常见网络安全设备

常见网络安全设备

WAF（webapplicationfirewall）的消失是由于传统防火墙无法对应用层的攻

击进行有效反抗，并且IPS也无法从根本上防护应用层的攻击。因此消失了爱护

Web应用平安的Web应用防火墙系统（简称〃WAF〃）。

什么是WAF?

WAF是一种基础的平安爱护模块，通过特征提取和分块检索技术进行特征

匹配，主要针对HTTP访问的Web程序爱护。

WAF部署在Web应用程序前面，在用户恳求到达Web服务器前对用户恳

求进行扫描和过滤，分析并校验每个用户恳求的网络包，确保每个用户恳求有

效且平安，对无效或有攻击行为的恳求进行阻断或隔离。

通过检查HTTP流量，可以防止源自Web应用程序的平安漏洞（如SQL注

入，跨站脚本（XSS）,文件包含和平安配置错误）的攻击。

与传统防火墙的区分

WAF区分于常规防火墙，由于WAF能够过滤特定Web应用程序的内容，

而常规防火墙则充当服务器之间的平安门。

WAF不是全能的

WAF不是一个最终的平安解决方案，而是它们要与其他网络周边平安解决

方案（如网络防火墙和入侵防各系统）一起使用，以供应全面的防备策略。

入侵检测系统（IDS）

什么是IDS?

IDS是英文"IntrusionDetectionSystems"的缩写，中文意思是"入侵检测系

统〃。专业上讲就是依照肯定的平安策略，对网络、系统的运行状况进行监视，

尽可能发觉各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机

密性、完整性和可用性。

跟防火墙的比较

假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一

旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发觉状

况并发出警告。

不同于防火墙，IDS入侵检测系统是一个监听设施，没有跨接在任何链路

上，无须网络流量流经它便可以工作。

部署位置选择

因此，对IDS的部署唯一的要求是：IDS应挂接在全部所关注流量都必需流

经的链路上。在这里，〃所关注流量〃指的是来自高危网络区域的访问流量和需

要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的

HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换

式的网络结构。

因此，IDS在交换式网络中的位置一般选择在：

尽可能靠近攻击源；

这些位置通常是：

服务器区域的交换机上；

Internet接入路由器之后的第一台交换机上；

重点爱护网段的局域网交换机上

防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或

是符合需求的，比如发觉规章或监控不完善，可以更改设置及规章，或是重新

设置！

主要组成部分

大事产生器，从计算环境中获得大事，并向系统的其他部分供应此大事；

大事分析器，分析数据;

响应单元，发出警报或实行主动反应措施；

大事数据库，存放各种数据。

主要任务

主要任务包括：

监视、分析用户及系统活动；

审计系统构造和弱点；

识别、反映已知进攻的活动模式，向相关人士报警；

统计分析特别行为模式；

评估重要系统和数据文件的完整性；

审计、跟踪管理操作系统，识别用户违反平安策略的行为。

工作流程

（1）信息收集

信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检

测采用的信息一般来自系统日志、名目以及文件中的特别转变、程序执行中的

特别行为及物理形式的入侵信息4个方面。

（2）数据分析

数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预

处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在学问库

中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3

种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。

可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程

模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。

（3）实时纪录、报警或有限度反击

入侵检测系统在发觉入侵后会准时做出响应，包括切断网络连接、纪录大

事和报警等。响应一般分为主动响应（阻挡攻击或影响进而转变攻击的进程）

和被动响应（报告和纪录所检测出的问题）两种类型。

主动响应由用户驱动或系统本身自动执行，可对入侵者实行行动（如断开

连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简洁网

络管理合同（SNMP）陷阱和插件等。此外，还可以按策略配置响应，可分别实

行马上、紧急、适时、本地的长期和全局的长期等行动。玦点

（1）误报、漏报率高

（2）没有主动防备力量

（3）不能解析加密数据流

入侵预防系统（IPS）

什么是入侵预防系统

入侵预防系统（IntrusionPreventionSystem,IPS）,又称为入侵侦测与预防

系统（intrusiondetectionandpreventionsystems,IDPS）,是计算机网络平安设

施，是对防病毒软件（AntivirusSoftwares）和防火墙的补充。入侵预防系统是一

部能够监视网络或网络设施的网络数据传输行为的计算机网络平安设施，能够

即时的中断、调整或隔离一些不正常或是具有损害性的网络数据传输行为。

为什么在存在传统防火墙和IDS时，还会消失IPS?

