昱唯商城

产品分类
  • 腾讯
    腾讯云
    计算
    存储
    网络
    CDN与加速
    数据库
    视频服务
    云通信
    Serverless
    移动开发
    中间件
    数据处理
    量子技术
    网络安全
    终端安全
    应用安全
    业务安全
    安全管理
    数据安全
    安全服务
    云智大数据平台
    云智大数据可视化
    云智大数据应用
    人脸识别
    人脸特效
    人体识别
    文宇识别
    图像识别
    语音技术
    AI 平台服务
    自然语言处理
    智能机器人
    域名与网站
    物联网
    区块链
    企业应用
    企业通信
    办公协同
    金融服务
    教育服务
    游戏服务
    零售服务
    移动服务
    建筑服务
    政务服务
    汽车服务
    云资源管理
    开发者工具
    监控与运维
    管理与审计
    通用解决方案
    行业解决方案
    云智大数据与AI解决方案
    微信解决方案
    教育解决方案
    音视频解决方案
    物联网解决方案
    安全与运维解决方案
    极光产品
    开发者工具
    腾讯企业邮
    腾讯企业邮箱
    企业微信
    企业微信
    腾讯广告
    微信广告
    QQ广告
    腾讯视频广告
    腾讯新闻广告
    腾讯信息流广告
    优量广告
    腾讯音乐广告
    腾讯企点
    企业QQ
    企点客服
    企点营销
    企点电话
    腾讯安全
    终端安全
    主机安全
    安全管理
    数据安全
    数据安全
    网络安全
    金融风控
    内容安全
    业务安全
    营销风控
    安全组件
    应用安全
  • 知道创宇
    技术安全
    抗D保-DDoS流量清洗服务
    游戏高防
    创宇盾 - Web应用防火墙
    加速乐(CDN内容分发)
    漏洞扫描
    创宇监控 · 智能云监控服务
    猎风 - 威胁感知系统
    业务安全
    羊毛盾-知道创宇业务反欺诈
    数据盾(机器流量管控)
    海外CN2专线防护
    IPv6安全改造
    业务安全舆情监测服务
    云防御态势感知指挥平台
    商业安全
    创宇信用
    SSL证书
    盾牌座
    安全服务
    渗透测试
    代码审计
    风险评估
    应急响应
    信息安全对抗演习服务
    网络信息安全意识培训服务
    黑客入侵救援
    等级保护2.0安全解决方案
    安全定制
    区块链定制安全研发
    云计算产品
    御点终端安全管理系统
    网络资产普查和风险感知系统
    浑天智鉴
    创宇鹰眼 - 知道创宇反电话诈骗系统
    创宇监控-关键字监控做您的“第三只眼”
    服务
    智能设备安全检测
    区块链安全
    智能合约审计
    公链安全审计
    钱包安全审计
    安全产品
    ZoomEye网络空间雷达系统
    在线漏洞扫描
    ScanV安全检测管理平台
    威胁和日志管理系统
    安全事件监控
    政务云防御平台
    御点终端安全管理系统
    ZoomEye BE 网络空间资产安全管理系统
    技术安全
    解决方案
    政府行业解决方案
    金融行业解决方案
    电信行业解决方案
    大型企业集团行业解决方案
    中小企业行业解决方案
    电商行业安全解决方案
    棋牌游戏解决方案
    直播行业安全解决方案
    大数据反诈骗解决方案
    Web系统远程监控解决方案
    全网态势感知解决方案
    全网资源侦测解决方案
    云安全解决方案
    金融安全解决方案
    区块链安全解决方案
    教育类网站安全解决方案
    公安机关互联网安全监督检查规定解决方案
    创宇信用
    内容安全
    创宇大数据
    SSL证书
    短视频运营
    秘信聊
    实名认证
    行业认证
    搜狗认证
    官网认证
    权威认证
    品牌宝
    短视频运营
  • 昱唯系列
    昱唯云建站
    昱唯网站设计
    昱唯网站优化
    昱唯企业邮箱
    昱唯微传单
    昱唯公众号助手
    昱唯门店系统
    昱唯游戏营销
    昱唯销售系统
    昱唯小程序
    昱唯商城
    昱唯建站
    昱唯400
    昱唯ABC
    昱唯ABC企业邮箱
    APP开发
    昱唯小票打印机
  • 得力
  • 企信认证
    APP安全可信认证
    品牌官网实名验证
    诚信经营示范网站
    诚信经营示范单位
    诚信经营龙头单位
    网上315金牌认证
    诚信经营金牌认证
    教育行业金牌认证
    金融行业诚企认证
    可信网站安全验证
    企信认证
    医疗行业认证
    AAA级信用企业
    金盾官网认证
    AISIT网信APP安全认证
    诚信示范网店
    互联网3.15金盾认证
    AISIT网信认证
    移动APP安全检测
    企业诚信示范网站(单位)
    诚信经营行业龙头示范单位
    网上交易3.15金牌认证
    医疗行业诚信经营示范单位
    金融行业诚信示范网站(单位)
  • 法大大
    电子合同
T-Sec堡垒机
产品详情

