# 旗舰版产品功能

## 部署方式

  - 物理旁路，逻辑串联模式，不影响正常业务流量
  - HA双机热备
  - 支持基于水平可扩展的集群化架构设计与部署，支持跨地域、跨数据中心，多层次部署
  - 支持NAT地址映射部署，通过映射后的IP地址访问堡垒机

## 资源管理

  - 支持SSH、RDP、VNC、Telnet、FTP、SFTP等协议
  - ★支持FTP协议，并可以使使用FlashFXP、FileZilla等常用的FTP工具
  - ★支持SFTP协议，并可以使用WinSCP、FlashFXP、xftp等常用工具
  - 支持对主机（包括主机、应用、应用服务器和资源账户）及账户批量导入、导出、删除、加入资源组等操作
  - 支持云主机资源批量添加，包括阿里云、百度云、华为云、腾讯云和Genesis Cloud云平台的资源
  - ★可通过应用发布实现对MySQL、SQL Server、Oracle、IE、Firefox、Chrome、VNC
    Client、SecBrowser、VSphere Client类型等应用程序/客户端的扩展支持
  - 支持不同的资源使用相同的IP或域名
  - 支持内置常用的系统类型，包括Linux、Windows、H3C、Huawei、Cisco
  - 支持资源按标签管理，每个用户可以给每个资源打10个标签、支持批量添加和删除标签
  - 支持TELNET、SSH协议资源使用普通账户自动切换到root（或enable）账户
  - ★支持SSH、RDP协议文件管理控制功能
  - ★支持RDP协议的RDP剪切板控制功能
  - 支持资源账户设置为自动登录（包含提权登录）和手动登录方式，其中手动登录方式又区分全手动（手动输入账户和密码）和半自动模式（手动输入密码）
  - 无需安装任何客户端，便可windows、linux、MAC OS等类操作系统登录堡垒机，并访问管理资源
  - 支持IE、Edge、Chrome、FireFox、Safari等主流浏览器
  - ★支持Xshell、putty、MAC terminal等客户端和Remote
    Broswer（HTML5）访问目标资源，支持双人授权和多因子认证，运维资源可分页显示，并且可以根据名称、IP、标签等多种条件进行查找
  - 支持同时通过堡垒机访问多台设备
  - ★支持通过堡垒机同时对多台虚拟机/服务器执行相同命令
  - 提供类似云盘形式的文件存储，支持RDP、SSH、VNC协议类型主机的文件上传和下载，并进行审计

## 资源运维

  - 支持SSH、RDP、TELNET、VNC协议资源的批量登录功能
  - 支持SSH客户端、FTP客户端、SFTP客户端访问目标资源
  - ★支持通过Web页面访问目标支持，包括SSH、RDP、TELNET、VNC和应用发布资源
  - 支持SSH key方式登录SSH资源
  - 支持多台SSH、TELNET协议资源批量执行操作指令
  - 支持将运维资源列表导出成xshell和SecureCRT格式的配置
  - 支持通过标签筛选资源
  - ★运维过程中支持会话协同，可邀请其他用户参与、协助操作
  - ★会话协同过程中，支持参与者控制会话，同时支持创建者强制获取控制权
  - ★支持多个参与者使用相同的会话邀请链接进入会话
  - 支持字符协议预置命令功能，可添加15个经常使用的命令在系统当中

## 用户管理

  - 支持本地、RADIUS和AD域等认证类型
  - 支持手机短信和动态令牌等多因子认证
  - 支持通过设置来源IP控制和访问时段控制，限制用户访问堡垒机
  - ★支持用户的IP地址（黑名单或白名单）和MAC地址限制（黑名单或白名单）限制，非法地址无法登陆
  - 支持用户的批量修改，包括重置密码、移动部门、更改角色、修改多因子配置、修改有效期、修改IP限制、修改MAC限制
  - ★支持新建用户时，支持随机生成强密码
  - 支持按用户的状态、角色、部门筛选用户
  - 支持自定义角色，符合客户复杂多样的业务场景需求
  - ★支持主账户的生效和失效时间设置
  - 支持用户帐号和目标设备的部门分权，不同的用户和设备可以归属于不同的部门（子部门）
  - 支持访问控制策略按部门分权，不同部门的配置管理员只能针对自己部门及自己直属子部门设备进行访问权限设置
  - ★支持密码修改计划部门分权，使得不同部门的密码保管员只能修改/保管自己部门的设备上的帐号密码
  - 支持审计功能按部门分权，使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志
  - 支持对主账户的批量导入、导出、删除、重置密码、部门移动等操作

