现在一台堡垒机大概价格（堡垒机的价格）

云和安全管理服务新钛云服徐磊原创

什么是堡垒机？

堡垒机，也叫做运维安全审计系统，它的核心功能是：

• 帐号管理

• 身份验证

• 安全审计

• 授权控制

简单总结一句话：堡垒机是用来控制哪些人可以登录哪些资产（预先防范和控制），以及记录登录资产之后做了什么操作（事后溯源）。

一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

堡垒机很多时候也叫运维审计系统，它的核心是可控制和审计。可控是指权限可控、行为可控。权限可控，比如某个工程师要离职或要转岗了。如果没有一个统一的权限管理入口，是很难细粒度的做到权限的清空和集成的。行为可控，比如我们需要集中禁用某个危险命令，如果没有一个统一入口，操作的难度可想而知。

1、传统无堡垒机运维

现在一台堡垒机大概价格,堡垒机的价格(1)

传统无堡垒机的方式，终端连接网络设备，由防火墙或者三层交换机做路由，进而为终端和服务器建立连接。所有的访问控制和策略都基于网络层进行控制。那么在应用层面，可以说是直连的，无法做到权限的管控和操作的审计等操作。这是网络层无法做到的事情。

2、堡垒机运维

现在一台堡垒机大概价格,堡垒机的价格(2)

在网络设备和服务器中间架设堡垒机设备，可以是旁路部署，也可以是串联部署，具体看实际的使用场景。这种架构下，不仅可以在网络层实现管控策略，还可以在应用方面进行细粒度的权限管控。比如张三能只读访问服务器

A和服务器B，读写访问服务器C；张三在自己终端做的所有的操作都有迹可循；张三在离职之后，直接删除张三在堡垒机上的账户即可，或者权限继承给其他同事等等。

市面上都有哪些堡垒机？

• 云堡垒机

• 硬件堡垒机

• SAAS平台

• 私有化部署

1、云堡垒机

目前主流的各大云厂商都有自己的堡垒机，在自己的云管平台中以产品的形式提供服务。一般都是收费的。可以更快捷，更高效和简便地连接自己平台的云主机和一些其他类型的资产。对于一些异构和其他环境的主机资产，需要借助其他协议比如vpn或者云企业网来纳管。或者通过安装agent和网管的形式。

优势

• 无需维护成本，升级更新均为云商操作

• 纳管资产匹配云商平台资源

• 开箱即用，无需占用公司资产

• 不存在单点故障，高效、稳定

• 价格高

缺陷

• 本地资产和账户密码托管至云堡垒机，安全性不高

• 无法实现多云，跨平台和跨环境纳管资源

• 成本费用较高，多数为按功能模块计费

• 使用成本较高

• 不同环境的IT基础设施需要使用anent实现纳管

2、硬件堡垒机

在早期时候，人们对于IT安全意识有足够的前瞻性，届时一些安全堡垒机的厂商就横空出世了。早期没有所谓的SAAS和云堡垒机的概念，都是把软件集成到硬件设备里去，这个硬件设备其实就是一个小型的服务器，在此之上承载着堡垒机软件。

国内有一些比较老牌的很多的堡垒机厂商，帮助一些企业建设堡垒机架构，通过硬件接入进企业的IT基础架构中去。员工通过访问内部堡垒机平台的方式登录服务器进行运维操作。

优势

• 部署于企业内网，安全性较高

• 版本较稳定，非必要不会升级版本和暂停服务

缺陷

• 存在单点故障，一般堡垒机在架构上无高可用

• 版本升级不便捷，硬件堡垒机升级需要厂商上门更新

• 使用时间长了，硬件设施老化，迁移部署不方便

• 资产量达到一定数量之后，无法横向拓展纳管

3、SAAS堡垒机

还有一些厂商，直接把服务作为平台化，对外提供服务。一个公司视为一个租户帐号，面向的客户企业都集中使用对外开放的堡垒机平台。用户申请自己的租户帐号，添加录入公司的信息资产。对于公司层面，申请了硬件的基础设施费用和维护费用。不用考虑单点故障和升级迁移等问题，但是存在的隐患也是有的。比如资产信息外泄，账户口令托管于SAAS平台。

优势

• 无需维护成本，升级更新均为厂商操作

• 可纳管多环境异构IT基础设施，覆盖面广

• 开箱即用，无需占用公司资产

• 不存在单点故障，高效、稳定

缺陷

• 公司资产信息和涉密口令信息托管于平台

• 无私有化的定制服务

• 使用公网访问，在安全方面得不到有效的保障

4、私有云部署堡垒机

现在一台堡垒机大概价格,堡垒机的价格(3)