虽然防火墙可以依据英特网地址（IP-Addresses）或服务端口（Ports）过滤

数据包。但是，它对于采用合法网址和端口而从事的破坏活动则无能为力。由

于，防火墙极少深化数据包检查内容。

在ISO/OSI网络层次模型（见OSI模型）中，防火墙主要在其次到第四层起

作用，它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七

层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空

档，几年前，工业界已经有入侵检测系统投入使用。入侵侦查系统在发觉特别

状况后准时向网络平安管理人员或防火墙系统发出警报。惋惜这时灾难往往已

经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应是在危害形成之

前先期起作用。随后应运而生的入侵反应系统(IRS:lntrusionResponse

Systems)作为对入侵侦查系统的补充能够在发觉入侵时，快速做出反应，并自

动实行阻挡措施。而入侵预防系统则作为二者的进一步进展，吸取了二者的特

长。

IPS如何工作

入侵预防系统特地深化网络数据内部，查找它所熟识的攻击代码特征，过

滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更

重要的是，大多数入侵预防系统同时结合考虑应用程序或网络传输层的特别状

况，来帮助识别入侵和攻击。比如，用户或用户程序违反平安条例、数据包在

不应消失的时段消失、操作系统或应用程序弱点的空子正在被采用等等现象。

入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依靠于已知病毒特

征。

应用入侵预防系统的目的在于准时识别攻击程序或有害代码及其克隆和变

种，实行预防措施，先期阻挡入侵，防患于未然。或者至少使其危害性充分降

低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要

时，它还可以为追究攻击者的刑事责任而供应法律上有效的证据

(forensic)o

入侵预防技术

特别侦查。正如入侵侦查系统，入侵预防系统知道正常数据以及数据之间

关系的通常的样子，可以对比识别特别。

在遇到动态代码(ActiveX,JavaApplet,各种指令语言scriptlanguages等

等)时，先把它们放在沙盘内，观看其行为动向，假如发觉有可疑状况，则停

止传输，禁止执行。

有些入侵预防系统结合合同特别、传输特别和特征侦查，对通过网关或防

火墙进入网络内部的有害代码实行有效阻挡。内核基础上的防护机制。用户程

序通过系统指令享用资源(如存储区、输入输出设施、中心处理器等)。

入侵预防系统可以截获有害的系统恳求。

对Library、Registry、重要文件和重要的文件夹进行防守和爱护。

与IDS相比，IPS的优势

同时具备检测和防备功能IPS不仅能检测攻击还能阻挡攻击，做到检测和防

备兼顾，而且是在入口处就开头检测，而不是等到进入内部网络后再检测，这

样，检测效率和内网的平安性都大大提高。

可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主

动响应和过滤功能，弥补了传统的防火墙+IDS方案不能完成更多内容检查的不

足，填补了网络平安产品基于内容的平安检查的空白IPS是一种失效既阻断机制

当IPS被攻击失效后，它会阻断网络连接，就像防火墙一样，使被爱护资源与外

界隔断。

平安运营中心（SOC）

什么是平安运营中心？

SOC,全称是SecurityOperationsCenter,是一个以IT资产为基础，以业务信

息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立

起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进

行可用性与性能的监控、配置与大事的分析审计预警、风险与态势的度量与评

估、平安运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续

平安运营。

本质上，SOC不是一款单纯的产品，而是一个简单的系统，他既有产品，

又有服务，还有运维（运营），SOC是技术、流程和人的有机结合。SOC产品是

SOC系统的技术支撑平台，这是SOC产品的价值所在。

为什么会消失SOC?

过去我们都让平安专家来管理各种类型的防火墙、IDS和诸如此类的平安措

施，这主要是由于平安问题一般都发生在网络中特别具体的某个地点。但是，

现在的状况已经变化，平安问题己经不再像当年那么简洁。平安是一个动态的

过程，由于敌方攻击手段在变，攻击方法在变，漏洞不断消失；我方业务在

变，软件在变，人员在变，妄图通过一个系统、一个方案解决全部的问题是不

现实的，也是不行能的，平安需要不断地运营、持续地优化。平安措施应被实

施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部

分，与网络性能的地位特别接近。

平安管理平台在将来平安建设中的地位尤其重要，它能够站在管理者的角

度去‘俯瞰'整个平安体系建设，对其中每一层产品都可以进行全面、集中、统一

的监测、调度和指挥掌握。可以说，将来的态势感知的根基就是平安管理平

台。

主要功能（以venustech公司的soc产品为例）

面对业务的统一平安管理

系统内置业务建模工具，用户可以构建业务拓扑，反映业务支撑系统的资

产构成，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱

性和业务的威逼三个维度计算业务的健康度，帮助用户从业务的角度去分析业

务可用性、业务平安大事和业务告警。

全面的日志采集

可以通过多种方式来收集设施和业务系统的日志，例如Syslog.

