1、堡壘機應該具備哪些技術(shù)特點
 
       網(wǎng)絡安全性：堡壘機的部署對整個網(wǎng)絡結(jié)構(gòu)影響應盡可能的小。系統(tǒng)對現(xiàn)有網(wǎng)絡不應有特殊要求。對系統(tǒng)故障有完善的保護機制，系統(tǒng)故障后不會影響業(yè)務系統(tǒng)正常運營，并能夠快速恢復達到保障運維正常進行的要求。
 
       信息安全性：堡壘機應該提供完善的用戶管理、賬號管理、行為審計等多種安全手段的同時，確保系統(tǒng)本身的信息收集、處理和保存過程的安全，系統(tǒng)提供保存信息的加密存儲確保敏感信息不能泄露或被竊取，系統(tǒng)提供嚴格的自審計系統(tǒng)，保證對設備操作的完整記錄。
 
       準確性：堡壘機應保證數(shù)據(jù)處理的準確性和一致性。
 
       開放性：堡壘機應現(xiàn)有的、規(guī)范的、開放的接口協(xié)議，以保證系統(tǒng)對各種外部系統(tǒng)的互連能力。

       擴展性：堡壘機具備平滑擴容的能力，擴容時應不改變組網(wǎng)結(jié)構(gòu)，不降低系統(tǒng)性能，能滿足現(xiàn)有業(yè)務發(fā)展的需求。

       易用性：堡壘機應具有良好的人機操作界面、更好的提示信息，方便系統(tǒng)管理人員使用。
 

2、堡壘機主要功能分析
 
       身份認證與授權(quán)：身份認證采取設置不同賬號，來區(qū)分自然人的身份，從而將誰使用共享賬號的情況準確定位到自然人身上；授權(quán)，能夠?qū)⒕S護不同設備的管理員嚴格劃分，使管理員只能看到自己維護的設備資源。系統(tǒng)提供基于用戶、運維協(xié)議、目標主機、運維時間段、會話時長、運維客戶端IP等組合的授權(quán)功能，實現(xiàn)細粒度授權(quán)功能，滿足用戶實際授權(quán)的需求。
 
       用戶管理：可以根據(jù)具體的維護人員添加唯一與其身份對應的用戶，實現(xiàn)維護人員身份的唯一性管理?？梢詣澐侄喾N用戶角色，以實現(xiàn)賬號權(quán)限的三權(quán)分立 (使用權(quán)、管理權(quán)、監(jiān)督權(quán))；提供臨時用戶賬號功能，臨時帳號可定期自動回收：提供賬號有效期管理，設置用戶賬號的有效時間，時間精確到天。
 
       訪問控制：可實現(xiàn)基于用戶、目標設備、系統(tǒng)帳號、登陸規(guī)則、訪問協(xié)議類型，設定比較詳細的訪問控制列表，可以對用戶訪問權(quán)限進行查看、變更、刪除等操作；針對每條訪問控制，可以設置一條或者多條基于時間段、地址范圍的登錄規(guī)則，以方便對用戶接入的限制管理。針對采用http／https協(xié)議的訪問，可以做到基于URL訪問控制；
 
       密碼管理：以靜態(tài) 口令登錄的服務器，可以用運維權(quán)限集中管理與審計系統(tǒng)統(tǒng)一管理，這樣可以控制將設備口令透露給第三方人員。通過對目標設備密碼的托管，實現(xiàn)對后臺設備的自動登錄；可以實現(xiàn)對后臺windows、unix、linux設備系統(tǒng)密碼的定期自動修改。
 
       實時監(jiān)控：可以通過網(wǎng)絡連接查看當前正在運維人員對設備的實時操作情況。
 
       監(jiān)控正在運維的會話，信息包括運維用戶、運維客戶端地址、資源地址、協(xié)議、開始時間等；

       監(jiān)控后臺資源被訪問情況；提供在線運維操作的實時監(jiān)控功能。針對命令交互性協(xié)議可以圖像方式實時監(jiān)控正在運維的各種操作，其信息與運維客戶端所見完全一致。
 
       文件傳輸：對于Windows設備，還可以支持磁盤映射功能，將本地磁盤映射到目標服務器上去，以方便文件的傳輸操作。用戶可以通過運維操作管理系統(tǒng)，進行文件的FTP／SFTP／SCP方式的傳輸操作；
 
       報表功能：運維權(quán)限集中管理與審計系統(tǒng)提供多種報表展示的同時還能夠提供客戶自定義報表生成；審計員可導出報表后發(fā)郵件給相關(guān)負責人，可以將用戶信息、設備信息、系統(tǒng)用戶和權(quán)限列表生成表格，并以excel格式導出備份。