腾讯云堡垒机——数据安全网关(Cloud Shield- Data Data Access Security Broker) 结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。

运维审计全面

支持多种运维操作协议,无论您日常运维使用何种工具,均可以进行审计,确保记录信息无缺失

安全的账号管理机制

通过云主机账号密码的替换,工作人员在运维过程中无法绕过审计机制私自登录,确保操作行为在掌控之中

便捷的单点登录

通过批量单点登录资源,运维工作人员操作流程更为轻松,提升运维便捷性与易用性

AI 与运维管理的高效结合

堡垒机将深度挖掘内部泄密操作,将隐蔽的恶意操作挖掘出来,防止内部人员监守自盗

腾讯云堡垒机为您的云上资源提供代理访问以及智能操作审计服务,能够将运维人员对云上服务器、操作系统、数据库的各类操作行为详尽的展示在安全管理员面前。同时,堡垒机还能够根据时间、IP、字符命令制定相关操作行为定制策略,规范运维行为。

堡垒机支持单独购买人工智能(AI)模块,AI 能够对堡垒机的日志进行分析,通过机器学习对云上资源的日常运维操作进行建模,并发现与日常操作相违背的恶意行为,实现对内部泄密的有效预警。

功能

堡垒机能够审计多种主流运维协议,对服务器、操作系统、数据库运维工作进行详尽记录,确保企业安全问题得到有效追溯。

多协议审计

堡垒机支持 SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS 文件共享等协议。能够对云上各类资源的操作命令、文件传输、配置更改、数据变动行为进行全量记录,确保运维过程中的任何事件可控、可查。

全面的账号管理机制

账号支持分组管理,分组可以采用树形方式展现,不限制分组层级数量,且能够完整的对账号生命周期管理,实现账号的创建、维护、修改、删除的集中维护,同时支持自定义用户类型,基于用户类型进行用户地址策略。从组织、生命周期、控制策略多个维度为企业管好账号体系。

运维过程安全控制

提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。支持 FTP、telnet、ssh、远程桌面等协议服务端口变更,可对内部服务真实端口进行隐藏,防止扫描攻击。

异常行为 AI 预警

扩展模块支持对运维工作进行日常行为库建模,从时间、命令语句、下载/上传操作、访问 IP、服务器、用户名等多个维度进行分析,将异常行为筛选并告警,确保内部恶意事件提前有效预防。同时,异常行为告警能够从逻辑链、上下文、异常分析等多个维度详细阐述异常问题的原因,确保 AI 预警结果具有可解释性。

概述

堡垒机(数据安全网关)是集用户(Account)管理、授权(Authorization)管理、认证(Authentication)管理和综合审计(Audit)于一体的集中运维管理系统。

堡垒机主要特点:

