近期因爲公司上堡壘機,前期花2個月左右的時間進行調研測試,測試了5款商業堡壘機,後來又測試了開源堡壘機×××和JumpServer,因此得到了一些心得,對堡壘機的整體功能列表、各家堡壘機的優缺點有了一些瞭解,本文對這些心得進行總結,以功能、使用、成本等角度對商業堡壘機和開源堡壘機進行比較。
商業堡壘機一共測試了5家左右,感覺功能整體上都差不多,目前堡壘機已經進行產品成熟期,產品同化嚴重,只是某此廠家做的細節的,有一些廠家做的細節不好而已。
開源堡壘機一共測試了2家,一家是×××,一家是Jumpserver,開源堡壘機中,×××的功能已經與商業堡壘機一致,Jumpserver還在開發期,有些協議目前還不支持,因此未做進一步測試,這裏只比較了商業堡壘機與×××的優缺點。
比較表如下:
表中我主要比較了堡壘機主要的功能和成本,下面一一做說明:
安裝方式,五款商業堡壘機全是硬件盒子,拿來配置了IP直接上線使用,×××ISO是一個一鍵無人值守安裝光盤,一回車就可以將系統和應用軟件一直裝完,連分區都不用。哪個好用仁都見仁,智者見智,商用堡壘機不需要安裝直接上線,×××要找機器安裝,系統和應用是一張一鍵安裝光盤,從現實使用情況看我更推薦麒麟堡壘機,因爲我覺得未來是雲環境,很多東西都要用虛機方式部署,麒麟的安裝非常簡單,ISO上到雲,分個虛機,一回車就部署完畢了。
接入拓樸,沒什麼好說的,全是旁路,所有堡壘機全一樣
支持協議,商業堡壘和×××基本上支持所有的運維協議,包括RDP/VNC/X11/SSH/TELNET/FTP/SFTP,至於古老的rlogin什麼的沒測試。
應用發佈,應用發佈一般是用於數據庫、B/S的審計,這項和協議一樣,×××和商業堡壘機支持。
單點登錄,不用填密碼,登錄到WEB後可以SSO到所有的服務器,所有的堡壘機都有這個功能。
強認證功能,堡壘機上線,如果用託密方式,一但堡壘機用戶密碼被人搞了,則可以登錄這個人所有的機器,所以強認證我認爲是堡壘機的必選項,商業堡壘機中,全部支持證書認證,二款商業堡壘機內置有動態口令,×××支持證書和內置動態口令。
審計功能,審計包括命令識別和錄相回放,所有堡壘機都通過
授權功能,比如授權用戶只能登錄哪臺設備,只能從哪個IP來登錄等,所有堡壘機都通過。
附加功能主要是測試了一些堡壘機的附加功能,測試了×××的網管監控和SSL ×××功能,個人感覺SSL ×××功能很有用,移動用戶遠程公網使用的時候很有用,網管監控功能感覺有些雞肋,比專業網管的功能差不少
使用成本,×××的ssh/ftp/telnet/sftp是開源免費的,因此這二個系統從這個功能上來說差不多,如果加上全協議,商業堡壘機一般報價是12萬左右,去了硬件成本也在10萬左右,我這裏只有80多臺設備(50臺linux,20多臺windows),因此使用麒麟的堡壘機只需要一個圖形授權,1萬元搞定,大約是商業堡壘機的1/10。
使用總結:
商業堡壘機的優點:
功能齊全、支持好有現場工程師,文檔齊全
商業堡壘機的缺點:
貴,一臺堡壘機10多萬,另外沒有虛機部署版,不方便
×××優點:
功能齊全、成本低、支持虛機部署
×××的缺點:
稍有成本,不過這個成本還在可接受範圍內,相比商業堡壘機低的太多了
沒有現場工程師,支持方式爲QQ和電話
對於我們這種中小型領導又不給批錢的公司,麒麟堡壘機的優勢太明顯了,全協議,多模塊,支持虛機部署,成本比起商業堡壘機基本上可以忽略不記
商業堡壘機我認爲適用於一些大型的企業,需要良好的技術支持又不差錢的公司