产品功能
云堡垒机提供了系列1和系列2产品供您使用,各系列均提供标准版和专业版供您选择。不同系列和不同版本支持的功能存在差异,您可以根据自身的业务需求选择合适的版本。
下述表格中使用的标识含义如下:
- √表示支持
- ×表示不支持
- -表示不涉及
身份认证
| 功能模块 | 功能子项 | 系列1 | 系列2 | 系列对比 | 系列1功能说明 | 系列2功能说明 | ||
|---|---|---|---|---|---|---|---|---|
| 标准版 | 专业版 | 标准版 | 专业版 | |||||
| 认证方式 | 本地登录/IAM登录/admin三种远程登录方式 | √ | √ | √ | √ | 均支持 | 远程登录支持本地登录、IAM登录、admin三种登录方式 | 远程登录支持本地登录、IAM登录、admin三种登录方式 |
| 多因子认证 | √ | √ | √ | √ | 均支持 | 支持手机短信、手机令牌、邮箱、USBKey、动态令牌等方式 | 支持手机短信、手机令牌、USBKey等方式 | |
| 第三方认证对接与AD用户同步 | √ | √ | √ | √ | 均支持 | 支持AD域、RADIUS、LDAP、Azure AD远程认证,并支持一键同步AD域服务器用户 | 支持AD域、RADIUS、LDAP远程认证,并支持一键同步AD域服务器用户 | |
| SAML/CAS/JWT/企业微信/钉钉等扩展认证方式 | 部分支持 | 部分支持 | √ | √ | 均支持 | 支持吉大正元认证(SAML) | 支持SAML/CAS/JWT认证,支持企业微信、钉钉认证 | |
账户管理
| 功能模块 | 功能子项 | 系列1 | 系列2 | 系列对比 | 系列1功能说明 | 系列2功能说明 | ||
|---|---|---|---|---|---|---|---|---|
| 标准版 | 专业版 | 标准版 | 专业版 | |||||
| 用户账号管理 | 批量导入用户 | √ | √ | √ | √ | 均支持 | 通过同步第三方服务器用户,以及批量导入用户,支持一键同步并导入已有用户信息 | 通过同步第三方服务器用户,以及批量导入用户,支持一键同步并导入已有用户信息 |
| 用户组管理 | √ | √ | √ | √ | 均支持 | 用户账号按属性分组管理,可实现对同类型用户按用户组赋予权限 | 用户账号按属性分组管理,可实现对同类型用户按用户组赋予权限 | |
| 批量管理用户账号 | √ | √ | √ | √ | 均支持 | 支持删除、启用、禁用、重置密码、修改用户基本配置等 | 支持删除、启用、禁用、修改用户基本配置等 | |
| 资源账户管理 | 主机资源类型 | √ | √ | √ | √ | 均支持 | Windows、Linux等主机资源 | Windows、Linux、国产UOS、麒麟等主机资源 |
| 数据库资源类型 | × | √ | × | √ | 均支持 | GaussDB、Postgresql、DB2、MySQL、SQL Server、Oracle、Rlogin、DM、Redis等 | MySQL、Oracle、DB2、SQL Server、KingbaseES、GBase8a、GBase8s、HighGo、Redis、Informix、TiDB、GoldenDB、MongoDB、MariaDB等 | |
| Windows应用程序资源 | √ | √ | √ | √ | 均支持 | 包含Windows应用程序资源 | 应用类包含web应用及Windows应用程序资源 | |
| Kubernetes服务器管理 | × | √ | × | × | 仅系列1支持 | 支持Kubernetes服务器管理 | - | |
| 应用发布能力 | √ | √ | √ | √ | 均支持 | 支持基于Windows、Linux等操作系统的应用发布功能 | 支持基于Windows、银河麒麟、UOS、Euler等操作系统的应用发布功能,可集中管控各类B/S、C/S应用 | |
| 资产发现/批量导入云上资源 | √ | √ | 部分支持,暂不支持资产发现 | √ | 均支持 | 通过自动发现、同步云上资源,以及批量导入资源,支持一键同步并导入云上ECS、RDS等资源 | 通过自动发现、同步云上资源,以及批量导入资源,支持一键同步并导入云上ECS等服务器资源 | |
| 资源账户分组 | √ | √ | √ | √ | 均支持 | 账户组管理:资源账户按属性分组管理,可按账户组赋权 | 标签管理:资源账户按标签分组管理,可按标签赋权 | |
| 密码自动代填 | √ | √ | √ | √ | 均支持 | 采用AES256加密方式存储资源账户,通过密码自动代填技术加密共享账户 | 采用SM4加密方式存储资源账户,通过密码自动代填技术加密共享账户 | |
| 账户自动改密 | √ | √ | × | √ | 均支持 | 通过设置改密策略,可定时定期修改账户密码,支持主机、数据库账号手动/自动改密 | 通过设置改密策略,可定时定期修改账户密码;支持主机、数据库、web应用账号手动/自动改密 | |
| 账户自动同步 | √ | √ | × | √ | 均支持 | 可定时核查和同步主机资源账户,并推送系统新建、删除、修改的资源账户到主机 | 可定时核查和同步主机资源账户,并推送系统新建、删除的资源账户到主机 | |
| 批量管理资源与资源账户 | √ | √ | √ | √ | 均支持 | 支持删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等 | 支持删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等 | |