SNMPTrap>FTP>OPSECLEA>NETBIOS、ODBC、WMLShell脚本、WebService

等等。

智能化平安大事关联分析

借助先进的智能大事关联分析引擎，系统能够实时不间断地对全部范式化

后的日志流进行平安大事关联分析。系统为平安分析师供应了三种大事关联分

析技术，分别是：基于规章的关联分析、基于情境的关联分析和基于行为的关

联分析，并供应了丰富的可视化平安大事分析视图，充分提升分析效率，结合

威逼情报，更好的关心平安分析师发觉平安问题。

全面的脆弱性管理

系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动，内置平

安配置核查功能，从技术和管理两个维度进行全面的资产和业务脆弱性管控。

主动化的预警管理

用户可以通过预警管理功能发布内部及外部的早期预警信息，并与网络中

的IP资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能

患病的攻击和潜在的平安隐患。系统支持内部预警和外部预警；预警类型包括

平安通告、攻击预警、漏洞预警和病毒预警等；预警信息包括预备预警、正式

预警和归档预警三个状态。

主动化的网络威逼情报采用

系统供应主动化的威逼情报采集，通过采集实时威逼情报，结合规章关联

和观看列表等分析方式，使平安管理人员准时发觉来自己发觉的外部攻击源的

威逼。

基于风险矩阵的量化平安风险评估

系统参照GB/T20984-2007信息平安风险评估法律规范、ISO27005:2022信

息平安风险管理，以及OWASP威逼建模项目中风险计算模型的要求，设计了一

套有用化的风险计算模型，实现了量化的平安风险估算和评估。

指标化宏观态势感知

针对系统收集到的海量平安大事，系统借助地址焙分析、热点分析、威逼

态势分析、KPI分析等数据挖掘技术，关心管理员从宏观层面把握整体平安态

势，对重大威逼进行识别、定位、猜测和跟踪。

多样的平安响应管理

系统具备完善的响应管理功能，能够依据用户设定的各种触发条件，通过

多种方式（例如邮件、短信、声音、SNMPTrap、即时消息、工单等）通知用

户，并触发响应处理流程，直至跟踪到问题处理完毕，从而实现平安大事的闭

环管理。

丰富敏捷的报表报告

出具报表报告是平安管理平台的重要用途，系统内置了丰富的报表模板，

包括统计报表、明细报表、综合审计报告，审计人员可以依据需要生成不同的

报表。系统内置报表生成调度器，可以定时自动生成口报、周报、月报、季

报、年报，并支持以邮件等方式自动投递，支持以PDF、Excel、Word等格式导

出，支持打印。

系统还内置一套报表编辑器，用户可以自行设计报表，包括报表的页面版

式、统计内容、显示风格等流平安分析

除了采集各类平安大事，系统还能够采集形如NetFlow的流量数据并进行

可视化展现。针对采集来的NetFlow流量数据的分析，系统能够建立网络流量

模型，通过泰合特有的基于流量基线的分析算法，发觉网络特别行为。

学问管理

系统具有国内完善的平安管理学问库系统，内容涵盖平安大事库、平安策

略库、平安公告库、预警信息库、漏洞库、关联规章库、处理预案库、案例

库、报表库等，并供应定期或者不定期的学问库升级服务。

用户管理

系统采纳三权分立的管理体制，默认设置了用户管理员、系统管理员、审

计管理员分别管理。系统用户管理采纳基于角色的访问掌握策略，即依据对系

统中角色行为来限制对资源的访问。

自身系统管理

实现了系统自身平安及维护管理。主要包括组织管理、系统数据库及功能

组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和

配置功能。

一体化的平安管控界面

系统供应了强大的一体化平安管控功能界面，为不同层级的用户供应了多

视角、多层次的管理视图。

信息平安和大事管理(SIEM)

SIEM,信息平安和大事管理，全称是securityinformationandevent

management,由SEM和SIM两部分构成。

什么是SIEM?

