企业开发名词解析 — — 前置机、跳板机、堡垒机、网闸

企业开发名词解析 — — 前置机、跳板机、堡垒机

1 前置机

1.1 概念

前置机是指用于现场的中间设备

前置机一般是存在于前台客户端和后台服务器之间，扮演适配器的角色，即：在不同的通信协议、数据格式或语言之间相互转换。它还起着管理和调度前台所发起的交易作用，经过前置机的调度，可以减轻后台服务器的负担，并且有时在客户端和后台服务器间起着防火墙的作用。这样可以起到隐藏后台的功能，在一定程度上保证后台的安全性。

1.2 应用场景

前置机一般来说在银行、券商、电信运营商开发里用的比较多。这些都有很多后台核心处理系统，对外提供各种接口服务。如果我有某种业务接口需要跟他们的后台系统打交道，要从我们的外部网络访问他们的后台系统，这些单位是绝对不允许的。这个时候，他们要求你或者他们自己开发一个软件，运行在他们的内网，然后通过专线或硬件隔离技术将运行这个软件的计算机连接到你的外网系统上，那么运行这个软件的计算机从功能上就被称作前置机。

目前来说，在银行普遍采用前置机的有ATM、POS、IC卡、银联金卡、电话银行、券银通、银税通、即缴费、公积金管理系统、电子汇兑和同城清算等系统。

1.3 前置机的作用

1. 从网络和安全角度：隔离主机的作用（一般放在内网以外，分离内网外网的应用）保证外部应用不能直接访问核心业务，比如银行的各类外部接口（电信代收费、银证通）
2. 从业务角度：前置机提供了业务渠道与核心服务的主机交流的一个桥梁。它一般起着管理和调度业务渠道发起的交易的作用，经过前置机得调用可以减轻后台服务器的负担，当然了它也有非核心业务的处理功能。
3. 位于应用系统服务器端与客户端之间的独立处理机系统，担负数据格式转换、连接管理、业务流管理外围调度、外围处理，并把业务数据交给后台应用服务系统处理等任务。
4. C/S概念中C和S是相对而言的，虽然多数是固定对的，但是也是视指定而言。譬如银行的业务应用中，请求的发出就不可以是从后端应用服务器而来。以代收费的例子来看，前置机就是一个应用网关。实际上在现在的应用中，由于有了前置机的存在，主机变得不可见。
5. 政务内外网两端的业务系统需要数据交换，在各自业务系统前布置前置机，实现数据交换。
6. 前置机是台物理机，部署前置交换系统。负责将需要交换过来或交换的数据缓存存到这台服务器中。

1.4 总结

前置机可以理解为一个"拦截器"+"处理器"或一个"网关"

①银行有自己的后台核心处理系统（该系统对外提供接口服务）

但是要想直接通过外部网络来访问银行的后台系统肯定是不被允许的

②前置机（开发一个软件运行在某个机器上，通过专线，将这台机器暴露在外网上，这个计算机就是前置机）

负责数据的集成和转发

③前置机就是网关：实现内外网的信息交换

政务系统与外网是物理隔离的，因此着两者之间就需要一个信息交换系统【前置机】

④银行的前置机有哪些：ATM、POS

只要报文格式定义明确，任何金融交易的细节都可以包含在报文之中，前置机获得并分析用户请求，再请求前置机自己后面的主机完成操作

2 跳板机

2.1 概念

跳板机就是一台服务器，运维人员在维护过程中首先要统一登录到这台服务器，然后再登录到目标设备进行维护和操作。

在腾讯中，跳板机是开发者登录到服务器的唯一途径，开发者必须先登录跳板机，再通过跳板机登录到应用服务器

跳板机的验证方式：
1）固定密码
2）证书+固定密码+动态验证码三重方式

2.2 应用场景

运维人员访问服务器的入口

比如：我们本地Win10电脑通过XShell远程连接linux，那么Win10就是我们的跳板机

2.3 作用

主要特点：集中管理
缺陷：

但是没有实现对运维人员操作行为的控制和审计，使用跳板机的过程中还是会出现误操作、违规操作而导致事故，一旦出现操作事故很难快速定位到原因和责任人。

后面将会由"堡垒机"来解决以上存在的问题

3 堡垒机

3.1 概念

堡垒机（跳板机升级版）：在一个特定的网络环境下，为保护网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

堡垒机：用来控制哪些人可以登录哪些资产（事先防范和事中控制），以及记录登录资产之后做了
什么事情（事溯源）
"角色"、"权限"、"操作记录"

堡垒机：也叫"运维审计系统"，它的核心是可控和审计。可控：权限可控、行为可控。
权限可控：比如某个开发工程师要转岗或离职，如果没有一个统一的权限管理入口，该开发人员依然可以登录到该系统，是非常危险的事情。
行为可控：比如，我们需要集中禁用某个危险命令，如果没有一个统一的入口，操作是很繁琐的。

