【堡壘機測評】關於紐盾堡壘機、jumpserver堡壘機、行雲管家堡壘機的使用對比

公司的業務開展得越來越廣，對IT的支撐能力要求也越來越高了。有幾個方面表現得特別突出：一是業務系統在不斷膨脹，用到的主機和服務（如數據庫）也隨之膨脹；二是業務系統在逐漸往雲上搬，使用的雲資源在逐漸增多；三是對安全要求越來越高了，業務系統本身要求穩定運行，運維操作也不容有失。

近日，公司準備上堡壘機了，作爲運維老兵，本人也參與了堡壘機產品的試用和選型工作，期間根據安排測試試用了幾款產品：行雲管家、紐盾堡壘機、Jumpserver。

下面根據我的測試試用過程，從產品的安裝配置、產品功能、使用體驗、產品報價等幾個方面介紹下上述幾款產品的特點，權作選型試用作業的答卷，也希望能給大家一個參考。

1. 產品部署

堡壘機作爲IT基礎設施的一部分，其本身也是需要維護的，那麼熟知堡壘機的運行環境，對堡壘機進行安裝部署就是對堡壘機本身進行運維的一部分了。

總的來說，在我所試用的這幾款堡壘機產品中，相對最容易安裝部署的是行雲管家；紐盾堡壘機需要準備機房環境和額外的網絡環境；Jumpserver即便是快捷安裝，也需要自行手工安裝諸多依賴組件，過程較繁瑣。

分述如下：

行雲管家堡壘機

產品形態：純軟件，有SaaS版和私有部署版

安裝環境要求：物理服務器或虛擬機，最低2核4G，50G存儲空間，CentOS操作系統

安裝準備：CentOS7.4/7.5/7.6/7.7均可，最小化安裝即可，無需額外準備其它組件或環境

安裝方式：一鍵式安裝，執行一個安裝命令即可

部署方式：一體化部署或分佈式部署，支持高可用部署

紐盾堡壘機

產品形態：物理硬件

安裝環境要求：需提供機房環境（機架機位、電源），單獨的網絡

安裝準備：獲取廠家提供的硬件（可申請試用），準備機房環境和網絡環境

安裝方式：硬件設備安裝+網絡調試

部署方式：支持高可用部署（所需硬件翻倍）

Jumpserver堡壘機

產品形態：純軟件，無SaaS版，需要自行部署

安裝環境要求：2個CPU核心, 4G 內存, 50G 硬盤，CentOS或Ubuntu操作系統

安裝準備：Centos7/8或Ubuntu18.04，安裝服務器需要能夠連接互聯網

安裝方式：需手工逐一安裝MySQL、Redis、Nginx等各個組件

部署方式：一體化部署或分佈式部署

2. 堡壘機的產品功能

作爲堡壘機的最終使用者，更多的是考察產品的功能，結合我們自身當前的使用需求，兼顧向雲上特別是公有云遷移的態勢，來考察幾款堡壘機的需求滿足能力以及擴展性等方面。

我主要從可管理資源、資源授權、資源訪問、訪問審計這幾個方面對三個產品進行了試用考察。

可管理資源

從可管理資源角度看，三款試用產品基本都能管理IP化的設備，其中行雲管家支持以API方式管理幾乎所有公有云廠商的雲資源，能很好的滿足我們向雲遷移的需求，這點優勢比較突出。

分述如下：

行雲管家堡壘機：支持管理任何IP化的資源，支持以API方式管理幾乎所有公有云廠商資源

紐盾堡壘機：支持管理IP化資源，因爲其訪問方式限制，必須要其瀏覽器插件支持的本地工具可以對資源進行訪問才能管理該資源；不支持以API方式管理公有云廠商資源

Jumpserver堡壘機：支持管理IP化資源；不支持以API方式管理公有云廠商資源

資源授權

授權控制作爲堡壘機的關鍵核心能力，需要靈活的授權能力和統一的授權視圖。

行雲管家堡壘機：支持將任意資源授權予用戶、用戶組或角色；可以以授權組形式，顯式地進行資源授權----將資源與用戶（或用戶組、角色）顯式的進行關聯授權管理

紐盾堡壘機：支持將單個或一組資源授權予用戶或用戶組，無角色概念，授權欠清晰

Jumpserver堡壘機：支持將單個或一組資源授權予用戶或用戶組，無角色概念，授權欠清晰

訪問控制策略

行雲管家堡壘機：支持控制來源IP、訪問時段；登錄審批、指令審批；控制是否允許使用本地工具；控制主機操作動作（啓/停等）；控制文件傳輸；運維會話背景加水印

紐盾堡壘機：支持控制來源IP、訪問時段；命令過濾

Jumpserver堡壘機：命令過濾

資源訪問方式

行雲管家堡壘機：支持跳板機、Web桌面（終端）、本地工具，支持移動終端訪問（手機、平板等設備訪問有特別優化）

紐盾堡壘機：僅支持PC端的本地工具

Jumpserver堡壘機：支持跳板機、Web桌面（終端）

會話過程控制

行雲管家堡壘機：管理員可查看會話列表、進入並查看會話、剝奪會話控制權（鼠標/鍵盤輸入）、終斷會話

紐盾堡壘機：管理員可查看會話列表、進入並查看會話、終斷會話

Jumpserver堡壘機：管理員可查看會話列表、終斷會話

訪問審計

行雲管家堡壘機：訪問過程錄像回放、Windows指令審計，指令檢索、指令錄像定位

紐盾堡壘機：訪問過程錄像回放、指令檢索、指令錄像定位

Jumpserver堡壘機：訪問過程錄像回放

3. 操作體驗

行雲管家堡壘機：界面風格及提示友好，操作界面引導性強，無陌生詞，基本無需培訓（文檔）即可使用

紐盾堡壘機：界面風格略顯笨重，需培訓或文檔指引，界面操作缺乏引導性（無嚮導）

Jumpserver堡壘機：界面風格基本友好，界面操作缺乏引導性（無嚮導）

4. 產品價格

行雲管家堡壘機：有SaaS版，基礎版免費，根據資產規模有階梯式報價，私有部署版根據資產規模報價，資產規模梯級粒度較細

紐盾堡壘機：物理設備報價，價格梯級間差距略粗

Jumpserver堡壘機：爲開源產品，有商業版

5. 試用總結

通過測試試用發現，從堡壘機的安裝部署及維護角度來看，行雲管家執行一個腳本即可完成部署，無需手工安裝依賴組件，相對較容易部署和維護；從產品功能來看，幾款堡壘機基本能夠滿足公司當前的使用場景需求，但從向雲遷移這個需求角度來看，行雲管家更加適合；產品體驗方面來說，行雲管家特點比較突出，相對易用和友好，Jumpserver的界面也比較友好，只是其在引導性方面稍微欠缺。

爲了方便各位看官參考，對三款產品之間的差異以表格展列如下：

最後，提示一下，本文所述內容僅僅是作者自身對幾款產品的測試試用總結，其結果可能會因爲產品版本不同、使用場景不同等原因，而與各位看官獲得的結果不一致，僅供參考！