SIEM软件能给企业平安人员供应其IT环境中所发生活动的洞见和轨迹纪

录。

SIEM技术最早是从日志管理进展起来的。它将平安大事管理(SEM)——实时

分析日志和大事数据以供应威逼监视、大事关联和大事响应，与平安信息管理

(SIM)一一收集、分析并报告日志数据，结合了起来。

SIEM的运作机制是什么？

SIEM软件收集并聚合公司全部技术基础设施所产生的日志数据，数据来源

从主机系统及应用，到防火墙及杀软过滤器之类网络和平安设施都有。

收集到数据后，SIEM软件就开头识别并分类大事，对大事进行分析。

该软件的主要目标有两个：

产出平安相关大事的报告，比如胜利/失败的登录、恶意软件活动和其他可

能的恶意活动。

假如分析表明某活动违反了预定义的规章集，有潜在的平安问题，就发出

警报。

除了传统的日志数据，许多SIEM技术还引入了威逼情报馈送，更有多种

SIEM产品具备平安分析力量，不仅监视网络行为，还监测用户行为，可针对某

动作是否恶意活动给出更多情报。

如今，大型企业通常都将SIEM视为支撑平安运营中心(SOC)的基础。

如何最大化SIEM的价值？

首先，SIEM技术是资源密集型工具，需要阅历丰富的人员来实现、维护和

调整一一这种员工不是全部企业都能完全投入的。(团队)

想要最大化SIEM软件产出，就需要拥有高品质的数据。数据源越大，该工

具产出越好，越能识别出特别值。(数据)

软件的局限

在检测可接受活动和合法潜在威逼上，SIEM并非完全精确，正是这种

差异，导致了许多SIEM部署中消失了大量误报。该状况需要企业内有强力监管

和有效规程，避开平安团队被警报过载拖垮。

漏洞扫描器(VulnerabilityScanner)

漏洞扫描是检查计算机或网络上可能采用的漏洞点，以识别平安漏洞。

什么是漏洞扫描器？

漏洞扫描器是一类自动检测本地或远程主机平安弱点的程序，它能够快速

的精确的发觉扫描目标存在的漏洞并供应应使用者扫描结果。

漏洞扫描器的工作原理

工作原理是扫描器向目标计算机发送数据包，然后依据对方反馈的信息来

推断对方的操作系统类型、开发端口、供应的服务等敏感信息。

漏洞扫描器的作用

通过扫描器，提前探知到系统的漏洞，预先修复。

分类

端口扫描器(Portscanner)

例如Nmap

网络漏洞扫描器(Networkvulnerabilityscanner)

例如Nessus,Qualys,SAINT,OpenVAS,INFRASecurityScanner,Nexpose

Web应用平安扫描器(Webapplicationsecurityscanner)

例如

Nikto,Qualys,Sucuri,High-TechBridge,BurpSuite,OWASPZAP,w3afo

数据库平安扫描器(atabasesecurityscanner)

基于主机的漏洞扫描器(Hostbasedvulnerabilityscanner)

例如Lynis

ERP平安扫描器(ERPsecurityscanner)

单一漏洞测试(Singlevulnerabilitytests)

统一威逼管理(UTM)

什么是UTM?

统一威逼管理(UTM,UnifiedThreatManagement),顾名思义，就是在单

个硬件或软件上，供应多种平安功能。这跟传统的平安设施不同，传统的平安

设施一般只解决一种问题。包含的功能

基础功能：

网络防火墙(NetworkFirewall)

入侵检测(IntrusionDetection)

入侵预防(IntrusionPrevention)

可能会有的功能：

防病毒网关(GatewayAnti・Virus)

应用层防火墙和掌握器(ApplicationLayerFirewallandcontrol)

深度包检测(Deeppacketinspection)

Web代理和内容过滤(WebProxy&contentfiltering)

数据丢失预防(DLP)

平安信息和大事管理(SIEM)

虚拟专用网络(VPN)

网络沼泽(NetworkTarpit)

