Pdoduct Center

双因素堡垒机系统

传统堡垒机在部署双因素认证后，无法做到密码代填，软域科技新一代堡垒机，基于双因素系统和堡垒机合并开发，可以同时实现堡垒机的密码代填，和单独访问主机，网络设备时用双因素方式登陆。

堡垒机是一款相对比较成熟的账户管理和运维审计平台。他通过在运维管理人员和主机之间加装一个跳板机的方式，将他们原先直接的连接改为改变为先接至堡垒机，由堡垒机通过代理的方式连接到目标主机，从而达到了安全审计的功能。

堡垒机的主要作用在于安全运维审计。堡垒机并不是一个本质上的一个认证平台，它仅仅做到了对运维人员，也就是自然人的一个登陆认证处理。而后面主机的认证，网络设备的认证，操作系统以及各类应用的认证仍然是采用本地的认证方式。

堡垒机并不是一个认证平台。他不是如微软的AD或者radius一样对各类资源的访问进行一个集中的认证,。所以，通常用户在部署运维审计堡垒机以后，还需要部署认证平台，对资源账户进行统一账户管理。

同时，堡垒机还面临绕过和跳转的问题，所谓绕过，也就是说在企业内部部署了堡垒机以后，是否还保留其他的路径，使得运维人员或者是其他的第三方人员可以绕过堡垒机直接连接至网络设备，主机或者数据库。

所谓跳转的问题，也就是说在资源权限分配时，假如对用户a只分配了对0.1这台设备的访问权限。用户a登陆0.1后，他完全可以通过0.1跳转到0.2上进行一些操作.

另外，随着等保2.0的实施的要求，对于资源也需要进行双因素的认证，也就是说，仅仅是对于登录堡垒机管理页面采用双因素已经不能满足等保合规的要求

软域科技既提供AAA认证平台，同时也提供堡垒机审计产品，用户在选择时可把两者产品组成一个完整的解决方案。

通过补充配置AAA平台以后，堡垒机的跳转和绕过会得到有效的防护，因为即使某管理员知道了设备的本地静态密码，他也要通过动态令牌的方式才能够真正地绕过堡垒机去登录这台主机，而通过日志审计系统可以立即获知有人绕过堡垒机对主机进行访问。

软域堡垒机支持对各类网络设备，各类三层安全设备，所有主机包括各个版本的Windows系统，各个版本的Linux系统，unix系统。以及各类数据库中间件和应用系统。进行录屏审计。