堡垒机具备统一安全管理与审计能力,提供集身份认证(Authentication)、帐户管理(Account)、控制权限(Authorization)、日志审计(Audit)功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询,具备全方位运维风险控制能力,可满足各类法律法规(如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等)对运维审计的要求。
功能 描述 认证&授权 双因子认证
内置手机APP认证(谷歌动态口令验证)、OTP动态令牌、USBkey双因素认证引擎。
提供短信认证、AD、LDAP、RADIUS认证接口。
支持多种认证方式组合。
权限管理
系统预置多种用户角色:超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。
每种用户角色的权限均不同,且可自定义用户角色。
集中授权
梳理用户与主机之间关系,提供一对一、一对多、多对一、多对多的灵活授权模式。
单点登录
托管主机的帐户和密码,运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作,无需输入主机的帐户和密码。
自动学习
运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息,减轻管理员配置主机信息、用户与主机关系的工作量。
运维&审计 运维协议支持
支持管理Linux/Unix服务器、Windows服务器、网络设备(如思科/H3C/华为等)、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。
兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。
统一审计
对所有操作进行详细记录,提供综合查询;审计日志可在线或离线播放,自动备份归档。
审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。
浏览器客户端运维
基于H5技术实现浏览器客户端运维,无需安装本地工具,直接通过浏览器打开运维界面。
支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。
文件传输审计
记录所有操作会话,包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。
完整备份传输文件,为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。
自动运维
实现自动化的运维任务并将执行结果通知相关人员。
资产管理
支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。
命令控制
集中命令控制基于不同主机、不同用户设置不同的命令控制策略,包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。
工单流程
运维人员向管理员申请需要访问的设备,选择条件包括设备IP、设备帐户、运维有效期、备注事由等,运维工单以邮件方式通知管理员。
其他 系统自审
对系统自身变化信息进行审计,形成系统分析报表。
冗余架构
结合端口聚合技术、RAID技术和HA技术,实现三重冗余备份的高可用架构。
API接口
提供用户、资产、授权的增删改查等API接口。
允许第三方平台调用API接口,实现用户、资产、权限自动同步。
了解更多堡垒机相关操作内容,请下载阅读《堡垒机使用手册-云等保专区》。
