網關型堡壘機

網關型的堡壘機被部署在外部網絡和內部網絡之間，其本身不再直接向外部提供服務，而是作為進入內部網絡的一個檢查點，用于提供對內部網絡特定資源的安全訪問控制。這類堡壘機不提供路由功能，將內　外網從網絡層隔離開來，因此除非授權訪問外，還可以過濾掉一些針對內網的來自應用層以下的攻擊，為內部網絡資源提供了一道安全屏障。但由于此類堡壘機需要處理應用　層的數據內容，性能消耗很大，所以隨著網絡進出口處流量越來越大，部署在網關位置的堡壘機逐漸成為了性能瓶頸，因此網關型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網閘等安全產品所取代。

堡壘機運維操作審計的工作原理

在實際使用場景中，堡壘機的使用人員通常可分為管理人員、運維操作人員、審計人員三類用戶。

管理員重要的職責是根據相應的安全策略和運維人員應有的操作權限來配置堡壘機的安全策略。堡壘機管理員登錄堡壘機后，在堡壘機內部，“策略管理”組件負責與管理員進行交互，并將管理　員輸入的安全策略存儲到堡壘機內部的策略配置庫中。

“應用代理”組件是堡壘機的，負責中轉運維操作用戶的操作，并與堡壘機內部其他組件進行交互。“應用代理”組件收到運維人員的操作請求后，調用“策略管理”組件對該操作行為進行核查，核查依據便是管理員已經配置好的策略配置庫，如此次操作不符合安全策略，代理”組件將拒絕該操作行為的執行。

堡壘機常見的運維方式

B/S運維：通過瀏覽器運維。C/S運維：通過客戶端軟件運維，比如Xshell，CRT等。H5運維：直接在網頁上可以打開遠程桌面，進行運維。無需安裝本地運維工具，只要有瀏覽器就可以對常用協議進行運維操作，支持ssh、telnet、rlogin、rdp、vnc協議網關運維：采用SSH關方式，實現代理直接登錄目標主機，適用于運維自動化場景。