麒麟开源堡垒机与商业堡垒机功能对比

近期因为公司上堡垒机,前期花2个月左右的时间进行调研测试,测试了5款商业堡垒机,后来又测试了开源堡垒机麒麟开源堡垒机和JumpServer,因此得到了一些心得,对堡垒机的整体功能列表、各家堡垒机的优缺点有了一些了解,本文对这些心得进行总结,以功能、使用、成本等角度对商业堡垒机和开源堡垒机进行比较。

商业堡垒机一共测试了5家左右,感觉功能整体上都差不多,目前堡垒机已经进行产品成熟期,产品同化严重,只是某此厂家做的细节的,有一些厂家做的细节不好而已。

开源堡垒机一共测试了2家,一家是麒麟开源堡垒机,一家是Jumpserver,开源堡垒机中,麒麟开源堡垒机的功能已经与商业堡垒机一致,Jumpserver还在开发期,有些协议目前还不支持,因此未做进一步测试,这里只比较了商业堡垒机与麒麟开源堡垒机的优缺点。

比较表如下:

表中我主要比较了堡垒机主要的功能和成本,下面一一做说明:

  1. 安装方式,五款商业堡垒机全是硬件盒子,拿来配置了IP直接上线使用,麒麟开源堡垒机ISO是一个一键无人值守安装光盘,一回车就可以将系统和应用软件一直装完,连分区都不用。哪个好用仁都见仁,智者见智,商用堡垒机不需要安装直接上线,麒麟开源堡垒机要找机器安装,系统和应用是一张一键安装光盘,从现实使用情况看我更推荐麒麟堡垒机,因为我觉得未来是云环境,很多东西都要用虚机方式部署,麒麟的安装非常简单,ISO上到云,分个虚机,一回车就部署完毕了。
  2. 接入拓朴,没什么好说的,全是旁路,所有堡垒机全一样
  3. 支持协议,商业堡垒和麒麟开源堡垒机基本上支持所有的运维协议,包括RDP/VNC/X11/SSH/TELNET/FTP/SFTP,至于古老的rlogin什么的没测试。
  4. 应用发布,应用发布一般是用于数据库、B/S的审计,这项和协议一样,麒麟开源堡垒机和商业堡垒机支持。
  5. 单点登录,不用填密码,登录到WEB后可以SSO到所有的服务器,所有的堡垒机都有这个功能。
  6. 强认证功能,堡垒机上线,如果用托密方式,一但堡垒机用户密码被人搞了,则可以登录这个人所有的机器,所以强认证我认为是堡垒机的必选项,商业堡垒机中,全部支持证书认证,二款商业堡垒机内置有动态口令,麒麟开源堡垒机支持证书和内置动态口令。
  7. 审计功能,审计包括命令识别和录相回放,所有堡垒机都通过
  8. 授权功能,比如授权用户只能登录哪台设备,只能从哪个IP来登录等,所有堡垒机都通过。
  9. 附加功能主要是测试了一些堡垒机的附加功能,测试了麒麟开源堡垒机的网管监控和SSL VPN功能,个人感觉SSL VPN功能很有用,移动用户远程公网使用的时候很有用,网管监控功能感觉有些鸡肋,比专业网管的功能差不少
  10. 使用成本,麒麟开源堡垒机的ssh/ftp/telnet/sftp是开源免费的,因此这二个系统从这个功能上来说差不多,如果加上全协议,商业堡垒机一般报价是12万左右,去了硬件成本也在10万左右,我这里只有80多台设备(50台linux,20多台windows),因此使用麒麟的堡垒机只需要一个图形授权,1万元搞定,大约是商业堡垒机的1/10。

使用总结:

商业堡垒机的优点:

功能齐全、支持好有现场工程师,文档齐全

商业堡垒机的缺点:

贵,一台堡垒机10多万,另外没有虚机部署版,不方便

麒麟开源堡垒机优点:

功能齐全、成本低、支持虚机部署

麒麟开源堡垒机的缺点:

稍有成本,不过这个成本还在可接受范围内,相比商业堡垒机低的太多了

没有现场工程师,支持方式为QQ和电话

对于我们这种中小型领导又不给批钱的公司,麒麟堡垒机的优势太明显了,全协议,多模块,支持虚机部署,成本比起商业堡垒机基本上可以忽略不记

商业堡垒机我认为适用于一些大型的企业,需要良好的技术支持又不差钱的公司

时间: 2024-10-08 12:18:38

麒麟开源堡垒机与商业堡垒机功能对比的相关文章

堡垒机-麒麟开源堡垒机 v1.31 版本发布

麒麟开源堡垒机团队经过努力,发布了V1.31版本,版本最主要的功能为内嵌了网管监控功能,可以在公司官网下载使用,网管部分代码包含在发布的ISO中. 堡垒机内嵌网管模块可以让管理员在登录堡垒机时即可以看到主机系统运行情况,不需要在登录网管系统查看系统运行状态. V1.31版本网管模块主要功能包括: 1.支持标准的SNMPV2协议,可以对Linux.Unix.Windows.h3c.cisco.华为等系统进行CPU.内存.存贮.网络接口流量进行抓取,并且将数据存贮在RRD图中,任何时候可以查看1小时

