堡垒机具备统一安全管理与审计能力,提供集身份认证(Authentication)、帐户管理(Account)、控制权限(Authorization)、日志审计(Audit)功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询,具备全方位运维风险控制能力,可满足各类法律法规(如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等)对运维审计的要求。
功能介绍
| 功能 | 描述 | |
|---|---|---|
| 认证&授权 | 双因子认证 | 内置手机APP认证(谷歌动态口令验证)、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 |
| 权限管理 | 系统预置多种用户角色:超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同,且可自定义用户角色。 | |
| 集中授权 | 梳理用户与主机之间关系,提供一对一、一对多、多对一、多对多的灵活授权模式。 | |
| 单点登录 | 托管主机的帐户和密码,运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作,无需输入主机的帐户和密码。 | |
| 自动学习 | 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息,减轻管理员配置主机信息、用户与主机关系的工作量。 | |
| 运维&审计 | 运维协议支持 | 支持管理Linux/Unix服务器、Windows服务器、网络设备(如思科/H3C/华为等)、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 |
| 统一审计 | 对所有操作进行详细记录,提供综合查询;审计日志可在线或离线播放,自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 | |
| 浏览器客户端运维 | 基于H5技术实现浏览器客户端运维,无需安装本地工具,直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 | |
| 文件传输审计 | 记录所有操作会话,包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件,为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 | |
| 自动运维 | 实现自动化的运维任务并将执行结果通知相关人员。 | |
| 资产管理 | 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 | |
| 命令控制 | 集中命令控制基于不同主机、不同用户设置不同的命令控制策略,包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 | |
| 工单流程 | 运维人员向管理员申请需要访问的设备,选择条件包括设备IP、设备帐户、运维有效期、备注事由等,运维工单以邮件方式通知管理员。 | |
| 其他 | 系统自审 | 对系统自身变化信息进行审计,形成系统分析报表。 |
| 冗余架构 | 结合端口聚合技术、RAID技术和HA技术,实现三重冗余备份的高可用架构。 | |
| API接口 | 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口,实现用户、资产、权限自动同步。 | |
使用堡垒机
了解更多堡垒机相关操作内容,请下载阅读《云等保专区-堡垒机 v1.0 用户指南》。
开启IPv6防护
堡垒机不支持IPv4和IPv6的切换。若需要开启IPv6防护,请确保在购买堡垒机资源时,所选子网已开启IPv6,否则需要重新购买。
购买堡垒机时,选择的子网已启用IPv6,则自动开启IPv6防护。
购买堡垒机时,选择的子网未启用IPv6,则需重新下单堡垒机,确保其所选子网已开启IPv6。详细操作请参见创建IPv4/IPv6双栈子网、购买云等保专区。