  • 为企业提供集中的管理平台,减少系统维护工作。

  • 为企业提供全面的用户和资源管理,降低企业维护成本。

  • 帮助企业制定严格的资源访问策略,并且采用强身份认证手段,全面保障系统资源安全。

  • 详细记录用户对资源的访问及操作,达到对用户行为审计的需要。

系统架构

堡垒机采用层次化、模块化设计,产品整体架构包括:资源层、接口管理层、核心服务层和统一展示层。

  • 资源层:负责提供各种类型资源的资源管理交互。

  • 接口管理层: 主要是实现核心层与外部产品、用户资源系统之间的数据交互,包括账号类、认证类、授权类和审计类接口。

    • 账号和角色管理接口:实现资源从账号的收集和同步管理。

    • 认证接口:实现与第三方强身份认证产品的联动和主账号认证。

    • 访问控制策略接口:实现访问控制策略的下发。

    • 审计接口:接收外部系统产生的各类日志。通过数据接口层完成与各种应用系统的相关接口通信。


  • 核心服务层:完成系统各功能模块的业务处理,包括身份管理,行为管理,审计管理以及协议代理等服务,每个模块再细分若干子模块完成各自的管理功能。核心层具体的功能模块有:账号管理、授权管理、认证管理和审计管理。

  • 统一展示层:负责用户交互部分的展现,一方面可对用户身份进行认证,并将可访问资源及自服务信息展示给操作人员,另一方面,可供管理人员进行管理配置和审计查看,并将管理人员的输入传递到核心服务层。

AI 与运维管理的高效结合

从时间、命令语句、下载上传操作、访问 IP、服务器、用户名等多个维度对审计记录进行分析,将异常行为筛选并告警,确保内部恶意事件提前有效预防。

强解释性的 AI 报表

AI 引擎具备逻辑链、上下文梳理、异常情况详情等可视化模块,能够从异常行为相关事件、时间前后事件、异常原因等多个角度解释 AI 所发现的内部隐患,避免纯粹通过打分来展示异常事件,确保管理员能够理解 AI 告警,并追溯 AI 告警。

强大的资源管理能力

  • 资源数量统计:支持柱形图方式查看系统中不同资源所占比例。

  • 资源类型:支持主流资源类型丰富,包含 Linux 资源、Windows 资源等其他常见资源类型。

全面的账号管理机制

  • 主账号支持分组管理,分组可以采用树形方式展现,不限制分组层级数量。

  • 完整的用户账号集中管理:生命周期管理,实现账号的创建、维护、修改、删除的集中管理。

  • 用户类型:自定义用户类型,基于用户类型进行用户地址策略。

  • AD 域同步:平台与 AD 域数据同步,将 AD 域中 OU 或域用户数据作为堡垒机系统组织结构和主账号,实现数据统一,无需重复创建数据。

  • 从账号管理:支持资源从账号的管理,系统具有各种资源类型驱动器,能够将资源上的账号进行自动收集、推送、抽取、同步及属性的变更等。

超强的授权管理功能

  • 角色管理:系统支持自定义角色来进行权限管理。角色可按照组节点进行定义,从而实现分层分级管理模式。

  • 岗位授权:资源授权模式基于岗位授权,岗位授权即是建立岗位,岗位上绑定资源账号。此方式授权可进行迁移、授权粒度更细,并可针对岗位设置相关安全策略。

单点登录 SSO

  • 支持收藏夹功能:运维人员可将经常访问的资源添加到收藏夹,而且支持批量单点登录资源,体现平台运维便捷性,易用性。

  • 一键式快速登录,将目标资源的登录配置信息保存为默认后,即可支持一键快速登录目标资源。

  • 支持 su 用户角色自动切换操作并代填密码。

增强的计划管理功能

  • 自动改密计划:支持所有被管设备的密码自动变更计划。管理员可以设置密码策略,变更密码需要符合密码策略中关于密码强度的要求。

  • 密码拨测计划:定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进行校验密码一致性,提高设备的安全性,避免密码混乱发生无法登录现象。

审计管理

  • 用户图形资源访问时,支持键盘、剪切板、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪切板、文件传输记录的指定位置开始回放。