开源堡垒机安装测试上线部署详解-----麒麟开源堡垒机

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,telnet.ssh.ftp.sftp已经足够了因此将这套堡垒机已经用于生产环境. 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写为文档与大家分享. 我测试的其它开源堡垒机基本上还是半成品,麒麟堡

堡垒机-麒麟开源堡垒机 V 1.3 正式发布

麒麟开源堡垒机团队经过1个月的努力,发布V 1.3版本,本版本主要收集了5月开发的小功能,并且增加了大用户量.大设备量,纵深目录层级的优化支持,产品 V1.3 光盘主要新增功能如下(相对 V1.2光盘) 1.增加苹果MAC OS系统客户端的WEB访问支持 2.增加CA认证支持,内置CA证书 3.增加ssh 公私钥认证方式中,私钥中有密码的支持 4.增加安装时小内存(2g)的选项支持 5.增加大客户高性能索引支持,目前某银行上线1.5万台机器 .600个用户.6级目录共计470多个目录分级,经过优

麒麟开源堡垒机安装部署测试及优缺点总结

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET.SSH.FTP.SFTP已经足够了因此将这套堡垒机已经用于生产环境. 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享. 我测试的其它开源堡垒机基本上还是半成品,麒麟堡

开源堡垒机测试经历---麒麟开源堡垒机篇

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET.SSH.FTP.SFTP已经足够了因此将这套堡垒机已经用于生产环境. 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享. 我测试的其它开源堡垒机基本上还是半成品,麒麟堡

ftp/sftp不使用webportal直接登录到目标系统设置文档-麒麟开源堡垒机技术文档之一

我测试的商业堡垒机,基本上如果使用FTP/SFTP必须从WEBPORTAL登录,这种方式说实话对于我这个技术老鸟老说感觉太麻烦了,无论怎么样,我还是喜欢直接启动运维工具,一步直接登录. 今天使用了的堡垒机有这个功能,我把设置步骤写上,以和大家共勉 1. 登录前台查看用户名,FTP用户名与telnet/ssh一样,为堡垒机用户名-FTP用户ID,可以登录到堡垒机前台进行查看,比如: 麒麟堡垒机FTP/SFTP直接登录不使用WEBPORTAL跳转方法 堡垒机帐号为test,希望使用上面第二个FTP服

堡垒机-麒麟开源堡垒机苹果 Mac支持版本发布

近日,麒麟开源堡垒机团队开发测试了支持Mac OS苹果操作系统的Web插件,苹果系统用户可以直接和Windows用户一样,登录到Web平台,使用点击的方式调动运维工具并且登录到目标系统进行操作运维. Mac OS插件支持ssh.telnet.rdp.vnc.x11.sftp.ftp.应用发布等所有协议. 注:麒麟开源堡垒机,为一个开源的堡垒机系统,目前系统主要功能如下: 1.支持资产管理,可以管理设备.帐号资产 2.支持单点登录,用户通过堡垒机帐号,在登录设备帐号时不需要输入密码 3.支持授权操

AAA功能部署和测试----麒麟开源堡垒机功能篇之二

AAA服务器在网络管理方面主要用于服务器.网络设备的认证,比如我们常用的CISCO ACS系统,通过 AAA服务器可以把登录设备的帐号统一到AAA系统上进行管理! 另外AAA系统还可以授权记帐,TACACS协议可以限制用户登录设备的级别.可执行的命令,但是RADIUS协议只能限制用户登录的级别,RADIUS协议没有CMD属性,无法限制命令. 堡垒机一般又叫小4A,是集认证.授权.审计.分析与一体的安全设备,我前期测试过多个厂商的堡垒机部分堡垒机有3A功能,这样的好处是可以把网络设备的帐号集中管理

麒麟开源堡垒机内置SSL VPN使用指南

麒麟开源堡垒机 内置SSL VPN使用指南 一.安装 (一)确定服务器的操作系统位数 Windows XP.2000.2003系统,在我的电脑属性里,可以很明显地看到标识.如果没有注明是64位的,那么默认就是32位的. Windows 7 系统在控制面板,点击系统,在系统类型里,标注有操作系统位数. (二)安装VPN客户端 VPN客户端分为32位系统和64位系统二种,安装时,必须按上一步中检测到的系统进行安装,系统为32位则必须安装32位系统,系统为64位必须安装64位系统,安装过程如下: 注意