本文通过对堡垒机各版本功能场景的系统化梳理,帮助用户快速了解各版本的核心能力、适用场景及选择依据。您可以根据业务需求、预算和合规要求,选择适合的版本,避免资源浪费或功能不足。
下文将从基础能力、身份认证管理、资产及账户管理、运维行为管控、日志审计等几个方面介绍堡垒机基础版、企业双擎版和国密版所支持的具体功能项及版本间的差异。
表中
表示支持该功能,
表示不支持该功能。
基础能力
功能 | 描述 | 基础版 | 企业双擎版 | 国密版 | 相关文档 |
安全特性 | 采用稳定的云化架构部署,保障业务及监控稳定运行。 | 单引擎部署 | 双引擎双活运行 | 双引擎双活运行 | |
跨域运维 | 统一运维管理多网络环境下的资产,适配混合云、跨账号等跨网络场景需求。 | 自建网络模式 | 自建网络及网络域代理模式 | 自建网络及网络域代理模式 | |
弹性部署 | 支持资产规格、存储、带宽等弹性扩缩容,灵活适配业务变化。 |
|
|
| |
国密算法 | 支持国密算法加密。 |
|
|
| 无 |
国际化 | 兼容国际场景,支持实时切换简体中文、繁体中文和英文语言。 |
|
|
| 无 |
可在海外部署,兼容多种海外手机号双因子认证。 |
|
|
| ||
多账号 | 支持RD多账号场景下资产的统一运维。 |
|
|
| |
接口 | 支持OpenAPI接口调用,满足企业二次开发需求。 |
|
|
|
身份认证管理
功能 | 描述 | 基础版 | 企业双擎版 | 国密版 | 相关文档 |
用户角色 | 支持多种用户角色(管理员、运维员、审计员等)。 |
|
|
| |
用户导入 | 支持新建单个用户及通过文件批量导入用户。 |
|
|
| |
支持自动同步RAM用户、AD/LDAP用户。 |
|
|
| ||
支持对接IDaaS用户,将钉钉、Azure AD等多种身份认证来源用户同步为堡垒机用户。 |
|
|
| ||
双因子认证 | 支持国密USBKEY双因子认证。 |
|
|
| |
支持短信、邮箱、手机TOTP令牌及钉钉双因子认证。 |
|
|
| ||
用户状态管理 | 支持用户状态标记,包括已过期、锁定、长时间未登录等多种状态。 |
|
|
| |
支持设置用户锁定、密码有效期等策略。 |
|
|
|
资产及账户管理
功能 | 描述 | 基础版 | 企业双擎版 | 国密版 | 相关文档 |
资产类型 |
|
|
|
| |
支持对MySQL、SQL Server、PostgreSQL类型的RDS和MySQL、PostgreSQL、PostgreSQL(兼容Oracle)的PolarDB以及MySQL、SQL Server、PostgreSQL、Oracle类型的自建数据库运维。 |
|
|
| ||
支持对Web应用及客户端应用运维。常用的运维协议:HTTPS、HTTP。 |
|
|
| ||
资产导入 | 支持手动新建以及一键导入阿里云和第三方云资产。 |
|
|
| |
支持多云、云上及线下IDC服务器等混合场景统一运维。 |
|
|
| ||
资产账户管理 | 支持资产账密(密码/密钥)托管,运维人员无需感知资产密码即可对资产运维访问。 |
|
|
| |
支持对Linux、Windows服务器手动或者定期执行改密任务。 |
|
|
| ||
支持对接KMS实现ECS的密码、密钥轮转。 |
|
|
| ||
资产状态管理 | 支持资产状态检测,对ECS、RDS实例以及网络连通性状态进行定期或手动检测。 |
|
|
| |
可联动云安全中心资产风险监控状况,及时提醒包含告警、漏洞、基线等风险状态及数量,并支持快速跳转至云安全中心处理风险闭环。 |
|
|
| ||
混合场景运维 | 支持通过网络域代理模式运维独立网络环境的内网资产。 |
|
|
|
运维行为管控
功能 | 描述 | 基础版 | 企业双擎版 | 国密版 | 相关文档 |
授权管理 | 支持用户(组)到资产(组)账号一对一维度的细粒度授权。 |
|
|
| |
运维方式 | 支持Mstsc、Xshell、SecureCRT、Putty等客户端工具登录堡垒机访问主机。 |
|
| 支持单点登录方式 | |
使用本地WinSCP、Xftp、SecureFX等SFTP客户端工具登录堡垒机进行文件传输。 |
|
| 支持单点登录方式 | ||
支持B/S单点登录方式调用本地客户端运维资产,简化运维流程。 |
|
|
| ||
支持独立运维门户界面。 |
|
|
| 无 | |
支持网页方式运维资产。 |
|
|
| ||
自动化运维 | 支持创建运维任务针对主机账户批量执行脚本,提高运维效率。 |
|
|
| |
实时风险阻断 | 支持实时监控正在进行的会话,并可随时阻断会话。 |
|
|
| |
运维控制策略 | 支持对RDP运维时,粘贴板上传或下载、磁盘映射等操作进行控制。 |
|
|
| |
支持SSH运维时,设置命令黑白名单阻断及审批策略,控制高危、敏感命令执行。 |
|
|
| ||
支持在运维过程中,对文件的上传、下载、删除、重命名,文件夹的创建、删除等操作进行控制。 |
|
|
| ||
支持启用运维二次审批,只有在管理员批准后,运维员才能访问资产。 |
|
|
| ||
支持限制登录堡垒机的用户、资产的来源IP及登录时段。 |
|
|
| ||
支持设置运维空闲时长限制及总时长限制。 |
|
|
|
日志审计
功能 | 描述 | 基础版 | 企业双擎版 | 国密版 | 相关文档 |
录像审计 | 支持针对运维操作全程进行日志及录像审计,可通过录像清晰地还原并追溯运维过程。 |
|
|
| |
行为审计 | 支持对文件传输进行审计。 |
|
|
| |
运维报表 | 支持生成运维报表,可导出PDF、HTML、WORD三种格式的报表。 |
|
|
| |
日志备份 | 支持将会话审计日志转存至SLS或通过日志备份下载到本地,形成“记录-分析-存档-审计”闭环,兼顾企业级审计合规要求。 |
|
|
|