堡垒机的主要功能是什么

首先要知道什么是堡垒机？

Fort machine是一款具有强大防御功能和安全审计功能的服务器。基于跳板机的概念，作为内外网的安全审计监控点，所有的网站安全问题都可以在一台服务器上解决，省时省力。同时，堡垒机还具有运维人员远程登录的集中管理功能。

近年来，数据安全事故频发，数据安全和防泄密成为政府和企业非常关注的问题，鲍云软板应运而生。

什么是云堡垒机？

云堡垒主机(CBH)是4A统一安全管理平台，为企业提供集中的账户、授权、认证和审计管理服务。

云堡垒是一种云安全服务，可以提供高效的运维、认证管理、访问控制、安全审计和报告分析。云租户运维人员可以通过云堡垒基机完成资产的运维、运营审计。通过基于协议的转发代理，堡垒机器可以全程记录SSH、Windows远程桌面、SFTP等常用运维协议的数据流，然后通过重置数据流回放视频，达到运维审计的目的。

云堡基地提供云计算安全控制的系统和组件，包括部门、用户、资源、策略、运维、审计等功能模块。，并集成了单点登录、统一资产管理、多终端访问协议、文件传输、会话协作等功能。通过统一的运维登录入口，基于协议转发代理技术和远程访问隔离技术，实现对云上的服务器、云主机、数据库、应用系统等资源的集中管理和运维审计。

云堡基地可以通过HTML5技术连接管理多台云服务器，无需安装部署。企业用户使用主流浏览器或手机app即可实现随时随地的高效运维。云堡垒机器支持RDP/SSH/Telnet/VNC等协议，可以访问所有Windows、Linux/Unix操作系统。企业用户可以通过云堡垒机器管理多台云服务器，满足第三级安全中用户身份认证、访问控制、安全审计等条款的要求。

云堡垒机的主要功能1、运维协议全面性

云堡基地支持多种运维接入协议，完全可以满足角色协议的日常运维需求:SSHv1、SSHv2、TELNET。

图形协议：RDP、VNC。文件传输协议：FTP、SFTP。数据库访问：Oracle、SQL Server、DB2、Sybase、Informix、Teradata、MySQL、PostgreSQL。2、审计效果精细化支持字符协议和文件传输协议的协议审计，审计详细的操作语句和操作语句的执行结果。支持RDP、VNC图形操作过程中键盘输入操作记录、鼠标点击行为记录和窗口标题审计。数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。支持通过应用发布实现数据库、字符协议、文件传输协议命令和录像的双重审计效果。3、管控方式严格性

鲍云基机系统提供严格的控制手段，确保运维过程中规范的命令限制和复核:对高风险命令进行实时预警或屏蔽，对特别重要的命令进行多人审核。

应用发布防跳转：防止通过应用发布服务器进行跳转登录未授权资源，进行http/https访问过程时运维人员仅允许访问授权地址，保证运维的规范性。运维账号IP、MAC限制：通过绑定运维账号IP、MAC地址，避免用户在不安全的工作岗位进行重要的运维操作。4、操作使用便捷性

云堡基地系统提供各种功能，保证运维过程的自动化和快速化。有多种运维模式:浏览器调用运维工具访问，浏览器嵌入WEB控件访问，客户端(SSH、TELNET、RDP、VNC)直接连接菜单模式。

C/S运维客户端：安全性高、通用性强、效率更高，避免了安装和调试Active和JAVA控件的繁琐工作。资源批量登录：支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源，避免进行多次连接的重复工作量。命令批量执行：在资源批量登录的基础上，通过SecureCRT实现命令的多资源批量执行功能，减少同类型设备上重复的操作工作。设备自动改密：支持对目标设备自动定期修改密码，特别是数据库协议（包括Oracle、SQL Server、DB2、Sybase、Informix、MySQL、PostgreSQL）。云堡垒机优势1、HTML5一站式管理

不需要安装特定的客户端或任何插件。任何终端的主流浏览器，包括手机APP浏览器都可以登录，用户可以随时随地打开进行运维。

系统的HTML5管理界面简单易用，集中管理用户、资源和权限，支持批量创建用户、批量导入资源、批量授权运维、批量登录资源等高效运维管理方式。

2、操作指令精准拦截

对于资源敏感的操作，进行第二次审查。系统预置标准的Linux字符命令库或自定义命令，精确拦截运维指令和脚本，并可通过异步“动态授权”动态控制敏感操作，防止误操作或恶意操作。

