堡垒机(Access Gateway)

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

核心功能

        单点登录功能

支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全。^[1] 

       账号管理

设备支持统一账户管理策略，能够实现对所有服务器、网络设备、安全设备等账号进行集中管理，完成对账号整个生命周期的监控，并且可以对设备进行特殊角色设置如：审计巡检员、运维操作员、设备管理员等自定义设置，以满足审计需求

      身份认证

设备提供统一的认证接口，对用户进行认证，支持身份认证模式包括 动态口令、静态密码、硬件key 、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器之间结合；安全的认证模式，有效提高了认证的安全性和可靠性。

     资源授权

设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全 .
      访问控制

设备支持对不同用户进行不同策略的制定，细粒度的访问控制能够最大限度的保护用户资源的安全，严防非法、越权访问事件的发生。

       操作审计

设备能够对字符串、图形、文件传输、数据库等全程操作行为审计；通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作，对违规行为进行事中控制。对终端指令信息能够进行精确搜索，进行录像精确定位.

4目标价值

1、 目标

堡垒机的核心思路是逻辑上将人与目标设备分离，建立“人-〉主账号（堡垒机用户账号）-〉授权—>从账号（目标设备账号）的模式;在这种模式下，基于唯一身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号-〉登录—〉访问操作-〉退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计。

2、 系统价值

堡垒机的作用主要体现在下述几个方面：

企业角度

通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障企业效益。

管理员角度

所有运维账号的管理在一个平台上进行管理，账号管理更加简单有序；

通过建立用户与账号的唯一对应关系，确保用户拥有的权限是完成任务所需的最小权限；

直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。

鉴于多账号同时使用超管进行的操作，便于实名制的认证和自然人的关联。

普通用户角度

运维人员只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令，提高了工作效率，降低工作复杂度。

超全的审计协议范围

平台采用协议分析、基于数据包还原虚拟化技术，实现操作界面模拟，将所有的操作转换为图形化界面予以展现，实现100%审计信息不丢失：针对运维操作图形化审计功能的展现外，同时还能对字符进行分析，包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。

系统支持的审计协议以及工具包括：

字符串操作：SSH/Telnet（工具：SecureCRT/Putty/Xshell）

图形操作： RDP/VNC/X11/pcAnywhere/DameWare等

其他协议： FTP/SFTP/Http/Https等

数据库工具:Oracle/sqlserver/Mysql客户端工具

协议以及工具包括

字符串操作：SSH/Telnet （工具：SecureCRT/Putty/Xshell）

图形操作： RDP/VNC/X11/pcAnywhere/DameWare等

其他协议：FTP/SFTP/Http/Https/SQLPLUS等

报表管理

平台具有丰富的报表统计功能，可以进行默认报表和自定义报表来进行运维数据的报表统计。

平台提供多种报表格式，包括Word、Excel等。

平台提供折线、饼状、柱状等多种图表统计运维数据，方便后期的运维分析和管理。

机制完善用户管理权限

平台对用户的管理权限严格分明，各司其职，分为系统管理员、审计管理员、运维管理员、口令管理员四种管理员角色，平台也支持管理员角色的自定义创建，对管理权限进行细粒度设置，保障了平台的用户安全管理，以满足审计需求

平台集用户管理、身份认证、资源授权、访问控制、操作审计为一体，有效地实现了事前预防、事中控制和事后审计。

高效的处理能力

审计平台能够对常见的SSH/Telnet/FTP/SFTP/HTTP/HTTPS /Windows Terminal/X11、VNC协议进行完整的透明转发，针对如RDP/VNC/X11等图形化协议的处理能力要比同类产品处理能力强。

    可扩展性与兼容性

平台采用模块化设计，单模块故障不影响其他模块使用，从而提高了平台的健壮性、稳定性

运维人员登陆可支持Portal统一登录，并兼容终端C/S客户端连接设备；

审计平台的认证方式可以与第三方的认证设备进行定制兼容

具有强大研发实力，不但能为客户提供长期的产品更新，还能按照客户的实际需求进行定制开发。

       灵活的部署方式

堡垒机提供了功能完善、操作灵活、使用方便、界面友好、符合习惯的审计管理功能；

B/S方式实现了对后台的各项管理配置

平台简单易部署，通过配置导航，可在短时间内完成配置要求，实现上线要求。

       完善的系统安全设计

基于HTTPS/SSL的自身安全管理与审计；

严格的安全访问控制和管理员身份认证支持强认证；

审计信息加密存储；

完善的审计信息备份机制；

完整全面的自审计功能。^[1]