  • 支持 Windows 图形审计的监控,管理员可以随时查看运维人员的操作,并且可以发送告警信息进行会话锁定和解锁。

  • 图形审计支持画质如灰度、真彩、伪真彩的设置,帧间隔,压缩比等设置,可以大大缩减图形审计产生录像文件的大小,每十分钟真彩模式下的审计录像大小为0.5M左右。

更专业的安全管理功能

  • 提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。

  • 审计开关:根据不同设备审计安全需求,客户可自定义审计范围。例如,字符(命令、内容、录像)、图形(录像、键盘、上下行剪切板、上下行文件传输)。

  • 服务端口变更:很多用户为了提高设备的安全性,不采用标准的协议端口。平台支持 FTP、telnet、ssh、远程桌面等协议服务端口变更。

  • 产品自带基础的病毒检测功能,在通过堡垒机进行文件传输时,自动对传输的文件进行防病毒检测,并阻止带病毒文件的传输,有限防护服务器的安全。

互联网+业务

互联网+业务云上资源众多,大量运维服务暴露在公网,且由于服务高度公开,容易被外部攻击者盯上。
堡垒机在业务资源远程运维时,通过隐藏真实运维端口与真实管理账户,解决远程运维安全问题。同时产品提供云上服务器运维日常审计,通过运维规则库梳理不良运维习惯,减少运维事故,帮助业务系统长期稳定运行。

企业

企业内部通常存在大量经营数据等敏感信息,这些信息在行业中具有一定价值,且容易泄密。
堡垒机为账号与岗位进行细颗粒度的权限划分,确保运维人员无法越权操作。

金融

金融行业具有大量金融、个人信息数据,且存在大量第三方代维机构,代维机构是否违规操作是金融企业需要重点关注的一个问题。
堡垒机为账号与岗位进行细颗粒度的授权控制,严格落实岗位规范,确保运维人员无法越权操作。通过 AI 引擎对运维行为进行深度分析,挖掘内部异常操作,防止金融数据被非法利用。

政务民生

政务民生在互联网化过程中,需要大量第三方机构进行建设和运维。
堡垒机可将运维方与管理方的权责分明,通过操作审计对运维问题进行追溯,确保安全事故有效定责。通过 AI 引擎对运维行为进行深度分析,挖掘内部异常操作,对民生政务数据(医疗、教育、社保、税务等信息)泄露进行预警。


微信图片_20190905110212.jpg

1.png2.png 3.png

6.png4.png

7.png5.png8.png

应该如何选择堡垒机的规格型号?

选购堡垒机时,一般以您云上资源节点数作为依据,一台云服务器均算作一个单独节点。您在采购前可简单统计云服务器实例数,以选择合适您环境的规格型号。另外,数盾堡垒机暂不支持动态扩容,如果您后续有增加云上资源的计划,建议您提前购买规格较高的型号。

在选购堡垒机时,应将其部署在哪个地域?

堡垒机必须与所防护的域上资源部署在同一个 VPC 中。如您有多个 VPC 需防护,请每个 VPC 购买一套堡垒机实例。

购买时为何需要输入 SecurityID 与 SecurityKey?

只有知悉您的 SecurityID 与 SecurityKey 才能够将堡垒机部署到您的 VPC 中。Security 信息本身用于授权给相关业务方用于操作,授权动作不会影响您原有 VPC 资源,请正常授权。

如何确保所有的运维行为都已经纳入堡垒机的管理范围?

建议您在购买部署堡垒机后,将云服务器账号密码重新修改并配置到堡垒机实例中,由堡垒机统一发布资源,确保云服务器不能随意访问。

如何使用 SecureCRT 进行单点登录?

  1. 打开 SecureCRT。

  2. 单击【选项】>【全局选项】。

  3. 单击【终端】>【网页浏览器】,进入网页浏览器设置页面。

  4. 将 SSH2,SSH1 和 Telnet 选项,设置为 “设置SecureCRT为你的默认xxx工具”。

  5. 单击【确定】,完成设置。

  6. 关闭 SecureCRT。

  7. 登录 堡垒机控制台。登录 Linux 资源时,连接工具选择 SecureCRT 登录即可。

如何使用 Xshell 进行单点登录?

  1. 安装 Xshell 工具。

  2. 登录 堡垒机控制台 ,并使用运维账号登录堡垒机。

  3. 单击【我的管理】>【控件下载】,进入控件下载页面,

  4. 单击【单点登录工具(标准)】,下载控件并完成安装。

  5. 控件安装之后,进入到控件安装路径下(默认安装路径为:C:\sso_client)。

  6. 找到配置文件 db_path,将之前安装的 Xshell 安装路径复制到文件 xshell= 后,如下图所示。

  7. 完成后保存配置文件。

  8. 回到 堡垒机控制台。 登录 Linux 资源时,连接工具选择 Xshell 登录即可。

如何通过 SecureCRT 使用 ssh key 实现单点登录服务器?

