绍兴高端网站开发

堡垒机

运维安全两大难题

随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，IT系统日趋复杂，不同背景运维人员的行为给信息系统安全带来较大风险，主要表现在：

缺少统一的权限管理平台，权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理，无法基于最小权限分配原则的用户权限管理，难以实现更细粒度的命令级权限控制，系统安全性无法充分保证。无法制定统一的访问审计策略，审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为，由于没有统一审计策略，并且各系统自身审计日志内容深浅不一，难以及时通过系统自身审计发现违规操作行为和追查取证。什么是堡垒机

堡垒机是在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责，有效解决了运维安全两大难题。

堡垒机本质上可以看作用于防御攻击的计算机，又被称为"堡垒主机"。堡垒机是一个主机系统，其自身通常经过了一定的加固，具有较高的安全性，可抵御一定的攻击。堡垒机将需要保护的信息系统资源与安全威胁的来源进行隔离，从而在被保护的资源前面形成一个坚固的"堡垒"，并且在抵御威胁的同时又不影响普通用户对资源的正常访问，堡垒机还集成了行为审计和权限控制，从而加强了对操作和安全的控制。

堡垒机分类

根据实际使用场景的不同和业务需要，堡垒机主要分为网关型堡垒机和运维审计型堡垒机。

网关型堡垒机网关型堡垒机主要部署在外部网络和内部网络之间，本身不直接向外部提供服务，而是作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。

网关型堡垒机不提供路由功能，将内外网从网络层隔离开来，除授权访问外，还可以过滤掉一些针对内网的、来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈，因此，网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。

运维审计型堡垒机运维审计型堡垒机，也被称作"内控堡垒机"，这类堡垒机也是当前应用最为普遍的一种。运维审计型堡垒机被部署在内网中服务器和网络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计。

运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又可对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成为性能的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速发展。

堡垒机运维审计工作原理

堡垒机运维操作审计的工作原理示意图如下所示：

堡垒机的用户通常包括：管理人员、运维操作人员、审计人员三类用户。

管理员根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后，在堡垒机内部，【策略管理】组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。【应用代理】组件是堡垒机的核心，负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。【应用代理】组件收到运维人员的操作请求后调用【策略管理】组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配置库，如此次操作不符合安全策略，【应用代理】组件将拒绝该操作行为的执行。运维人员的操作行为通过【策略管理】组件的核查验证之后，【应用代理】组件则代替运维人员连接目标设备完成相应操作，并将操作返回结果返回给对应的运维操作人员；同时，此次操作过程被提交给堡垒机内部的【审计模块】，然后此次操作过程被记录到审计日志数据库中。最后，当需要调查运维人员的历史操作记录时，由审计员登录堡垒机进行查询，然后【审计模块】从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。堡垒机运维审计工作流程

运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server)，其工作流程示意图如下所示：

运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求，该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。

绍兴高端网站开发通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员-堡垒机用户账号-授权-目标设备账号-目标设备”的管理模式，解决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

堡垒机作用

堡垒机作为集中访问入口和操作审计的保障，提供了一套多维度的运维操作权限管理与审计解决方案，使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。

当前，网站被“黑”的现象屡屡发生，尤其是一些企业官网、政府网站、教育网站等，经常成为恶意黑客攻击的目标，为了避免造成经济损失及恶意影响，各网站不断加强安全防护。其中，网页防篡改系统最为常见，它能够保护网站代码文件不被篡改，是得到一致认可的有效手段。

网页防篡改系统

什么是网页防篡改系统？

网页防篡改系统是用于保护网站安全、防止黑客入侵、篡改网站的网站防护设备、

网页防篡改工作原理

一般一个完整的系统应由如下部分组成：发布服务器程序、同步服务器程序、交互页面远程控制台，同时还可以选择配置防篡改模块。各部分主要功能如下：

发布服务器程序（更新端）安装在内网的独立服务器上，其远程访问一般限制由某些指定段IP机器进行，负责将合法的网页文件通过安全通信发送到WEB服务器，它也是系统的管理中心。

发布服务器程序必须能够自动发现网站文件发布文件夹下被更新的文件；传输本地修改的文件及对方请求的文件；更新上传合法文件水印信息；记录上传、更新、篡改、恢复等日志信息；发送报警邮件。

同步服务器程序（监控端）安装在WEB服务器上，负责接收发布服务器发送来的合法网页变化，并保存其数字水印，监视本机未经许可的文件变化并向服务器请求恢复变化的文件。

同步服务器必须能够循环监控被保护文件变化，对当前文件计算的水印与其保存的水印比对不一致的，向发布服务器请求重新传输；自动更新接收文件水印信息。

远程控制台（管理端）运行在管理员桌面上，提供远程方式对发布服务器的管理及日志内容查看。

防篡改模块（IIS Filter）内嵌在IIS WEB服务器软件里，对所有的网页文件请求进行合法性检查，并对所有发送的网页进行数字水印比对。

内容保护过程对浏览器的网页浏览请求，防篡改模块检查其头部信息，检查请求的文件是否在监视列表中，如果存在于监视列表中，则将文件数字水印与保存在数据库中的有效水印比对，一致则允许访问，否则拒绝访问。

同步服务器对监视到的非法文件变化，向发布服务器请求重新传输和恢复该文件。文件恢复后，WEB服务器将正确的网页内容发送给浏览器。

网页防篡改三种技术

外挂轮询技术用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

核心内嵌技术将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。

事件触发技术利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。

三种技术对比我们可以形象的把Web服务器看成是一个美术馆大楼，目录是大楼的楼层和房间，每个网页文件都是房间挂着的画作。这些画作每天由工作人员不断更新，每天也有成千上万的借阅者通过借阅口来取出和阅读这些画作。网页防篡改系统的目标就是保证人们看到的是真实的画作，而不是赝品，甚至反动宣传品。三种技术对比如下：

绍兴高端网站开发【外挂轮询技术】：大楼配备了一个检查员进行巡检，他以一个普通借阅者的身份不停地在借阅处调取每个房间的每副画作，与手里的真实画作相比较进行检查，发现有可疑物品即进行报警。 这种方式的显著弱点是：当大楼规模很大，房间和画作很多时，他会忙不过来。对于特定的一幅画作，两次检查的时间间隔会很长，不法分子完全有机会更换画作，对借阅者造成严重影响。【事件触发技术】：大楼在正门进口处配备一个检查员，他对每一个进入的画作进行检查，发现有可疑物品即进行报警。 这种方式的显著优点是：防范成本很低，但缺点是：美术馆大楼的结构非常复杂，不法分子通常不会选择正门进来，他会从天花板、下水道甚至利用大楼结构的薄弱处自己挖个洞进来，并且还不断会有新的门路被发现，可见防守进口的策略是不能做到万无一失的。另外，非法画作一旦混进了大楼，就再也没有机会进行安全检查了。【核心内嵌技术】：大楼在借阅口处配备一个检查员，他对每一个调出的画作进行检查，发现有可疑画作即阻止它的流出。 这种方式的显著优点是：每副画作在流出时都进行检查，因此可疑画作完全没有被借阅者看到的可能；相应弱点是，由于存在检查手续，画作在流出时会耽误时间。网页防篡改系统三种技术各有优劣，各厂商在设计和实现网页防篡改系统时，通过技术手段尽量发挥各种技术的优势，弥补或降低其缺点的影响，以实现高效、实时、精准的防护功能。