UTM的优势是什么？

UTM通过为管理员供应统一管理的方式，使得平安系统的管理人员可以集

中管理他们的平安防备，而不需要拥有多个单一功能的设施，每个设施都需要

人去熟识、关注和支持；

一体化方法简化了安装、配置和维护；

与多个平安系统相比，节约了时间、金钱和人员。

UTM的缺点是什么？

单点故障

虽然UTM供应了一个单一设施管理的简便性，但这引入了单点故障，一旦

UTM设施出问题，整个平安防备会失效。

内部防备薄弱

由于UTM的设计原则违反了深度防备原则，虽然UTM在防备外部威逼特

别有效，但面对内部威逼就无法发挥作用了。

抗DDOS产品

抗DDOS产品的防备方式

拒绝服务攻击的防备方式通常为入侵检测，流量过滤和多重验证，旨在堵

塞网络带宽的流量将被过滤，而正常的流量可正常通过。

扩大带宽

流量清洗和封IP

CDN

防火墙（Firewall）

什么是防火墙

在计算机科学领域中，防火墙（英文：Firewall）是一个架设在互联网与企

业内网之间的信息平安系统，依据企业预定的策略来监控往来的传输。防火墙

可能是一台专属的网络设施或是运行于主机上来检查各个网络接口上的网络传

输。它是目前最重要的一种网络防护设施，从专业角度来说，防火墙是位于两

个（或多个）网络间，实行网络间访问或掌握的一组组件集合之硬件或软件。

功能

防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常

状况下称为ZONE）,制定出不同区域之间的访问掌握策略来掌握不同信任程度

区域间传送的数据流。

类型

网络层（数据包过滤型）防火墙

运作于TCP/IP合同堆栈上。管理者会先依据企业/组织的策略预先设置好数

据包通过的规章或采纳内置规章，只允许匹配规章的数据包通过。

应用层防火墙

应用层防火墙是在TCP/IP堆栈的〃应用层〃上运作，使用扫瞄器时所产生的

数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出

某应用程序的全部数据包，并且封锁其他的数据包（通常是直接将数据包丢弃）。

理论上，这一类的防火墙可以完全阻绝外部的数据流进受爱护的机器里。

代理服务

代理（Proxy）服务器（可以是一台专属的网络设施，或是在一般电脑上的

一套软件）采纳应用程序的运作方式，回应其所收到的数据包（例：连接要

求）来实现防火墙的功能，而封锁/抛弃其他数据包。

缺点

正常状况下，全部互联网的数据包软件都应经过防火墙的过滤，这将造成

网络交通的瓶颈。例如在攻击性数据包消失时，攻击者会不时寄出数据包，让

防火墙疲于过滤数据包，而使一些合法数据包软件亦无法正常进出防火墙。

虚拟专用网（VPN）

什么是VPN?

虚拟私人网络（英语：VirtualPrivateNetwork,缩写为VPN）是一种常用于

连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯

息透过公用的网络架构（例如：互联网）来传送内部网的网络讯息。它采用己

加密的通道合同（TunnelingProtocol）来达到保密、发送端认证、消息精确

性等私人消息平安效果。这种技术可以用担心全的网络（例如：互联网）来发

送牢靠、平安的消息。需要留意的是，加密消息与否是可以掌握的。没有加密

的虚拟专用网消息依旧有被窃取的危急。上网行为管理

什么是上网行为管理？

上网行为管理，就是通过软件或硬件，掌握用户访问网络的权限。功能包

括行为管理、应用掌握、流量管控、信息管控、非法热点管控、行为分析、无

线网络管理等。

云主机平安

云服务商在云主机中部署自己的agent程序，做监控、管理和平安监测。

功能

木马查杀

对各类恶意文件进行检测，包括各类WebShell后门和二进制木马，对检测

出来的恶意文件进行访问掌握和隔离操作，防止恶意文件的再次采用。

密码破解拦截

对密码恶意破解类行为进行检测和拦截，共享全网恶意IP库，自动化实施

拦截策略。

登录行为审计

依据登录流水数据，识别常用的登录区域，对可疑的登录行为供应实时告

警通知。

漏洞管理

对主机上存在的高危漏洞风险进行实时预警和供应修复方案，包括系统漏

洞、web类漏洞，关心企业快速应对漏洞风险。

资产管理

支持对机器进行分组标签管理，基于组件识别技术，快速把握服务器中软

件、进程、端口的分布状况。

数据库审计(DBAudit)

