开源堡垒机各自特点分析

作用:

堡垒机综合了运维管理和安全性的融合,切断了终端计算机对网络和服务器资源的直接访问,而是采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过堡垒机的翻译。

使用目的:

权限分发,审计定责

目前流行堡垒机:

商业:绿盟、行云管家、 科友、齐治、金万维、极地、派拉
开源:jumpserver、teleport、CrazyEye、×××

开源堡垒机简介

jumpserver:github上开源堡垒机,可以购买商业技术支持。http://www.jumpserver.org/
teleport:github上开源堡垒机,没有商业版。http://teleport.eomsoft.net/
CrazyEye:个人制作的堡垒机,没有官网,也鲜有资料。
麒麟堡垒机:开源版只支持一部分功能,剩下的功能需要购买。http://www.tosec.com.cn/

jumpserver和teleport对比:

序号 teleport jumpserver
1 安装简单,部署容易 安装复杂,涉及python3.6,需要调整与yum的冲突项,需要人工调整部分参数
2 只能使用自动登录方式,分权前需要配置好账号和密码,点击即登录,不需要人工输入密码 可以使用自动登录和手动登录两种,手动登录是指在通过堡垒机连接上服务器之后,再输入密码
3 自带sftp上传工具,双击即上传 需要通过软件上传到堡垒机所在服务器,再下发到主机,比较麻烦
4 不带有ansible,无法自动收集服务器的信息 带有ansible,可以自动获取服务器的信息,目前已知可以收集Linux服务器数据,暂不知道是否可以收集Windows的数据信息
5 可以选择使用xshell或putty或CRT等终端进行连接 默认使用网页终端,暂时不知道是否可以启用第三方终端软件
6 使用RDP协议对Windows服务器进行连接,不需要在堡垒机安装额外软件,只需要在服务器端修改一个配置 Windows默认无法使用,需要堡垒机上安装一个镜像包才能使用,同时要求堡垒机运行在CentOS7上
7 目前测试强制断开终端均成功 测试发现,偶尔出现无法中断情况,需多次点击
8 登录堡垒机暂时只支持本地认证 可以使用LDAP进行登陆认证
9 使用者需要在电脑安装一个体量很小的软件 不需要在客户机安装任何软件,因为使用网页控制服务器
10 无商用版本,可以给开发者进行捐赠 有商业版本,可以购买技术支持
11 并发量未知 并发量未知

界面:

teleport:



jumpserver:



原文地址:http://blog.51cto.com/9346709/2287681

时间: 2024-10-09 13:53:05

开源堡垒机各自特点分析的相关文章

AAA功能部署和测试----麒麟开源堡垒机功能篇之二

AAA服务器在网络管理方面主要用于服务器.网络设备的认证,比如我们常用的CISCO ACS系统,通过 AAA服务器可以把登录设备的帐号统一到AAA系统上进行管理! 另外AAA系统还可以授权记帐,TACACS协议可以限制用户登录设备的级别.可执行的命令,但是RADIUS协议只能限制用户登录的级别,RADIUS协议没有CMD属性,无法限制命令. 堡垒机一般又叫小4A,是集认证.授权.审计.分析与一体的安全设备,我前期测试过多个厂商的堡垒机部分堡垒机有3A功能,这样的好处是可以把网络设备的帐号集中管理

开源堡垒机RDP窗口名称和文字识别功能------------麒麟开源堡垒机技术识别篇

开源堡垒机除了录相,还需要做操作识别,主要的操作识别功能包括: Ssh/telnet的操作命令识别 ftp/sftp  的操作命令识别 RDP/VNC/X11 的打开窗口title识别 RDP/VNC/X11 窗口中的文字识别 RDP  剪切版内容识别 RDP/VNC/X11 键盘记录 对于一个只能录相的开源堡垒机,其可用性是非常差的,因为开源堡垒机的审计功能主要用于事后,如果发生了内部运维事件,并且时间点难以确定,审计员必须面对海量的日志进行识别,由专人对每个会话从头到尾看整个操作录相.而操作

