缘起：堡垒机从哪里来？ ——无风不起浪，从需求中来

1. 运维部门的需求

那时候，数据中心的运维管理人员的技术水平还处于“社会主义初级阶段“，经常会出现一些低级的误操作，导致网站突然无法正常访问，解决问题基本靠在人堆里吼一声”谁TM干的”。痛苦在于，误操作而导致的运维事故极大的降低了网站的可用性，而可用性（俗称几个9）又是运维部门永恒不变的关键考核指标。

运维部门深知，误操作问题的出现是无法杜绝的。那么，何时出现？看风险概率。而风险概率=运维部门人数 服务器规模 业务复杂度。由于不能保证没有误操作，所以只能在出现误操作事故后，快速定位问题，快速恢复网站可用，也算是“曲线救国”。

运维部门由此产生了一个需求：有没有一种技术手段在出现误操作后，第一时间知道是谁做的，怎么做的？

2. 安全部门的需求

我们发现，“坏人”在连续跳转登录多台服务器的过程中，会隐匿他最初的身份。那么，有没有一种技术手段能解决：不管“他”连续跳转多少次，身份如何变化，都能知道他就是最初的那个“他”呢”？

3. 风控部门的需求

当时公司准备去美国纳斯达克上市，面临萨班斯（SOX）法案的合规要求，审计事务所普华永道有一份针对数据中心的问题检查列表，虽然我们都应答满足，但却缺少一种有效的技术手段去应对账号、密码、操作等方面的审计要求。

三个部门尚未被解决的3个问题，对我来说是个巨大挑战，因为还年轻，因为无知者无畏，又因为无理由自信，我踏上了求解之路。

当时存在三个层面5种技术解决办法：

I. 系统层面：在服务器上解决，国外运维厂商的最爱

实现：

每台服务器上安装Agent+独立的Agent Server。

优点：

可以文本解析并且实现指令控制，国外大厂都有这样的产品。

缺点：

买不起：当时1个Agent要1万元人民币；

怕麻烦：不同操作系统需要不同Agent适配，几千台服务器N多个Linux操作系统，同时升级很困难；

搞不定：系统管理员坚决反对安装Agent，担心会影响系统稳定性。

II. 系统层面：在服务器的系统日志里实现，系统管理员的最爱

实现：

过滤+收集日志里的信息。

优点：

实现简单。

缺点：

看不懂：日志根本就不是给普通人看的，是给系统开发人员看的；

看不到：如果一个用户连续三次跳转和改变身份，日志无法关联；

看不真：用户登录系统后很容易篡改系统日志。

III. 系统层面：服务器上解决，修改登录脚本，系统管理员的最爱

实现：

修改登录过程中的profile文件。

优点：

实现简单，系统管理员就可以搞定。

缺点：

修改过的脚本文件很容易被用户改回去；

升级维护脚本很麻烦；

没法关联分析用户在多台设备跳转的日志。

IV. 网络层面：在网络中解决，网络安全厂商的最爱

实现：

在交换机上通过流量镜像实现流量捕获+协议解析。

优点：

可以文本提取不加密协议（telnet/ftp等）的输入输出内容。

缺点：

大流量的情况下流量捕获会丢包，丢包意味着无法完整解析；

加密传输是大趋势（比如SSH、Https），加密后的协议难解析；

协议会持续升级，不停去解析协议是一场永无止境的噩梦。

V. 终端层面：在终端上解决，终端管理厂商的最爱

实现：

在桌面PC/笔记本上安装Agent。

优点：

可以录屏。

缺点：

终端更多时候是为了日常办公，很难在终端上区分出哪些是运维操作；

操作数据没办法文本化，简单的录屏对查找问题来说价值不大。

从功能上来说，堡垒机综合了核心系统运维和安全审计管控两大主干功能。从技术上来说，运维安全审计能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

堡垒机的作用主要体现在下述几个方面：

1、企业角度。通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行降低人为安全损失，保障企业效益。

2、管理员角度。所有的运维账号在一个平台上进行管理，管理起来更加的简单有序，确保用户拥有的权限是完成任务所需的最小。

3、权限。直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。

4、普通用户角度。运维人员只需要记住一个账号和口令，登录一次，就可以访问多台设备了，降低工作复杂度的同时还提高了工作效率。

堡垒机能够拦截非法访问和恶意的攻击，能够对不合法的命定进行阻断，对内部的误操进行审计监控。因此堡垒机在很多行业中都得到了很好的应用。

1) 运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求; 2) 该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。

通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式，解决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。