## 部门管理

  - 支持分属于不同业务部门的的管理员只能管理权限范围内的用户、资源、策略和审计管理
  - 支持可设置管理员可管理的用户和资源的范围
  - 支持部门无限级分组管理
  - 支持快速新建、修改部门
  - 支持批量新建部门
  - 支持快速定位部门的用户和主机，并展示用户数和主机数

## 访问策略与动态授权

  - 无需安装任何客户端，便可单点登录RDP、VNC、Telnet、SSH等协议和应用发布的远程资源
  - 支持同时以用户、用户组、资源、资源组、账户、账户组为核心要素，来设置多对多的资源访问授权
  - 可根据用户、用户组、部门、角色、资源、IP段、命令集、生效时间为核心要素，来设置详细的命令权限控制策略
  - 命令权限控制动作包含拒绝执行、允许执行、告警、动态授权和断开
  - 堡垒机本身预制主机和网络设备的基本命令，用户可根据特定场景需要进行自定义命令
  - 可以对字符协议的设备的操作行为设置告警、断开、拒绝执行、二次授权等访问策略
  - 可细粒度的限制用户的访问时间
  - 支持用户向管理员主动申请资源的运维权限
  - 支持基于用户组、账户组的模式下，用户组和账户组内的新增成员自动继承访问控制和命令控制关系
  - 支持拖动改变策略优先级顺序
  - 支持批量启用、禁用策略
  - ★访问控制策略基于用户、用户组、资源账户、账户组、有效期、文件管理控制、文件传输控制（上传、下载）、RDP剪切板控制、时间限制、IP限制进行设置
  - ★访问控制策略支持配置双人授权候选人，针对核心设备，需要管理员现场审批才能操作
  - 支持命令控制策略中对操作命令支持正则表达式和通配符方式设置匹配规则

## 用户及组管理功能

  - 支持用户帐号和目标设备的部门分权，不同的用户和设备可以归属于不同的部门（子部门）
  - 支持访问控制策略按部门分权，不同部门的配置管理员只能针对自己部门及自己直属子部门设备进行访问权限设置
  - 支持密码修改计划部门分权，使得不同部门的密码保管员只能修改/保管自己部门的设备上的帐号密码
  - 支持审计功能按部门分权，使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志

## 资源及资源组管理功能

支持通过分组形式对资源进行批量管理

## 工单管理

  - 支持用户向管理员主动申请资源的运维权限
  - ★支持文件管理权限、RDP剪切板权限、上传、下载权限的申请

## 操作记录

  - 对操作命令进行精准识别，准确率达到100%
  - 支持字符协议SSH、TELNET和文件传输协议FTP、SFTP的审计，详细记录操指令和操作指令的执行结果
  - 支持安全浏览器的Web页面防跳转功能
  - 支持导出历史会话和系统日志
  - 支持会话结束状态审计
  - ★支持对剪切板拷贝文件行为和文本信息内容的记录，并支持通过搜索文本内容关键字定位审计回放
  - ★支持双人授权审计和协同用户审计
  - 支持系统内置多种系统报表和运维报表模板，支持按日、周、月为周期，自动生成报表
  - 报表格式支持Word、Excel、PDF和HTML格式
  - 支持资源登录会话与系统登录会话关联
  - 支持文本形式下载命令操作到本地PC
  - ★对图形操作过程中的键盘鼠标操作、剪贴板操作、标题栏操作、图形界面文字模糊识别四大类信息，进行文本审计
  - 即可对FTP协议进行审计，还可以对堡垒机自身的文件上传和下载的功能的执行可以被审计

