近期因為公司上堡壘機，前期花2個月左右的時間進行調(diào)研測試，測試了5款商業(yè)堡壘機，后來又測試了開源堡壘機麒麟開源堡壘機和JumpServer，因此得到了一些心得，對堡壘機的整體功能列表、各家堡壘機的優(yōu)缺點有了一些了解，本文對這些心得進行總結(jié)，以功能、使用、成本等角度對商業(yè)堡壘機和開源堡壘機進行比較。

商業(yè)堡壘機一共測試了5家左右，感覺功能整體上都差不多，目前堡壘機已經(jīng)進行產(chǎn)品成熟期，產(chǎn)品同化嚴重，只是某此廠家做的細節(jié)的，有一些廠家做的細節(jié)不好而已。

開源堡壘機一共測試了2家，一家是麒麟開源堡壘機，一家是Jumpserver，開源堡壘機中，麒麟開源堡壘機的功能已經(jīng)與商業(yè)堡壘機一致，Jumpserver還在開發(fā)期，有些協(xié)議目前還不支持，因此未做進一步測試，這里只比較了商業(yè)堡壘機與麒麟開源堡壘機的優(yōu)缺點。

比較表如下：

表中我主要比較了堡壘機主要的功能和成本，下面一一做說明：

1. 安裝方式，五款商業(yè)堡壘機全是硬件盒子，拿來配置了IP直接上線使用，麒麟開源堡壘機ISO是一個一鍵無人值守安裝光盤，一回車就可以將系統(tǒng)和應(yīng)用軟件一直裝完，連分區(qū)都不用。哪個好用仁都見仁，智者見智，商用堡壘機不需要安裝直接上線，麒麟開源堡壘機要找機器安裝，系統(tǒng)和應(yīng)用是一張一鍵安裝光盤，從現(xiàn)實使用情況看我更推薦麒麟堡壘機，因為我覺得未來是云環(huán)境，很多東西都要用虛機方式部署，麒麟的安裝非常簡單，ISO上到云，分個虛機，一回車就部署完畢了。

2. 接入拓樸，沒什么好說的，全是旁路 ，所有堡壘機全一樣

3. 支持協(xié)議，商業(yè)堡壘和麒麟開源堡壘機基本上支持所有的運維協(xié)議，包括RDP/VNC/X11/SSH/TELNET/FTP/SFTP，至于古老的rlogin什么的沒測試。 

4. 應(yīng)用發(fā)布，應(yīng)用發(fā)布一般是用于數(shù)據(jù)庫、B/S的審計，這項和協(xié)議一樣，麒麟開源堡壘機和商業(yè)堡壘機支持。

5. 單點登錄，不用填密碼，登錄到WEB后可以SSO到所有的服務(wù)器，所有的堡壘機都有這個功能。

6. 強認證功能，堡壘機上線，如果用托密方式，一但堡壘機用戶密碼被人搞了，則可以登錄這個人所有的機器，所以強認證我認為是堡壘機的必選項，商業(yè)堡壘機中，全部支持證書認證，二款商業(yè)堡壘機內(nèi)置有動態(tài)口令，麒麟開源堡壘機支持證書和內(nèi)置動態(tài)口令。

7. 審計功能，審計包括命令識別和錄相回放，所有堡壘機都通過

8. 授權(quán)功能，比如授權(quán)用戶只能登錄哪臺設(shè)備，只能從哪個IP來登錄等，所有堡壘機都通過。

9. 附加功能主要是測試了一些堡壘機的附加功能，測試了麒麟開源堡壘機的網(wǎng)管監(jiān)控和SSL VPN功能，個人感覺SSL VPN功能很有用，移動用戶遠程公網(wǎng)使用的時候很有用，網(wǎng)管監(jiān)控功能感覺有些雞肋，比專業(yè)網(wǎng)管的功能差不少

10. 使用成本，麒麟開源堡壘機的ssh/ftp/telnet/sftp是開源免費的，因此這二個系統(tǒng)從這個功能上來說差不多，如果加上全協(xié)議，商業(yè)堡壘機一般報價是12萬左右，去了硬件成本也在10萬左右，我這里只有80多臺設(shè)備(50臺linux，20多臺windows)，因此使用麒麟的堡壘機只需要一個圖形授權(quán)，1萬元搞定，大約是商業(yè)堡壘機的1/10。

使用總結(jié)：

   商業(yè)堡壘機的優(yōu)點：

功能齊全、支持好有現(xiàn)場工程師，文檔齊全

   商業(yè)堡壘機的缺點：

貴，一臺堡壘機10多萬，另外沒有虛機部署版，不方便

麒麟開源堡壘機優(yōu)點：

 功能齊全、成本低、支持虛機部署

麒麟開源堡壘機的缺點：

 稍有成本，不過這個成本還在可接受范圍內(nèi)，相比商業(yè)堡壘機低的太多了

 沒有現(xiàn)場工程師，支持方式為QQ和電話

對于我們這種中小型領(lǐng)導又不給批錢的公司，麒麟堡壘機的優(yōu)勢太明顯了，全協(xié)議，多模塊，支持虛機部署，成本比起商業(yè)堡壘機基本上可以忽略不記

商業(yè)堡壘機我認為適用于一些大型的企業(yè)，需要良好的技術(shù)支持又不差錢的公司