![一文带你理清前置机、跳板机与堡垒机的区别]( "一文带你理清前置机、跳板机与堡垒机的区别")
本文详细介绍前置机、跳板机和堡垒机在网络安全和IT基础设施中各自扮演着重要角色,它们虽然有一定的相似性,但在功能和用途上存在显著差异。以下是对三者的详细解析:
![一文带你理清前置机、跳板机与堡垒机的区别]( "一文带你理清前置机、跳板机与堡垒机的区别")
前置机
概念
前置机是一种中间设备,通常位于客户端和服务器之间,用于处理请求并转发给后端服务。它可以是硬件设备,也可以是一套软件系统,根据应用场景的不同,其功能也会有所差异。
前置机一般来说在银行、券商、电信运营商开发里用的比较多。这些都有很多后台核心处理系统,对外提供各种接口服务。
如果我有某种业务接口需要跟他们的后台系统打交道,要从我们的外部网络访问他们的后台系统,这些单位是绝对不允许的。
这个时候,他们要求你或者他们自己开发一个软件,运行在他们的内网,然后通过专线或硬件隔离技术将运行这个软件的计算机连接到你的外网系统上,那么运行这个软件的计算机从功能上就被称作前置机。
目前来说,在银行普遍采用前置机的有ATM、POS、IC卡、银联金卡、电话银行、券银通、银税通、即缴费、公积金管理系统、电子汇兑和同城清算等系统。
1.从网络和安全角度:隔离主机的作用(一般放在内网以外,分离内网外网的应用)保证外部应用不能直接访问核心业务,比如银行的各类外部接口(电信代收费、银证通)
2.从业务角度:前置机提供了业务渠道与核心服务的主机交流的一个桥梁。它一般起着管理和调度业务渠道发起的交易的作用,经过前置机得调用可以减轻后台服务器的负担,当然了它也有非核心业务的处理功能。
3.位于应用系统服务器端与客户端之间的独立处理机系统,担负数据格式转换、连接管理、业务流管理外围调度、外围处理,并把业务数据交给后台应用服务系统处理等任务。
4.C/S概念中C和S是相对而言的,虽然多数是固定对的,但是也是视指定而言。譬如银行的业务应用中,请求的发出就不可以是从后端应用服务器而来。以代收费的例子来看,前置机就是一个应用网关。实际上在现在的应用中,由于有了前置机的存在,主机变得不可见。
5.政务内外网两端的业务系统需要数据交换,在各自业务系统前布置前置机,实现数据交换。
6.前置机是台物理机,部署前置交换系统。负责将需要交换过来或交换的数据缓存存到这台服务器中。
前置机可以理解为一个"拦截器"+"处理器"或一个"网关"
①银行有自己的后台核心处理系统(该系统对外提供接口服务)
但是要想直接通过外部网络来访问银行的后台系统肯定是不被允许的
②前置机(开发一个软件运行在某个机器上,通过专线,将这台机器暴露在外网上,这个计算机就是前置机)
政务系统与外网是物理隔离的,因此着两者之间就需要一个信息交换系统【前置机】
只要报文格式定义明确,任何金融交易的细节都可以包含在报文之中,前置机获得并分析用户请求,再请求前置机自己后面的主机完成操作
跳板机就是一台服务器,运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作。
在腾讯中,跳板机是开发者登录到服务器的唯一途径,开发者必须先登录跳板机,再通过跳板机登录到应用服务器
比如:我们本地Win10电脑通过XShell远程连接linux,那么Win10就是我们的跳板机
缺陷:但是没有实现对运维人员操作行为的控制和审计,使用跳板机的过程中还是会出现误操作、违规操作而导致事故,一旦出现操作事故很难快速定位到原因和责任人。
堡垒机是一个专门为保护内部网络而设计的主机,通常部署在DMZ(非军事区)中,作为外部网络和内部网络之间的安全屏障。
堡垒机:也叫"运维审计系统",它的核心是可控和审计。可控:权限可控、行为可控。
权限可控:比如某个开发工程师要转岗或离职,如果没有一个统一的权限管理入口,该开发人员依然可以登录到该系统,是非常危险的事情。
行为可控:比如,我们需要集中禁用某个危险命令,如果没有一个统一的入口,操作是很繁琐的。
堡垒机主要有4A理念,即认证(Authen)、授权(Authorize)、账号(Account)、审计(Audit)
堡垒机在金融、教育、政府、医疗、传媒、互联网等领域,都有被使用。
前置机:数据转换、保护核心服务、减轻内网后台服务器负担
堡垒机:由跳板机发展而来,主要提供:身份验证、账号管理、权限控制、安全审计【用来控制哪些人可以登录哪些资产,以及录像记录登录资产后做了什么事情】
-
前置机:为了内网安全,尤其是银行、券商、电信运营商等的内网核心后台系统的安全
-
跳板机、堡垒机:为了运维人员远程访问控制系统而搭建的机器
以上内容转自网络,侵删
文末福利
现在已经步入2025年了,不少小伙伴在考虑入行学习网络安全。
![一文带你理清前置机、跳板机与堡垒机的区别]( "一文带你理清前置机、跳板机与堡垒机的区别")
为了帮助大家早日习得网络安全核心知识,快速入行网络安全圈,给大家整理了一套【2025最新网安资料】网络安全工程师必备技能资料包(文末一键领取),内容有多详实丰富看下图!
渗透测试
代码审计
HVV文档
红队笔记
入门视频
以上所有资料获取请扫码
![一文带你理清前置机、跳板机与堡垒机的区别]( "一文带你理清前置机、跳板机与堡垒机的区别")
识别上方二维码
备注:2025安全合集
100%免费领取
(是扫码领取,不是在公众号后台回复,别看错了哦)
原文始发于微信公众号(马哥网络安全):一文带你理清前置机、跳板机与堡垒机的区别
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3682322.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论