3.2 应用场景

堡垒机主要有4A理念，即认证(Authen)、授权（Authorize）、账号（Account）、审计（Audit）

堡垒机在金融、教育、政府、医疗、传媒、互联网等领域，都有被使用。

【1】金融领域：

• 越权防护
• 高风险阻断
• 高效事件还原

【2】互联网领域：

• 统一运维入口
• 凭据隐私托管
• 权限细粒度划分

3.3 作用

堡垒机的建设目标：5W

1. 审计：你做了什么？（what）
2. 授权：你能做哪些？（which）
3. 账号：你要去哪？（where）
4. 认证：你是谁？（who）
5. 来源：访问时间？（when）

主要功能：

• 集中管理
• 集中权限分配
• 统一认证
• 集中审计
• 数据安全
• 运维高效
• 运维合规
• 风险管控

4 网闸

4.1 概念

网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

4.2 应用场景

1. 涉密网与非涉密网之间
2. 局域网与互联网之间（内网与外网之间）

有些局域网络，特别是政府办公网络，涉及政府敏感信息，有时需要与互联网在物理上断开，用物理隔离网 闸是一个常用的办法。

3. 办公网与业务我那个之间

由于办公网络与业务网络的信息敏感程度不同，例如，银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率，办公网络有时需要与业务网络交换信息。为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用物理隔离网闸，实现两类网络的物理隔离。

4. 电子政务的内网与专网之间

在电子政务系统建设中要求政府内望与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。

5. 业务网与互联网之间

电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大民众。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。

4.3 作用

• 物理层断开
• 链路层断开
• TCP/IP协议隔离
• 应用协议隔离

网闸就是要解决目前网络安全存在的下述问题。
（1）对操作系统的依赖，因为操作系统有漏洞；
（2）对TCP/IP协议的依赖，因为TCP/IP协议也有漏洞；
（3）解决通信连接的问题，内网和外网直接连接，存在基于通信的攻击；
（4）应用协议的漏洞，如非法的命令和指令等。

4.4 与防火墙区别

核心思想: （1）防火墙的思路是在保障互联互通的前提下，尽可能安全； （2）网闸的思路是在保证必须安全的前提下，尽可能互联互通，如果不安全则隔离断开。

面临的威胁	网站的处理及结果	防火墙的处理及结果
物理层窃听、攻击、干扰	物理层窃听、攻击、干扰	无法避免
链路、网络及通讯层威胁	物理通路的切断使之上的协议终止，相应的攻击行为无法奏效	通过白名单+黑名单的机制，控制IP、端口等手段可避免部分协议层攻击行为
应用攻击（CC、溢出、越权访问等）	由于物理通路的切断、单向控制及其之上的协议的终止，使此类攻击行为无法进入内网（安全域）。 专有定制的应用服务提供，使大多数对网闸的非安全域一端的处理单元的通用攻击行为无法奏效。即便是将外网端的处理单元攻陷，其攻击者也无法通过不受任何一端控制的安全通道进入内网（安全域）。	包过滤型防火墙，无处理，无法抵挡 高端应用级防火墙可抵挡部分应用攻击
数据（敏感关键字、病毒、木马等）	信息摆渡的机制使的数据如同一个人拿着U盘在两台计算机之间拷贝文件，并且在拷贝之前会基于文件的检查（内容审查、病毒查杀等），可使数据的威胁减至最低。	可过滤部分明文关键字

CC攻击：CC攻击全称Challenge Collapsar，中文意思是挑战黑洞，因为以前的抵抗DDoS攻击的安全设备叫黑洞，顾名思义挑战黑洞就是说黑洞拿这种攻击没办法，新一代的抗DDoS设备已经改名为ADS (Anti-DDoS System)，基本上已经可以完美的抵御CC攻击了。. CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面，制造大量的后台数据库查询动作，消耗目标CPU资源，造成拒绝服务。. CC不像DDoS可以用硬件防火墙来过滤攻击，CC攻击本身的请求就是正常的请求

5 总结

前置机：数据转换、保护核心服务、减轻内网后台服务器负担
跳板机：对运维人员进行集中管理
堡垒机：由跳板机发展而来，主要提供：身份验证、账号管理、权限控制、安全审计【用来控制哪些人可以登录哪些资产，以及录像记录登录资产后做了什么事情】

拓展：
摆渡机：不连接任何网络的单机器，采用一定的安全措施进行单向信息传递与交换，对摆渡过程进行可控的有效管理。用于内、外网及不同等级的涉密网络、不同等级的涉密单机之间进行数据交换的专用机。【防范间谍等】

1）前置机、网闸（物理隔离）和摆渡机：为了内网安全，尤其是银行、券商、电信运营商等的内网核心后台系统的安全
2）跳板机、堡垒机：为了运维人员远程访问控制系统而搭建的机器