堡壘機(jī)的工作原理主要是阻斷網(wǎng)絡(luò)和服務(wù)器設(shè)備對數(shù)據(jù)庫的直接訪問。通過協(xié)議代理的方式，對所有的方案和操作行為進(jìn)行分析和過濾 ，從而保證 了可信的數(shù)據(jù)訪問和操作被放行 ，不可信或被懷疑的攻擊行為將被過濾和攔截。

堡壘機(jī)的主要功能包括兩個大的方面 ，即：核心系統(tǒng)運(yùn)維和安全審計管控。

核心系統(tǒng)運(yùn)維即類似于防火墻的角色 ，所有的操作和訪問將被堡壘機(jī)所監(jiān)控和過濾 ，對不合法的命令進(jìn)行阻斷，對目標(biāo)設(shè)備的非法訪問將被過濾 ，同時對所有的操作和訪問行為進(jìn)行記錄 ，以備故障發(fā)生后的行為追責(zé)。其主要功能包括 ：單點(diǎn)登錄、賬號管理、身份認(rèn)證。．

單點(diǎn)登錄 ：當(dāng)用戶需要登錄到一個大型的業(yè)務(wù)系統(tǒng)時 ，只要在一個門戶系統(tǒng)中輸入用戶名和密碼 ，即可無需驗(yàn)證的登錄到別的與此系統(tǒng)相互信任的業(yè)務(wù)系統(tǒng)。而此功能在堡壘機(jī)中

的體現(xiàn)即對于堡壘機(jī)的各個業(yè)務(wù)系統(tǒng)以及所有堡壘機(jī)管控的數(shù)據(jù)庫系統(tǒng)，用戶只要在單點(diǎn)登錄系統(tǒng)中登錄一次 ，就可以等同于登錄全部系統(tǒng)的工作 ，而無需記錄眾多系統(tǒng)的登錄密碼 ，大大減輕了使用者的工作壓力。

賬號管理：基于單點(diǎn)登錄功能，對所有使用者的賬號在生命周期內(nèi)進(jìn)行統(tǒng)一監(jiān)控。可以基于角色的設(shè)定每個使用者賬號的功能和權(quán)限。

身份認(rèn)證 ：基于單點(diǎn)登錄功能，提供統(tǒng)一的身份認(rèn)證功能接口。支持多重模式(動態(tài)口令 ，靜態(tài)密鑰，硬件密鑰 ，生物特征識別等)的驗(yàn)證方式。并且可以通過接口與第三方認(rèn)證設(shè)備

進(jìn)行對接，具有很高的安全性和可靠性。

安全審計管控主要是指所有對于數(shù)據(jù)庫的操作需要登錄堡壘機(jī)來進(jìn)行 。通過用戶名密碼等手段提升安全等級。通過后臺對登錄用戶的行為記錄從而保證風(fēng)險可控以及事后溯源。其主要功能包括 ：資源授權(quán) 、訪問控制、操作審計等。

資源授權(quán) ：是指對堡壘機(jī)所管轄的資源按照用戶、目標(biāo)設(shè)備、時間、協(xié)議類型、IP行為等要素實(shí)現(xiàn)精細(xì)化的操作授權(quán) ，從而達(dá)到最大限度保護(hù)用戶資源安全的目的。

訪問控制 ：作為堡壘機(jī)的核心功能 ，能夠按照資源授權(quán)的定義，對所有登錄用戶的操作進(jìn)行控制。不同的用戶按照設(shè)定只可以對獲得授權(quán)的資源進(jìn)行訪問和操控。能夠有效的杜絕

非法訪問，越權(quán)訪問等事件的發(fā)生 ，從而最大限度的保護(hù)用戶資源的安全性。

操作審計：即對堡壘機(jī) 管控設(shè)備的操作進(jìn)行審計，通過對登錄設(shè)備錄像、圖畫審計、會話審計等方式將余位人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等所作的操作進(jìn)行記錄，從而進(jìn)行風(fēng)險管控，通過具體的操作指令搜索，完成精準(zhǔn)定位。

相關(guān)產(chǎn)品：堡壘機(jī)    上網(wǎng)行為管理    第二代防火墻    數(shù)據(jù)庫審計    

下一篇：下一代防火墻,第二代防火墻技術(shù)特點(diǎn),功能原理上一篇：2018網(wǎng)絡(luò)信息安全,數(shù)據(jù)泄露,勒索病毒事件匯總

此文關(guān)鍵字：堡壘機(jī)功能，堡壘機(jī)的功能原理，堡壘機(jī)介紹