近期因為公司上堡壘機，前期花2個月左右的時間進行調研測試，測試了5款商業堡壘機，后來又測試了開源堡壘機麒麟開源堡壘機和JumpServer，因此得到了一些心得，對堡壘機的整體功能列表、各家堡壘機的優缺點有了一些了解，本文對這些心得進行總結，以功能、使用、成本等角度對商業堡壘機和開源堡壘機進行比較。

商業堡壘機一共測試了5家左右，感覺功能整體上都差不多，目前堡壘機已經進行產品成熟期，產品同化嚴重，只是某此廠家做的細節的，有一些廠家做的細節不好而已。

開源堡壘機一共測試了2家，一家是麒麟開源堡壘機，一家是Jumpserver，開源堡壘機中，麒麟開源堡壘機的功能已經與商業堡壘機一致，Jumpserver還在開發期，有些協議目前還不支持，因此未做進一步測試，這里只比較了商業堡壘機與麒麟開源堡壘機的優缺點。

比較表如下：

表中我主要比較了堡壘機主要的功能和成本，下面一一做說明：

1. 安裝方式，五款商業堡壘機全是硬件盒子，拿來配置了IP直接上線使用，麒麟開源堡壘機ISO是一個一鍵無人值守安裝光盤，一回車就可以將系統和應用軟件一直裝完，連分區都不用。哪個好用仁都見仁，智者見智，商用堡壘機不需要安裝直接上線，麒麟開源堡壘機要找機器安裝，系統和應用是一張一鍵安裝光盤，從現實使用情況看我更推薦麒麟堡壘機，因為我覺得未來是云環境，很多東西都要用虛機方式部署，麒麟的安裝非常簡單，ISO上到云，分個虛機，一回車就部署完畢了。

2. 接入拓樸，沒什么好說的，全是旁路 ，所有堡壘機全一樣

3. 支持協議，商業堡壘和麒麟開源堡壘機基本上支持所有的運維協議，包括RDP/VNC/X11/SSH/TELNET/FTP/SFTP，至于古老的rlogin什么的沒測試。 

4. 應用發布，應用發布一般是用于數據庫、B/S的審計，這項和協議一樣，麒麟開源堡壘機和商業堡壘機支持。

5. 單點登錄，不用填密碼，登錄到WEB后可以SSO到所有的服務器，所有的堡壘機都有這個功能。

6. 強認證功能，堡壘機上線，如果用托密方式，一但堡壘機用戶密碼被人搞了，則可以登錄這個人所有的機器，所以強認證我認為是堡壘機的必選項，商業堡壘機中，全部支持證書認證，二款商業堡壘機內置有動態口令，麒麟開源堡壘機支持證書和內置動態口令。

7. 審計功能，審計包括命令識別和錄相回放，所有堡壘機都通過

8. 授權功能，比如授權用戶只能登錄哪臺設備，只能從哪個IP來登錄等，所有堡壘機都通過。

9. 附加功能主要是測試了一些堡壘機的附加功能，測試了麒麟開源堡壘機的網管監控和SSL VPN功能，個人感覺SSL VPN功能很有用，移動用戶遠程公網使用的時候很有用，網管監控功能感覺有些雞肋，比專業網管的功能差不少

10. 使用成本，麒麟開源堡壘機的ssh/ftp/telnet/sftp是開源免費的，因此這二個系統從這個功能上來說差不多，如果加上全協議，商業堡壘機一般報價是12萬左右，去了硬件成本也在10萬左右，我這里只有80多臺設備(50臺linux，20多臺windows)，因此使用麒麟的堡壘機只需要一個圖形授權，1萬元搞定，大約是商業堡壘機的1/10。

使用總結：

   商業堡壘機的優點：

功能齊全、支持好有現場工程師，文檔齊全

   商業堡壘機的缺點：

貴，一臺堡壘機10多萬，另外沒有虛機部署版，不方便

麒麟開源堡壘機優點：

 功能齊全、成本低、支持虛機部署

麒麟開源堡壘機的缺點：

 稍有成本，不過這個成本還在可接受范圍內，相比商業堡壘機低的太多了

 沒有現場工程師，支持方式為QQ和電話

對于我們這種中小型領導又不給批錢的公司，麒麟堡壘機的優勢太明顯了，全協議，多模塊，支持虛機部署，成本比起商業堡壘機基本上可以忽略不記

商業堡壘機我認為適用于一些大型的企業，需要良好的技術支持又不差錢的公司