说明:


  • 堡垒机无需进行配置。

  • 工具可随使用习惯灵活配置。以下举例为 SecureCRT 8.1.0 版本配置 key 单点登录。

  1. 打开 SecureCRT 工具,选择 【Options】>【Global Options】>【SSH2】, 将 Enable OpenSSHell agent forwarding 选项勾选上。

  2. 选择 【Tools】>【Manage Agent Keys】,将私钥文件加入到 Agent 服务中,即可生效进行目标设备的单点登录。

    注意:

    SecureCRT 工具 Manage Agent Keys 组件添加私钥文件,关闭工具后失效,需每次单点登录前打开 SecureCRT 工具手动添加私钥文件并保持 SecureCRT 工具打开。

  3. 访问堡垒机,选择对应 key 服务器进行单点登录。

如何使用 ssh 工具直连堡垒机进行单点登录?

管理端授权

Mac 电脑使用堡垒机或 Windows 下使用 ssh 工具直连堡垒机进行单点登录时,需在管理端提前配置授权,配置过程如下:

  1. 在 Windows 下使用 IE 浏览器(IE 11)访问,使用链接https://ip/iam登录堡垒机。

  2. 新建岗位,在岗位上绑定资源和资源账号(前提是已经在“资源管理”处添加过资源和资源账号)。
    单击【岗位管理】>【添加】>【保存】,回到岗位列表,单击【绑定账号和资源】>【新建】或者【批量绑定账号】> 勾选要添加的资源 > 输入要绑定的账号 > 确定添加。完成岗位建立和资源账号绑定。

  3. 给用户绑定岗位或个人岗位(岗位是权限集合,个人岗位是单条权限)。
    单击【用户管理】>【岗位】>【添加岗位】> 找到相应岗位确认即可。

运维端登录

  1. 打开远程工具,例如 Xshell,输入远程堡垒机命令,格式如:ssh user@ip,user 为堡垒机的页面登录用户,回车后输入密码,如下图所示:

  2. 登录后展示个人岗位和管理员授权的岗位,根据展示的岗位序号输入序号进入授权列表,如下图所示:

  3. 例如:输入1,(进入【运维岗】)>再次输入1 ,(选择单点登录资源) >输入s,(选择 ssh 连接方式) 后单点登录到资源192.168.xx.xx。至此完成客户端 ssh 工具直连单点登录过程。

堡垒机入站和出站需要分别开放什么端口?

当用户操作堡垒机出现网络问题时,如登录不了堡垒机,可参照下面入站规则和出站规则提供的端口,检查对应端口号是否有开通。

入站规则

从客户端到堡垒机,需要开放的端口如下表所示:

端口号说明协议备注是否必开
61903SSH/SFTP/FTP/文件共享TCP字符协议及文件传输访问端口
443HTTPSTCPWeb 管理端口
3392RDP2TCPRDP2 单点登录和审计播放
10050-TCP字符审计录像播放
11020-TCP认证端口
8443HTTPSTCP证书认证登录

出站规则

从堡垒主机到目标服务器,需要开放的端口如下表所示(可根据自身服务器端口开启)。

端口号说明
20FTP/SFTP(主动模式)
21FTP/SFTP(主动/被动模式)
61903SSH
23Telnet
389AD LDAP
3389RDP
说明:

对于 xwindow、vnc 协议,其端口采用实际使用的端口。



品质认证
全国包邮
官方授权代理商
24小时售后服务
企业专属特权
服务保障
正品保证
官方授权代理商
24小时售后
关于我们
支付方式
公司转账
对私付款
支付宝付款
微信支付
商家服务
商家服务
培训中心
广告服务
服务市场
物流配送
免运费
海外配送
京东快递
211限时达
website qrcode

扫描查看手机版网站

会员登录
登录
其他帐号登录:
我的资料
购物车
0
留言
回到顶部