最早的堡壘機，通常是指提供特定網(wǎng)絡(luò)或應(yīng)用服務(wù)的計算機設(shè)備，其自身相對安全并可防御一定程度的攻擊，一般會部署于外圍網(wǎng)絡(luò) ( 也稱 DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏蔽子網(wǎng) )面向公眾的一端，不受防火墻或過濾路由器的保護。這類堡壘機通常用作 Web 服務(wù)器、域名系統(tǒng) (DNS) 服務(wù)器或文件傳輸(FTP)服務(wù)器等，通過將這些必須開放的服務(wù)部署在堡壘機而不是內(nèi)部網(wǎng)絡(luò)中以換取內(nèi)部網(wǎng)絡(luò)的安全。

       近年來，隨著企業(yè)信息化應(yīng)用水平的不斷提升，企業(yè)信息化和信息安全管理的矛盾也越來越突出，運維安全審計堡壘機也就應(yīng)運而生，為解決矛盾提供了新的思路，同時也豐富和強化了堡壘機的概念。

       總的來說，運維安全審計堡壘機更偏重于對內(nèi)部網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)的綜合安全保護，其目標(biāo)是通過綜合采用虛擬化技術(shù)、協(xié)議代理技術(shù)和身份認(rèn)證、訪問控制與操作審計等多種信息安全技術(shù)，實現(xiàn)員工和管理人員對內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問，同時對訪問和操作的過程進行完備的審計記錄。

運維安全審計堡壘機，場景應(yīng)用及功能解答

       在企業(yè) IT 運營中，企業(yè)運維人員、外包公司的 IT 服務(wù)人員和遠程移動辦公接入人員是企業(yè)信息安全管理的重點對象。如何保證這些人員既能方便地訪問授權(quán)范圍內(nèi)的企業(yè)資源，又能有效保護企業(yè)敏感數(shù)據(jù)的安全性，即對這些人員的操作行為進行必要的管控與完備審計等等，就成為 IT 管理過程中面臨的一個非常復(fù)雜的難題。而運維安全審計堡壘機在數(shù)據(jù)管控、應(yīng)用管控、操作管控與審計方面，都能有效地解決上述難題。

(1) 數(shù)據(jù)與應(yīng)用的集中管控

運維安全審計堡壘機可以將應(yīng)用和數(shù)據(jù)集中部署在數(shù)據(jù)中心，通過虛擬化應(yīng)用發(fā)布，使得用戶可以通過任意終端和任意網(wǎng)絡(luò)訪問數(shù)據(jù)中心的應(yīng)用和數(shù)據(jù)。這種管理模式使得企業(yè)的應(yīng)用部署架構(gòu)從分布式部署變成了集中部署方式，因而帶來了應(yīng)用訪問、性能及安全等各個方面的提升。

       通過數(shù)據(jù)和應(yīng)用的集中管控，一方面應(yīng)用和數(shù)據(jù)的維護變得簡單，應(yīng)用訪問的性能得到大幅提高；另一方面，由于終端計算機不再接觸實際的數(shù)據(jù)，企業(yè)應(yīng)用和數(shù)據(jù)的安全性也得到了較大的增強。

(2) IT 運維操作的集中審計

       運維安全審計堡壘機切斷了終端計算機對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而是采用協(xié)議代理的方式，接管了終端計算機對網(wǎng)絡(luò)和服務(wù)器的訪問。通過協(xié)議代理，可以將原來終端計算機對內(nèi)網(wǎng)資源的分散訪問集中到堡壘機這一個入口點，同時通過協(xié)議錄制，實現(xiàn)了內(nèi)網(wǎng)資源訪問的集中審計。在實際應(yīng)用中，上述協(xié)議廣泛地應(yīng)用于 IT 運維管理人員對網(wǎng)絡(luò)設(shè)備和服務(wù)器的遠程運行維護，因此堡壘機可以實現(xiàn)精細(xì)化的集中運維操作審計。