云堡垒机主账号通过本地认证、AD认证、RADIUS认证等多种认证方式，将主帐号与实际用户身份一一对应，确保行为审计的一致性， 从而准确定位事故责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷。

云堡垒机预置多种用户角色：系统管理员、部门管理员、策略管理员、审计管理、运维员。每种用户角色的权限都各不相同、相互制约。 除此之外，云堡垒机还支持自定义角色，通过角色自定义，满足企业单位的复杂运维场景，为设立不同的角色提供了选择。

通过集中的访问控制策略定制，帮助企业单位梳理用户与资源的关系，并且提供一对一、一对多、多对一、多对多的灵活授权模式。云堡垒机提供的访问控制策略，实现的不仅仅是将资源授权给用户，更实现了功能权限的精细化控制，最大程度地降低越权操作的可能。

云堡垒机对所有操作都进行详细记录，还针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前云堡垒机支持字符协议(SSH、TELNET)、图形协议(RDP、VNC)、文件传输协议(FTP、SFTP)、数据库协议(DB2、MySQL、Oracle、SQL Server)和应用发布的操作审计。

云堡垒机支持托管主机、网络设备、安全设备、数据库和应用发布的账户和密码，运维人员可单点登录到目标资源进行运维操作，无需输入账户和密码。同时，云堡垒机支持混合协议的批量登录，通过混合登录，运维人员可以在一个页面上批量打开多台资源，方便运维人员在操作时进行不同资源的切换。

通过云堡垒机提供的改密策略，可以实现自动化的改密，并且以日志形式记录改密执行结果，让管理员掌握资源的改密动态和历史密码。

运维人员向管理员申请需要访问的设备，以工单方式向管理员进行申请。当需要使用的功能权限（例如文件管理、RDP剪切板等）由于策略的限制无法使用时，运维人员也可以通过工单申请相应的功能权限。管理员对工单进行审核和批准后，运维人员就拥有了临时的访问权限。工单的审批流程可以由系统管理员进行自定义，并且可以设置多人审批或者是会签审批模式，规范资源运维操作流程。

云堡垒机提供了集中的命令控制策略功能，不仅支持SSH、TELNET等字符协议，还支持MySQL和Oracle数据库的访问控制，实现基于不同的资源账户、不同的用户设置不同的命令控制策略。同时，云堡垒机预置了近千条Linux/Unix、主流网络设备的操作命令，以及常用的数据库操作指令，让管理人员可以直接从命令库进行调取，简化命令控制策略的配置过程。

通过云堡垒机，运维人员可以邀请其他用户加入自己的会话，进行协同操作。当新人操作不熟练时，通过会话协同能够邀请其他用户协助自己进行操作，操作控制权限可在不同的用户之间进行灵活切换。

云堡垒机通过双人授权，让运维人员在访问核心资源时，必须要通过管理员的现场审批，通过双人授权有效遏制权限滥用的情况，降低安全事件发生的风险。

云堡垒机预置了多种分析报表，通过报表能全方位分析系统操作、资源运维的情况。报表支持自动发送，支持以天、周、月为粒度发送报表，并且以HTML、PDF、WORD、EXCEL等多种格式导出，让管理员随时掌握系统情况

互联网专线