随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，IT系统日趋复杂，不同背景运维人员的行为给信息系统安全带来较大风险，主要表现在：

• 缺少统一的权限管理平台，权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理，无法基于最小权限分配原则的用户权限管理，难以实现更细粒度的命令级权限控制，系统安全性无法充分保证。
• 无法制定统一的访问审计策略，审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为，由于没有统一审计策略，并且各系统自身审计日志内容深浅不一，难以及时通过系统自身审计发现违规操作行为和追查取证。

堡垒机是在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责，有效解决了运维安全两大难题。

堡垒机本质上可以看作用于防御攻击的计算机，又被称为"堡垒主机"。堡垒机是一个主机系统，其自身通常经过了一定的加固，具有较高的安全性，可抵御一定的攻击。堡垒机将需要保护的信息系统资源与安全威胁的来源进行隔离，从而在被保护的资源前面形成一个坚固的"堡垒"，并且在抵御威胁的同时又不影响普通用户对资源的正常访问，堡垒机还集成了行为审计和权限控制，从而加强了对操作和安全的控制。

根据实际使用场景的不同和业务需要，堡垒机主要分为网关型堡垒机和运维审计型堡垒机。

• 网关型堡垒机

网关型堡垒机主要部署在外部网络和内部网络之间，本身不直接向外部提供服务，而是作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。

网关型堡垒机不提供路由功能，将内外网从网络层隔离开来，除授权访问外，还可以过滤掉一些针对内网的、来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈，因此，网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。

• 运维审计型堡垒机

运维审计型堡垒机，也被称作"内控堡垒机"，这类堡垒机也是当前应用最为普遍的一种。运维审计型堡垒机被部署在内网中服务器和网络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计。

运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又可对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成为性能的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速发展。

堡垒机运维操作审计的工作原理示意图如下所示：

堡垒机的用户通常包括：管理人员、运维操作人员、审计人员三类用户。

• 管理员根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后，在堡垒机内部，【策略管理】组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。
• 【应用代理】组件是堡垒机的核心，负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。【应用代理】组件收到运维人员的操作请求后调用【策略管理】组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配置库，如此次操作不符合安全策略，【应用代理】组件将拒绝该操作行为的执行。
• 运维人员的操作行为通过【策略管理】组件的核查验证之后，【应用代理】组件则代替运维人员连接目标设备完成相应操作，并将操作返回结果返回给对应的运维操作人员；同时，此次操作过程被提交给堡垒机内部的【审计模块】，然后此次操作过程被记录到审计日志数据库中。
• 最后，当需要调查运维人员的历史操作记录时，由审计员登录堡垒机进行查询，然后【审计模块】从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server)，其工作流程示意图如下所示：

运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求，该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。

通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式，解决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

堡垒机作为集中访问入口和操作审计的保障，提供了一套多维度的运维操作权限管理与审计解决方案，使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。