## 会话回放

  - 支持从一条命令定位到用户的操作过程回放过程支持暂停和加速播放操作
  - 对用户命令操作的输入输出，在同一界面展示
  - 支持在线回放过程支持播放速度调整、拖动、暂停、停止、重新播放等播放控制操作
  - 支持Web在线视频回放方式重现运维人员对资源的所有操作
  - ★支持离线回放重现运维人员对资源的所有操作过程，并支持回放文件下载到本地播放
  - 可根据文本审计的内容为关键字进行图形搜索，搜索出来的结果可以直接定位到相关图形画面进行回放
  - 支持对同一虚拟机的审计的任意切换

## 改密计划

  - ★可以根据从账户、时间、改密周期、改密方式生成详细的改密计划，到期自动执行
  - 改密方式可以支持随机生成不同密码、随机生成相同密码、手动指定相同密码
  - 支持自动改密结果发送到指定改密计划的管理员邮箱
  - 改密策略支持基于资源账户、账户组、改密方式、执行方式进行设置
  - ★支持查看改密日志，了解改密账户总数、改密成功数量、改密失败数量和未修改数量
  - 改密日志支持下载，查看改密前后密码变化
  - 改密策略支持是否使用特权账户改密和是否修改特权账户密码的设置

## 实时监控

支持对任意类型的活动会话进行无延时的实时监控和实时切断

## 系统维护

  - 支持全量或者增量方式进行系统备份
  - 支持通过上传还原文件方式对系统进行还原
  - 支持通过导入升级包的方式一键升级
  - 支持根据不同的角色及权限展示桌面
  - 支持用户、主机、应用、应用服务器、告警数量的统计
  - 支持主机和应用的类型统计
  - 支持当前活动会话和今日新增会话的统计
  - 支持系统登录次数和资源运维次数的按周和按月展示趋势图
  - 支持运维用户和运维资源的Top5展示
  - 支持最近登录主机和应用的展示，并提供从桌面登录资源的功能
  - 支持系统状态和系统信息展示
  - 支持个人信息修改
  - ★支持用户多次登录失败将自动锁定账户或IP，可配置解锁时长、到期自动解锁，也可以手动解锁
  - 支持内置OpenVPN客户端
  - 支持RADIUS、AD域等外部认证方式，并且支持配置多个AD域
  - 支持自动或手动删除存储数据
  - 支持在web界面恢复出厂设置
  - 支持系统配置备份与还原
  - ★支持双机热备
  - 支持空间自管理功能，能够自动清理历史数据，并在空间不足时自动覆盖数据
  - 支持日志数据自动备份到远程Syslog服务器
  - 支持通知外发，包括邮件、自定义的短信网关
  - ★支持自定义系统语言（中文和英文）和系统图标
  - 支持异步操作任务，支持实时查看任务进度，支持终止任务
  - 支持基于消息等级、消息类型设置是否告警和告警方式
  - ★支持微信小程序手机令牌
  - ★支持绑定SSH公钥，实现免密码登录
  - 支持查看用户自己所属角色的权限，了解权限范围
  - 支持查看自己的系统登录日志、系统操作日志和资源登录日志
  - 支持web证书替换
  - 支持web和ssh登录超时设置
  - 支持SNMP，版本包括v2c和v3
  - 支持网络多接口、静态路由、DNS设置
  - 支持自定义系统事件的告警方式和告警等级
  - 支持自定义工单申请范围
  - ★支持修改系统自身对外提供服务的默认端口
  - 支持配置和数据自动备份到远程FTP、SFTP服务器存储
  - 支持ping、traceroute、telnet等网络诊断
  - ★支持系统负载、内核信息、内存信息、网卡信息、磁盘使用信息、路由表信息、ARP表信息等运行状态信息的采集
  - ★支持将备份下载到本地保存