数据库审计服务，是为了保证单位或者个人核心数据的平安，可针对数据

库SQL注入、风险操作等数据库风险操作行为进行纪录与告警。

功能

用户行为发觉审计

关联应用层和数据库层的访问操作

可溯源到应用者的身份和行为

多维度线索分析

风险和危害线索：高中低的风险等级、SQL注入、黑名单语句、违反授权策

略的SQL行为会话线索：依据时间、用户、IP、应用程序、和客户端多角度分

具体语句线索：供应用户、IP、客户端工具、访问时间、操作对象、SQL操

作类型、胜利与否、访问时长、影响行数等多种检索条件

特别操作、SQL注入、黑白名单实时告警

特别操作风险：通过IP、月户、数据库客户端工具、时间、敏感对象、返

回行数、系统对象、高危操作等多种元素细粒度定义要求监控的风险访问行为

SQL注入：系统供应了系统性的SQL注入库，以及基于正则表达式或语法

抽象的SQL注入描述，发觉特别马上告警

黑白名单：供应精确而抽象的方式，对系统中的特定访问SQL语句进

行描述，使这些SQL语句消失时能够快速报警

针对各种特别行为的精细化报表

会话行为：登录失败报表、会话分析报表

SQL行为：新型SQL报表、SQL语句执行历史报表、失败SQL报表

风险行为：告警报表、通知报表、SQL注入报表、批量数据访问行为报表

政策性报表：塞班斯报表

堡垒机（运维审计与管控系统）

为什么需要堡垒机

当今的时代是一个信息化社会，信息系统已成为各企事业单位业务运营的

基砒由于信息系统运维人员把握着信息系统的最高权限，一旦运维操作消失平

安问题将会给企业或单位带来巨大的损失。因此，加强对运维人员操作行为的监

管与审计是信息平安进展的必定趋势。在此背景之下，针对运维操作管理与审计

的堡垒机应运而生。堡垒机供应了一套多维度的运维操作控管控与审计解决方

案，使得管理人员可以全面对各种资源（如网络设施、服务器、平安设施和数据

库等）进行集中账号管理、细粒度的权限管理和访问审计，关心企业提升内部风

险掌握水平。

分类

网关型堡垒机

网关型的堡垒机被部署在外部网络和内部网络之间，其本身不直接向外部

供应服务而是作为进入内部网络的一个检查点，用于供应对内部网络特定资源

的平安访问掌握。这类堡垒机不供应路由功能，将内外网从网络层隔离开来，

因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击，为

内部网络资源供应了一道平安屏障。但由于此类堡垒机需要处理应用层的数据

内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置

的堡垒机渐渐成为了性能瓶颈，因此网关型的堡垒机渐渐被日趋成熟的防火

墙、UTM、IPS、网闸等平安产品所取代。

运维审计型堡垒机

其次种类型的堡垒机是审计型堡垒机，有时也被称作“内控堡垒机〃，这种

类型的堡垒机也是当前应用最为普遍的一种。

运维审计型堡垒机的原理与网关型堡垒机类似，但其部署位置与应用场景

不同且更为简单。运维审计型堡垒机被部署在内网中的服务器和网络设施等核

心资源的前面，对运维人员的操作权限进行掌握和操作行为审计;运维审计型堡

垒机即解决了运维人员权限难以掌握混乱局面，又可对违规操作行为进行掌握

和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成为性能

的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速进展。

最早将堡垒机用于运维操作审计的是金融、运营商等高端行业的用户，由

于这些用户的信息化水平相对较高进展也比较快，随着信息系统平安建设进展

其对运维操作审计的需求表现也更为突出，而且这些用户更简洁受到“信息系统

等级爱护〃、〃萨班斯法案〃等法规政策的约束，因此基于堡垒机作为运维操作审

计手段的上述特点，这些高端行业用户领先将堡垒机应用于运维操作审计。

堡垒机运维操作审计的工作原理

作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的

权限掌握与操作行为审计。

主要技术思路

如何实现对运维人员的权限掌握与审计呢？堡垒机必需能够截获运维人员

的操作，并能够分析出其操作的内容。堡垒机的部署方式，确保它能够截获运

维人员的全部操作行为，分析出其中的操作内容以实现权限掌握和行为审计的

目的，同时堡垒机还采纳了应月代理的技术。运维审计型堡垒机对于运维操作

人员相当于一台代理服务器(P