极元运维安全管理系统（堡垒机）是新一代操作行为管理安全审计系统，其主要功能为实现对运维人员远程访问操作服务器、网络设备、数据库过程的认证、授权、监控与审计，实现对IT运维过程的全面监管，做到有效的事前预防、事中控制及事后审计，满足用户的安全管理需求。该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式（SSH、Telnet、Rlogin）、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。

系统架构

    极元运维安全管理系统（堡垒机）采用模块化设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块。

    行为控制模块：实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能。

    管理模块：实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制。

    审计模块：实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统。

    用户界面：提供运维人员审计管理接口，以及运维用户的远程工具使用界面。

主要功能

    一、统一人员身份认证

          完善人员管理认证体系

          管理员身份三权分立，各司其职   

          部门权限分级管理

          指定第三方运维人员使用期限，帐号到期自动锁定   

          支持静态口令、Radius、Ldap、AD域等多种认证加强   

          支持双因素认证，加强认证手段 支持运维用户批量

    二、统一资产管理

      资产账号信息托管，实现SSO单点登录，无需再向用户提供账号密码，支持ipv6资产管理和运维   

      批量导入及分组管理，可根据主机组进行授权   

      资产账号密码自动改密，解决账号信息管理难题，减轻运维管理工作量

      “账号-协议”绑定方式，授权更为精细

    三、支持协议

      极元运维安全管理系统(堡垒机)支持各种主流操作协议包括字符型操作（Telnet、SSH、Rlogin）、图形化操作（RDP、VNC、X11）、文件传输（FTP/SFTP）、数据库访问操作等。通过配置应用扩展中心（ACC），还可以灵活扩展其他操作协议及工具。

    四、实时监控，历史回放

      极元运维安全管理系统(堡垒机)对于所有远程访问目标主机的会话连接，审计系统均可实现操作过程同步监视，运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中，管理员可以随时手工中断违规操作会话。

      极元运维安全管理系统(堡垒机)能够以视频回放方式，可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计。   

    四、运维统计报表

      极元运维安全管理系统(堡垒机)拥有强大的报表功能，内置能够满足不用客户审计需求的安全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分析运维的合规性。

部署方式

      极元运维安全管理系统(堡垒机)采用物理旁路，逻辑串联的方式部署。极元运维安全管理系统（单机或集群）从交换机旁路接入网络，在交换机上设置ACL，使运维用户仅能访问极元运维安全管理系统协议代理端口，不允许运维用户直接访问服务器的运维协议端口，从而形成物理旁路，逻辑串联的部署方式。