課程咨詢、考試輔導、學習資料——>助理V: glab-mary
本文詳細介紹前置機、彈板機和堡壘機在網路安全和IT基礎設施中各自扮演著重要角色,它們雖然有一定的相似性,但在功能和用途上存在顯著差異。以下是對三者的詳細解析:
前置機
概念
前置機是一種中間裝置,通常位於客戶端和伺服器之間,用於處理請求並轉發給後端服務。它可以是硬體裝置,也可以是一套軟體系統,根據套用場景的不同,其功能也會有所差異。
套用場景:
前置機一般來說在銀行、券商、電信業者開發裏用的比較多。這些都有很多後台核心處理系統,對外提供各種介面服務。
如果我有某種業務介面需要跟他們的後台系統打交道,要從我們的外部網路存取他們的後台系統,這些單位是絕對不允許的。
這個時候,他們要求你或者他們自己開發一個軟體,執行在他們的內網,然後透過專線或硬體隔離技術將執行這個軟體的電腦連線到你的外網系統上,那麽執行這個軟體的電腦從功能上就被稱作前置機。
目前來說,在銀行普遍采用前置機的有ATM、POS、IC卡、銀聯金卡、電話銀行、券銀通、銀稅通、即繳費、公積金管理系統、電子匯兌和同城清算等系統。
前置機的作用:
1.從網路和安全形度:隔離主機的作用(一般放在內網以外,分離內網外網的套用)保證外部套用不能直接存取核心業務,比如銀行的各類外部介面(電信代收費、銀證通)
2.從業務角度:前置機提供了業務渠道與核心服務的主機交流的一個橋梁。它一般起著管理和排程業務渠道發起的交易的作用,經過前置機得呼叫可以減輕後台伺服器的負擔,當然了它也有非核心業務的處理功能。
3.位於套用系統伺服器端與客戶端之間的獨立處理機系統,擔負數據格式轉換、連線管理、業務流管理外圍排程、外圍處理,並把業務數據交給後台套用服務系統處理等任務。
4.C/S概念中C和S是相對而言的,雖然多數是固定對的,但是也是視指定而言。譬如銀行的業務套用中,請求的發出就不可以是從後端套用伺服器而來。以代收費的例子來看,前置機就是一個套用閘道器。實際上在現在的套用中,由於有了前置機的存在,主機變得不可見。
5.政務內外網兩端的業務系統需要數據交換,在各自業務系統前布置前置機,實作數據交換。
6.前置機是台物理機,部署前置交換系統。負責將需要交換過來或交換的數據緩存存到這台伺服器中。
總結
前置機可以理解為一個"攔截器"+"處理器"或一個"閘道器"
①銀行有自己的後台核心處理系統(該系統對外提供介面服務)
但是要想直接透過外部網路來存取銀行的後台系統肯定是不被允許的
②前置機(開發一個軟體執行在某個機器上,透過專線,將這台機器暴露在外網上,這個電腦就是前置機)
負責數據的整合和轉發
③前置機就是閘道器:實作內外網的資訊交換
政務系統與外網是物理隔離的,因此著兩者之間就需要一個資訊交換系統【前置機】
④銀行的前置機有哪些:ATM、POS
只要報文格式定義明確,任何金融交易的細節都可以包含在報文之中,前置機獲得並分析使用者請求,再請求前置機自己後面的主機完成操作
彈板機
概念
彈板機就是一台伺服器,運維人員在維護過程中首先要統一登入到這台伺服器,然後再登入到目標裝置進行維護和操作。
在騰訊中,彈板機是開發者登入到伺服器的唯一途徑,開發者必須先登入彈板機,再透過彈板機登入到套用伺服器
彈板機的驗證方式:
1)固定密碼
2)證書+固定密碼+動態驗證碼三重方式
套用場景
運維人員存取伺服器的入口
比如:我們本地Win10電腦透過XShell遠端連線linux,那麽Win10就是我們的彈板機
作用
主要特點:集中管理
缺陷:但是沒有實作對運維人員操作行為的控制和審計,使用彈板機的過程中還是會出現誤操作、違規操作而導致事故,一旦出現操作事故很難快速定位到原因和責任人。
後面將會由"堡壘機"來解決以上存在的問題
堡壘機
概念
堡壘機是一個專門為保護企業網路絡而設計的主機,通常部署在DMZ(非軍事區)中,作為外部網路和企業網路絡之間的安全螢幕障。
堡壘機: 也叫"運維審計系統",它的核心是可控和審計。可控:許可權可控、行為可控。
許可權可控: 比如某個開發工程師要轉崗或離職,如果沒有一個統一的許可權管理入口,該開發人員依然可以登入到該系統,是非常危險的事情。
行為可控: 比如,我們需要集中禁用某個危險命令,如果沒有一個統一的入口,操作是很繁瑣的。
套用場景
堡壘機主要有4A理念,即認證(Authen)、授權(Authorize)、帳號(Account)、審計(Audit)
堡壘機在金融、教育、政府、醫療、傳媒、互聯網等領域,都有被使用。
【1】金融領域:
【2】互聯網領域:
作用
堡壘機的建設目標:5W
1.審計:你做了什麽?(what)
2.授權:你能做哪些?(which)
3.帳號:你要去哪?(where)
4.認證:你是誰?(who)
5.來源:存取時間?(when)
主要功能:
總結
前置機: 數據轉換、保護核心服務、減輕內網後台伺服器負擔
彈板機: 對運維人員進行集中管理
堡壘機: 由彈板機發展而來,主要提供:身份驗證、帳號管理、許可權控制、安全審計【用來控制哪些人可以登入哪些資產,以及錄像記錄登入資產後做了什麽事情】
