近期因为公司上堡垒机,前期花2个月左右的时间进行调研测试,测试了5款商业堡垒机,后来又测试了开源堡垒机麒麟开源堡垒机和JumpServer,因此得到了一些心得,对堡垒机的整体功能列表、各家堡垒机的优缺点有了一些了解,本文对这些心得进行总结,以功能、使用、成本等角度对商业堡垒机和开源堡垒机进行比较。
商业堡垒机一共测试了5家左右,感觉功能整体上都差不多,目前堡垒机已经进行产品成熟期,产品同化严重,只是某此厂家做的细节的,有一些厂家做的细节不好而已。
开源堡垒机一共测试了2家,一家是麒麟开源堡垒机,一家是Jumpserver,开源堡垒机中,麒麟开源堡垒机的功能已经与商业堡垒机一致,Jumpserver还在开发期,有些协议目前还不支持,因此未做进一步测试,这里只比较了商业堡垒机与麒麟开源堡垒机的优缺点。
比较表如下:
功能说明 |
商业堡垒机 |
麒麟开源堡垒机 |
安装方式 |
硬件一体机 |
一键无人值守安装盘 |
接入拓朴 |
旁路 |
旁路 |
支持协议 |
RDP/VNC/X11/SSH/TELNET/FTP/SFTP |
RDP/VNC/X11/SSH/TELNET/FTP/SFTP |
应用发布 |
支持 |
支持 |
单点登录 |
支持 |
支持 |
强认证 |
证书 |
动态口令、证书 |
审计功能 |
命令识别、录相回放 |
命令识别、录相回放 |
授权功能 |
支持 |
支持 |
附加功能 |
无 |
SSLVPN、监控 |
使用成本 |
高 |
低 |
表中我主要比较了堡垒机主要的功能和成本,下面一一做说明:
1. 安装方式,五款商业堡垒机全是硬件盒子,拿来配置了IP直接上线使用,麒麟开源堡垒机ISO是一个一键无人值守安装光盘,一回车就可以将系统和应用软件一直装完,连分区都不用。哪个好用仁都见仁,智者见智,商用堡垒机不需要安装直接上线,麒麟开源堡垒机要找机器安装,系统和应用是一张一键安装光盘,从现实使用情况看我更推荐麒麟堡垒机,因为我觉得未来是云环境,很多东西都要用虚机方式部署,麒麟的安装非常简单,ISO上到云,分个虚机,一回车就部署完毕了。
2. 接入拓朴,没什么好说的,全是旁路 ,所有堡垒机全一样
3. 支持协议,商业堡垒和麒麟开源堡垒机基本上支持所有的运维协议,包括RDP/VNC/X11/SSH/TELNET/FTP/SFTP,至于古老的rlogin什么的没测试。
4. 应用发布,应用发布一般是用于数据库、B/S的审计,这项和协议一样,麒麟开源堡垒机和商业堡垒机支持。
5. 单点登录,不用填密码,登录到WEB后可以SSO到所有的服务器,所有的堡垒机都有这个功能。
6. 强认证功能,堡垒机上线,如果用托密方式,一但堡垒机用户密码被人搞了,则可以登录这个人所有的机器,所以强认证我认为是堡垒机的必选项,商业堡垒机中,全部支持证书认证,二款商业堡垒机内置有动态口令,麒麟开源堡垒机支持证书和内置动态口令。
7. 审计功能,审计包括命令识别和录相回放,所有堡垒机都通过
8. 授权功能,比如授权用户只能登录哪台设备,只能从哪个IP来登录等,所有堡垒机都通过。
9. 附加功能主要是测试了一些堡垒机的附加功能,测试了麒麟开源堡垒机的网管监控和SSL VPN功能,个人感觉SSL VPN功能很有用,移动用户远程公网使用的时候很有用,网管监控功能感觉有些鸡肋,比专业网管的功能差不少
10. 使用成本,麒麟开源堡垒机的ssh/ftp/telnet/sftp是开源免费的,因此这二个系统从这个功能上来说差不多,如果加上全协议,商业堡垒机一般报价是12万左右,去了硬件成本也在10万左右,我这里只有80多台设备(50台linux,20多台windows),因此使用麒麟的堡垒机只需要一个图形授权,1万元搞定,大约是商业堡垒机的1/10。
使用总结:
商业堡垒机的优点:
功能齐全、支持好有现场工程师,文档齐全
商业堡垒机的缺点:
贵,一台堡垒机10多万,另外没有虚机部署版,不方便
麒麟开源堡垒机优点:
功能齐全、成本低、支持虚机部署
麒麟开源堡垒机的缺点:
稍有成本,不过这个成本还在可接受范围内,相比商业堡垒机低的太多了
没有现场工程师,支持方式为QQ和电话
对于我们这种中小型领导又不给批钱的公司,麒麟堡垒机的优势太明显了,全协议,多模块,支持虚机部署,成本比起商业堡垒机基本上可以忽略不记
商业堡垒机我认为适用于一些大型的企业,需要良好的技术支持又不差钱的公司