前置机、网闸和摆渡机都是为了内网安全,尤其是银行、券商、电信运营商等的内网核心后台系统的安全,而使用的技术手段。跳板机和堡垒机则是为了运维人员远程访问控制系统而搭建的机器。
一、前置机 1. 作用前置机,指代的是设置在后台系统之前的一个前置系统,可以是硬件设备,也可以是一套软件系统。随着应用场景的不同,前置机的功能就不相同,因此没有有一个统一的功能或者定义。前置机应用较多的作用包括:
从网络和安全角度,前置机将外网数据转换后传递给内网后台系统,可以隔离内网外网的应用,保证外部的应用不能直接访问核心服务;
从业务角度,前置机可以处理部分原本属于后台系统的任务,减轻后台服务器的负担。
二、网闸 1. 作用网闸是使用带有多种控制功能的固态开关读写介质,通过无协议摆渡隔离``两个(非多个)独立主机系统的信息安全设备,使系统间不存在通信的物理连接、逻辑连接,不存在依据协议`进行的信息交换(因为网闸可以把一个系统的物理层数据解包为应用层数据,再传给另一个系统,从而另一个系统不会收到应用层以下的数据)。网闸是二层设备,更加侧重于对应用层数据的深度检查和控制。
2. 分类网闸又分为单向传输网闸和双向传输网闸,还有专门传送流媒体的视频网闸。
三、摆渡机 1. 作用摆渡机一般是指不连接任何网络的单机,采用一定的安全措施进行单向信息传递与交换,对摆渡过程进行可控的有效管理,事后可进行追查神级,用于内、外网及不同等级的涉密网络、不同等级的涉密单机之间进行数据交换的专用机。由于摆渡机主要是针对近年来发现的境外间谍机构利用专门研制的摆渡木马窃取我国家秘密的现象提出来的一种防范措施,主要防止外来磁个质直接插人涉密内网、涉密单机,感染摆渡木马、病毒造成的失泄密事件。
四、跳板机 1. 作用早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。此时的跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。同时,对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲就显得力不从心了。
五、堡垒机 1. 作用堡垒机,也叫做运维安全审计系统,由跳板机发展而来,它的核心功能是 4A:
身份验证 Authentication账号管理 Account授权控制 Authorization安全审计 Audit简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)。
六、应用案例:网闸和前置机网闸和前置机经常配合使用,以保证内网安全。个人认为,前置机从软件业务层面对内外网进行了隔离,而网闸从硬件技术角度保证了数据的安全。
参考文献【百度文库】通过网闸技术实现内外网隔离
【百度百科】网闸
【开源博客】堡垒机与网闸
【腾讯云】安全隔离网闸概述信安世纪
【中国数字医学公众号】第三方移动支付接入“军卫一号”系统的实践与思考
【一起聊安全公众号】跨网传输(一)
【知乎】在数据交换中,前置机是什么,有怎样的作用?
【派美雅】内外网数据单向导入/导出系统光盘应用解决方案
【知乎】堡垒机是干什么的?