堡垒

堡垒机概念及工作原理浅

析

关键词：堡垒机、运维操作审计、工作原

理

前

言

当今的时代是一个信息化社会，信息系统已成为各企事业单位业务运营的

基础

,由于信息系统运维人

员

掌握着信息系统的最高权限，一旦运维操作出现安全问题将会给企业或单位带来巨大的损

失。因此

,加强对

运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景

之下

,针对运维操作管理与审计的

堡

垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案，使得管理人员可以全

面对各

种资源（如网络设备、服务器、安全设备和数据库等）进行集中账号管理、细粒度的权限管理和访问

审计，

帮助企业提升内部风险控制水

平。

2堡垒机的概念和种

类

堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物，因此从字面的意

思来看

堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”，是一个

主机系

统，其自身通常经过了一定的加固，具有较高的安全性，可抵御一定的攻击，其作用主要是将

需要保

护的信息系统资源与安全威胁的来源进行隔离，从而在被保护的资源前面形成一个坚固的“堡

垒”，

并且在抵御威胁的同时又不影响普通用户对资源的正常访

问。

基于其应用场景，堡垒机可分为两种类

型：

2.1网关型堡垒机

网关型的堡垒机被部署在外部网络和内部网络之间，其本身不直接向外部提供服务而是作

为进入

内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由

功能，

将内外网从网络层隔离开来，因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以

下的攻

击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性

能消耗

很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈，

因此网

关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取

代。

2.2运维审计型堡垒机

第二种类型的堡垒机是审计型堡垒机，有时也被称作“内控堡垒机”，这种类型的堡垒机

也是当

前应用最为普遍的一

种。

运维审计型堡垒机的原理与网关型堡垒

机

类似，但其部署位置与应用场景不同且更为

复

-1-

杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面，对运维人员的操作

权限进行控制和操作行为审计；运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又

可对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会

成为性能的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速发展。

最早将堡垒机用于运维操作审计的是金融、运营商等高端行业的用户，由于这些用户的信息化

水平相对较高发展也比较快，随着信息系统安全建设发展其对运维操作审计的需求表现也更为突

出，而且这些用户更容易受到“信息系统等级保护”、“萨班斯法案”等法规政策的约束，因此

基于堡垒机作为运维操作审计手段的上述特点，这些高端行业用户率先将堡垒机应用于运维操作

审计。

堡垒机运维操作审计的工作原理

作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的权限控制与操作行为

审

计。

如何实现对运维人员的权限控制与审计呢？堡垒机必须能够截获运维人员的操作，并能够分析

出其操作的内容。堡垒机的部署方式，确保它能够截获运维人员的所有操作行为，分析出其中的

操作内容以实现权限控制和行为审计的目的，同时堡垒机还采用了应用代理的技术。运维审计型

堡垒机对于

运维操作人员相当于一台代理服务器(ProxyServer)，其工作流程如下图所示：

1)运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求；

2)该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，

之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。

通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员

户账号-＞授权-＞目标设备账号-＞目标设备”的管理模式，解决操作权限控制和行为审计问题的同

时，也

3.1

主要技术思路

运维终端

运维操作请求

操作执行结果

-＞堡垒机用

图1.堡垒机工作流程示意

图

权限核查

行为审计

目标设备

解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

3.2工作原理简介

面就简单介绍一下堡垒机运维操作审计的工作原理，其工作原理示意图如下：

图2.堡垒机工作原理示意图

在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用

户。

管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策

略。堡垒机管理员登录堡垒机后，在堡垒机内部，“策略管理”组件负责与管理员进行交互，并将管

理员输入的安全策略存储到堡垒机内部的策略配置库中。

应用代理”组件是堡垒机的核心，负责中转运维操作用户的操作并与堡垒机内部其他组件进

行

交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查，

核查依据便是管理员已经配置好的策略配置库，如此次操作不符合安全策略“应用代理”组件将拒绝

该操作行为的执行。

运维人员的操作行为通过“策略管理”组件的核查之后“应用代理”组件则代替运维人员连接

目标设备完成相应操作，并将操作返回结果返回给对应的运维操作人员；同时此次操作过程被提交

给堡垒机内部的“审计模块”，然后此次操作过程被记录到审计日志数据库中。

最后当需要调查运维人员的历史操作记录时，由审计员登录堡垒机进行查询，然后“审计模

块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

4如何选择一款好的堡垒机产品

对于信息系统的管理者来说除了工作原理以外可能更关心如何选择一款好的运维审计堡垒机产

品。一个好的运维审计堡垒机产品应实现对服务器、网络设备、安全设备等核心资产的运维管理账号

的集中账号管理、集中认证和授权，通过单点登录，提供对操作行为的精细化管理和审计，达到运维

管理简单、方便、可靠的目的。

4.1管理方便

应提供一套简单直观的账号管理、授权管理策略，管理员可快速方便地查找某个用户，查询修

改访问权限；同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理，包括账号、口令等

进行修改更新。

4.2可扩展性

当进行新系统建设或扩容时，需要增加新的设备到堡垒机时，系统应能方便的增加设备数量和

设备种类。

4.3精细审计

针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷，系统应能

实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计，提供对各种操作的

精细授权管

理和实时监控审计。

4.4审计可查

可实时监控和完整审计记录所有维护人员的操作行为；并能根据需求，方便快速的查找到用户

的操作行为日志，以便追查取证。

4.5安全性

堡垒机自身需具备较高的安全性，须有冗余、备份措施，如日志自动备份等。

4.6部署方便

系统采用物理旁路，逻辑串联的模式，不需要改变网络拓扑结构，不需要在终端安装客户端

软件，不改变管理员、运维人员的操作习惯，也不影响正常业务运行。

5结束语

本文简要分析了堡垒机的概念以及其运维操作审计的主要工作原理。随着信息安全的快速发

展，来自内部的安全威胁日益增多，综合防护、内部威胁防护等思想越来越受到重视，而各个层面

的政策

合规，如“萨班斯法案”、“信息系统等级保护”等等也纷纷对运维人员的操作行为审计提出明

-4-

确要求。堡垒机作为运维安全审计产品将成为信息系统安全的最后一道防线，其作用也将越来越重

要，应用范围势必会快速扩展到各个行业的信息系统。因此在当前的形势之下，让大家更加清楚的

了解堡垒机也就十分必要了。