3、核心资源二次授权

借鉴银行金库的授权机制，对重要资源的运维权限设置多人授权。如果需要登录此类资源，需要多个授权候选人进行“二次授权”，加强对核心资源数据的保护，提高数据安全保护和管理能力，确保核心资产数据的绝对安全。

4、应用发布扩展

对于不同的应用资源，如数据库、Web应用和客户端程序，它提供了一个统一的访问入口，可以提高应用操作的图形化审计。

5、数据库运维审计

针对DB2、MySQL、SQL Server、Oracle等云数据库，支持统一资源运维管理，SSO单点登录工具一键登录数据库，提供数据库操作全过程记录，实现云数据库操作指令解析和操作指令100%还原。

6、自动化运维

自动化运维是将系统运维管理中复杂、重复、大规模的操作，通过统一的策略和任务，使复杂的运维变得精准、高效，帮助运维人员从重复性的体力劳动中解放出来，提高运维效率。

云堡垒机应用场景1、内部人员操作的安全隐患

随着企业信息化的深入，企业的业务系统日益复杂，内部员工违规操作引发的安全问题日益突出。防火墙、杀毒、入侵检测系统等常规安全产品可以解决一些安全问题，但对于内部人员的非法操作却无能为力。鲍云基机在运维过程中，通过事前预防、事中控制、事后审计，可以有效降低内部人员操作的安全风险。

2、第三方维护人员安全隐患

越来越多的企业在发展过程中，会因为战略定位和人力等原因，将非核心业务外包给设备供应商或其他专业维护公司。如何有效监控设备制造商和维修代理商的经营行为，并进行严格审核，是企业面临的关键问题。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和运行审核才能保证安全管理体系的有效实施。鲍云软板在运维过程中，通过事前预防、事中控制和事后审计，有效降低了第三方维护人员的安全风险。

3、高权限账号滥用风险

因为各种历史问题，并不是所有的信息系统都有严格的身份认证和权限划分，权限划分混乱，高权限账号(如root账号)的共享一直困扰着网管。高权限账户往往掌握着数据库和业务系统的命脉，任何操作都可能导致数据修改和泄露。最高权限的滥用使得运维安全更加脆弱，也使得责任划分和威胁追踪更加困难。鲍云基机通过建立“自然人-资源-资源账户”的关系，实现统一认证和授权。

4、违规行为无法控制的风险

网络管理员总是试图定义各种操作规范来规范内部员工的网络访问行为，但是除了在造成恶性后果后追查责任人之外，没有更好的方法来限制员工的合规操作。事后追查时没有有效证据，只能亡羊补牢，损失已经造成。鲍云基机通过建立“自然人-作业-资源”的关系来实现作业审计和控制。

云堡垒机相关概念云堡垒机实例

云堡机的一个实例对应一个独立的云堡机系统，用户登录云堡机的控制台对实例进行管理。只有创建鲍云软机实例后，才能登录鲍云软机系统，实现安全运维管理和审计。

单点登录

单点登录(SSO)是指在多个独立应用系统的环境下，各个应用系统相互信任，用户认证信息映射到一个应用系统中的其他系统，多个系统共享用户认证数据。简而言之，用户只需登录一个应用系统，就可以访问所有其他可信应用系统，实现单点多系统登录。

资产数

资产数量是指云堡垒机器所管理的云服务器上运行的资源数量，有多个协议、应用等资源需要在同一个云服务器上运行和维护。

比如目前有一个云服务器，将这个云服务器的资源添加到云堡垒机器上，分别添加了RDP、TELNET和MySQL协议的两个主机资源和Chrome浏览器的一个应用资源，那么目前管理的资产数量是5个，而不是1个。

并发数

并发数是指云堡垒机器上同时连接的运维协议连接数。

例如，10名运维人员同时通过鲍云基地机对设备进行操作和维护。假设每个人平均生成5个协议连接(比如通过SSH、RDP等协议的远程连接)，那么并发数等于50。