)依次查看下一條，并作出相應(yīng)選擇。04.訪問(wèn)控制堡壘機(jī)的核心功能實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)。報(bào)警、記錄、分析和處理。管理各種運(yùn)維操作行為，解決賬號(hào)共享問(wèn)題，確保操作者與操作行為一一對(duì)應(yīng)。嚴(yán)格訪問(wèn)控制，禁止未授權(quán)訪問(wèn)。05.操作審計(jì)03堡壘機(jī)的部署方式及應(yīng)用堡壘機(jī)的部署方式單機(jī)部署堡壘機(jī)主要都是旁路部署，旁掛在交換機(jī)旁邊，只要能訪問(wèn)所有設(shè)備即可。部署特點(diǎn)旁路部署，邏輯串聯(lián)1不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)2堡壘機(jī)的部署方式HA高可用部署旁路部署兩臺(tái)堡壘機(jī)，中間有心跳線連接，用來(lái)同步數(shù)據(jù)，對(duì)外提供一個(gè)虛擬IP（VirtualIP，VIP）。兩臺(tái)硬件堡壘機(jī)，一主一備并提供VIP。1當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。2部署特點(diǎn)堡壘機(jī)的部署方式異地同步部署通過(guò)在多個(gè)數(shù)據(jù)中心部署多臺(tái)堡壘機(jī)，堡壘機(jī)之間進(jìn)行配置信息自動(dòng)同步。部署特點(diǎn)多地部署，異地配置自動(dòng)同步1運(yùn)維人員訪問(wèn)當(dāng)?shù)氐谋緳C(jī)進(jìn)行管理2不受網(wǎng)絡(luò)/帶寬影響，同時(shí)起到災(zāi)備目的3堡壘機(jī)的部署方式集群部署（分布式部署）當(dāng)需要管理的設(shè)備數(shù)量很多時(shí)，可以將n臺(tái)堡壘機(jī)進(jìn)行集群部署。其中兩臺(tái)堡壘機(jī)一主一備，其他n-2臺(tái)堡壘機(jī)作為集群節(jié)點(diǎn)，給主機(jī)上傳同步數(shù)據(jù)，整個(gè)集群對(duì)外提供一個(gè)虛擬IP地址。部署特點(diǎn)兩臺(tái)硬件堡壘機(jī)，一主一備、提供VIP。1當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。2運(yùn)維人員首先連接到堡壘機(jī)設(shè)備，然后向系統(tǒng)提交操作請(qǐng)求；該請(qǐng)求通過(guò)堡壘機(jī)的權(quán)限審查后，堡壘機(jī)的應(yīng)用代理模塊將代替用戶連接到目標(biāo)設(shè)備完成該操作，目標(biāo)設(shè)備將操作結(jié)果返回給堡壘機(jī)，最后堡壘機(jī)再將操作結(jié)果返回給運(yùn)維操作人員。堡壘機(jī)的應(yīng)用場(chǎng)景管理人員運(yùn)維人員開發(fā)人員審計(jì)人員運(yùn)維終端運(yùn)維操作請(qǐng)求運(yùn)維操作請(qǐng)求操作執(zhí)行結(jié)果操作執(zhí)行結(jié)果堡壘機(jī)權(quán)限審查，行為審計(jì)注：關(guān)于堡壘機(jī)配置操作步驟，請(qǐng)參閱第四章/配置堡壘機(jī)實(shí)現(xiàn)單點(diǎn)登錄.mp4堡壘機(jī)在企業(yè)中的應(yīng)用服務(wù)器網(wǎng)絡(luò)設(shè)備應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)堡壘機(jī)的應(yīng)用案例某企業(yè)的堡壘機(jī)應(yīng)用案例本章對(duì)堡壘機(jī)進(jìn)行了詳細(xì)的分析，包括堡壘機(jī)的概念、堡壘機(jī)產(chǎn)生的原因、地位，堡壘機(jī)的功能和作用等內(nèi)容。堡壘機(jī)的核心