堡垒机分为商业堡垒机和开源堡垒，开源软件毫无疑问将是未来的主流。Jumpserver 是全球首款完全开源的堡垒机，是符合 4A 的专业运维审计系统，GitHub Star 数超过 1.1 万，Star 趋势就可以看出其受欢迎程度。

堡垒机原理

目前常见堡垒机的主要功能架构：

目前常见堡垒机主要功能分为以下几个模块：

• 运维平台

  RDP/VNC运维；SSH/Telnet运维；SFTP/FTP运维；数据库运维；Web系统运维；远程应用运维；

• 管理平台

  三权分立；身份鉴别；主机管理；密码托管；运维监控；电子工单；

• 自动化平台

  自动改密；自动运维；自动收集；自动授权；自动备份；自动告警；

• 控制平台

  IP防火墙；命令防火墙；访问控制；传输控制；会话阻断；运维审批；

• 审计平台

  命令记录；文字记录；SQL记录；文件保存；全文检索；审计报表；

三权分立：

• 三权的理解：配置，授权，审计

• 三员的理解：系统管理员，安全保密管理员，安全审计员

• 三员之三权：废除超级管理员；三员是三角色并非三人；安全保密管理员与审计员必须非同一个人。

堡垒机的身份认证：

堡垒机主要就是为了做统一运维入口，所以登录堡垒机就支持灵活的身份认证方式：

• 本地认证：本地账号密码认证，一般支持强密码策略
• 远程认证：一般可支持第三方AD/LDAP/Radius认证
• 双因子认证：UsbKey、动态令牌、短信网关、手机APP令牌等
• 第三方认证系统：OAuth2.0、CAS等。

堡垒机的运维方式常见有以下几种：

• B/S运维：通过浏览器运维。

• C/S运维：通过客户端软件运维，比如Xshell，CRT等。

• H5运维：直接在网页上可以打开远程桌面，进行运维。

  无需安装本地运维工具，只要有浏览器就可以对常用协议进行运维操作，支持ssh、telnet、rlogin、rdp、vnc协议

• 网关运维：采用SSH网关方式，实现代理直接登录目标主机，适用于运维自动化场景。

堡垒机其他常见功能：

• 文件传输：一般都是登录堡垒机，通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
• 细粒度控制：可以对访问用户、命令、传输等进行精细化控制。
• 支持开放的API

堡垒机常见部署方式

单机部署：

堡垒机主要都是旁路部署，旁挂在交换机旁边，只要能访问所有设备即可。

部署特定：

• 旁路部署，逻辑串联。
• 不影响现有网络结构。

HA高可靠部署：

旁路部署两台堡垒机，中间有心跳线连接，同步数据。对外提供一个虚拟IP。

部署特点：

• 两台硬件堡垒机，一主一备/提供VIP。
• 当主机出现故障时，备机自动接管服务。