麒麟开源堡垒机银行行业设计方案

 麒麟开源堡垒机银行行业 设计方案 麒麟堡垒机系统 修订记录/Change History 日期 修订版本 描述 作者 2016-2-26 V1.0 将设计部分单独提出,修改用户表格 麒麟 目录 1 文档说明5 1.1 方案概述5 1.2 银行行业运维操作现状5 2 需求分析6 2.1 需求分析6 2.2 实施范围7 3 项目目标7 3.1 集中帐号管理7 3.2 集中身份认证和访问控制8 3.3 集中授权管理9 3.4 单点登录9 3.5 实名运维审计9 4 应用部署规划11 4.1 访问

堡垒机-麒麟开源堡垒机 v1.31 版本发布

麒麟开源堡垒机团队经过努力,发布了V1.31版本,版本最主要的功能为内嵌了网管监控功能,可以在公司官网下载使用,网管部分代码包含在发布的ISO中. 堡垒机内嵌网管模块可以让管理员在登录堡垒机时即可以看到主机系统运行情况,不需要在登录网管系统查看系统运行状态. V1.31版本网管模块主要功能包括: 1.支持标准的SNMPV2协议,可以对Linux.Unix.Windows.h3c.cisco.华为等系统进行CPU.内存.存贮.网络接口流量进行抓取,并且将数据存贮在RRD图中,任何时候可以查看1小时

开源堡垒机安装测试上线部署详解-----麒麟开源堡垒机

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,telnet.ssh.ftp.sftp已经足够了因此将这套堡垒机已经用于生产环境. 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写为文档与大家分享. 我测试的其它开源堡垒机基本上还是半成品,麒麟堡

堡垒机-麒麟开源堡垒机苹果 Mac支持版本发布

近日,麒麟开源堡垒机团队开发测试了支持Mac OS苹果操作系统的Web插件,苹果系统用户可以直接和Windows用户一样,登录到Web平台,使用点击的方式调动运维工具并且登录到目标系统进行操作运维. Mac OS插件支持ssh.telnet.rdp.vnc.x11.sftp.ftp.应用发布等所有协议. 注:麒麟开源堡垒机,为一个开源的堡垒机系统,目前系统主要功能如下: 1.支持资产管理,可以管理设备.帐号资产 2.支持单点登录,用户通过堡垒机帐号,在登录设备帐号时不需要输入密码 3.支持授权操

堡垒机-麒麟开源堡垒机 V 1.3 正式发布

麒麟开源堡垒机团队经过1个月的努力,发布V 1.3版本,本版本主要收集了5月开发的小功能,并且增加了大用户量.大设备量,纵深目录层级的优化支持,产品 V1.3 光盘主要新增功能如下(相对 V1.2光盘) 1.增加苹果MAC OS系统客户端的WEB访问支持 2.增加CA认证支持,内置CA证书 3.增加ssh 公私钥认证方式中,私钥中有密码的支持 4.增加安装时小内存(2g)的选项支持 5.增加大客户高性能索引支持,目前某银行上线1.5万台机器 .600个用户.6级目录共计470多个目录分级,经过优

麒麟开源堡垒机内置SSL VPN使用指南

麒麟开源堡垒机 内置SSL VPN使用指南 一.安装 (一)确定服务器的操作系统位数 Windows XP.2000.2003系统,在我的电脑属性里,可以很明显地看到标识.如果没有注明是64位的,那么默认就是32位的. Windows 7 系统在控制面板,点击系统,在系统类型里,标注有操作系统位数. (二)安装VPN客户端 VPN客户端分为32位系统和64位系统二种,安装时,必须按上一步中检测到的系统进行安装,系统为32位则必须安装32位系统,系统为64位必须安装64位系统,安装过程如下: 注意

麒麟开源堡垒机与商业堡垒机功能对比

近期因为公司上堡垒机,前期花2个月左右的时间进行调研测试,测试了5款商业堡垒机,后来又测试了开源堡垒机麒麟开源堡垒机和JumpServer,因此得到了一些心得,对堡垒机的整体功能列表.各家堡垒机的优缺点有了一些了解,本文对这些心得进行总结,以功能.使用.成本等角度对商业堡垒机和开源堡垒机进行比较. 商业堡垒机一共测试了5家左右,感觉功能整体上都差不多,目前堡垒机已经进行产品成熟期,产品同化严重,只是某此厂家做的细节的,有一些厂家做的细节不好而已. 开源堡垒机一共测试了2家,一家是麒麟开源堡垒机,