| 资产体检 | √ | √ | × | √ | 均支持 | 支持对已纳管主机连通性进行检查 | 支持对已纳管主机进行连通性、僵尸资产、禁用资产等状态检查 | |
| 账号体检 | √ | √ | × | √ | 均支持 | 支持创建资源账号时密码、口令的有效性验证 | 支持弱密码、长时间未改密、权限变更、密码/密钥无效、僵尸账号、孤儿账号等检测 | |
| 账号发现 | × | √ | × | √ | 均支持 | 支持扫描已纳管资产上的未纳管账号,并可一键纳管至堡垒机 | 支持扫描已纳管资产上的未纳管账号,并可一键纳管至堡垒机 | |
权限控制
| 功能模块 | 功能子项 | 系列1 | 系列2 | 系列对比 | 系列1功能说明 | 系列2功能说明 | ||
|---|---|---|---|---|---|---|---|---|
| 标准版 | 专业版 | 标准版 | 专业版 | |||||
| 系统访问权限 | 用户角色与模块分权 | √ | √ | √ | √ | 均支持 | 通过为每个用户账号分配不同角色,赋予访问系统不同模块的权限 | 通过为每个用户账号分配不同角色,赋予访问系统不同模块的权限 |
| 自定义角色 | √ | √ | √ | √ | 均支持 | 支持自定义角色,自选添加系统模块 | 支持自定义角色,自选添加系统模块 | |
| 组织部门层级 | √ | √ | √ | √ | 均支持 | 部门树形结构,不限制部门层级 | 部门树形结构,最大10部门层级 | |
| 登录限制(有效期/时间/MFA/IP/MAC) | √ | √ | √ | √ | 均支持 | 支持从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度控制 | 支持从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度控制 | |
| 基于来源IP段设置不同认证方式 | × | × | √ | √ | 仅系列2支持 | - | 支持基于来源IP段设置不同的认证方式 | |
| 资源访问权限 | 访问控制(有效期/登录时间/IP/上传下载/文件传输/剪贴板) | √ | √ | √ | √ | 均支持 | 支持访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等 | 支持访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板等 |
| 双人/多人授权 | √ | √ | √ | √ | 均支持 | 需要授权人实时授权才能访问资源 | 需要授权人实时授权才能访问资源 | |
| 命令拦截 | √ | √ | √ | √ | 均支持 | 支持命令控制策略或数据库控制策略,对敏感高危操作进行阻断、告警及二次复核 | 支持命令控制策略或数据库控制策略,对敏感高危操作进行阻断、告警及二次复核 | |
| 批量授权 | √ | √ | √ | √ | 均支持 | 通过用户组和账户组形式,支持同时授权多个用户对多个资源的控制权限 | 通过用户组和账户标签组形式,支持同时授权多个用户对多个资源的控制权限 | |
操作审计
| 功能模块 | 功能子项 | 系列1 | 系列2 | 系列对比 | 系列1功能说明 | 系列2功能说明 | ||
|---|---|---|---|---|---|---|---|---|
| 标准版 | 专业版 | 标准版 | 专业版 | |||||
| 系统行为审计 | 系统操作行为全纪录 | √ | √ | √ | √ | 均支持 | 针对操作失误、恶意操作、越权操作等行为告警通知 | 针对操作失误、恶意操作、越权操作等行为告警通知 |
| 系统登录日志 | √ | √ | √ | √ | 均支持 | 支持记录登录方式、登录用户、来源IP、登录时间,并支持一键导出 | 支持记录登录方式、登录用户、来源IP、登录时间,并支持一键导出 | |
| 系统操作日志 | √ | √ | √ | √ | 均支持 | 覆盖所有系统操作事件,支持一键导出 | 覆盖所有系统操作事件,支持一键导出 | |
| 系统报表 | √ | √ | √ | √ | 均支持 | 统计用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等 | 统计用户启用状态、用户与资源创建、启用禁用趋势、异常登录、会话控制、用户来源IP、异常IP等 | |
| 自定义报表 | × | × | √ | √ | 仅系列2支持 | - | 支持自定义组合统计条件、数据范围 | |
| 系统报表导出与周期邮件推送 | √ | √ | √ | √ | 均支持 | 支持一键导出系统报表,并可定周期以邮件方式自动推送系统报表 | 支持一键导出系统报表,并可定周期以邮件方式自动推送系统报表 | |
| 告警通知 | √ | √ | √ | √ | 均支持 | 通过配置系统告警,按不同告警方式和告警级别,以邮件、SMN和系统消息推送 | 通过配置系统告警,按不同告警方式和告警级别,以邮件和系统消息推送 | |
| 资产运维审计 | Linux命令审计 | √ | √ | √ | √ | 均支持 | 协议包含SSH、TELNET | 协议包含SSH、TELNET、Rlogin |
| Windows操作审计 | √ | √ | √ | √ | 均支持 | 协议包含RDP、VNC | 协议包含RDP、VNC、X11 | |
| 数据库命令审计 | × | √ | × | √ | 均支持 | 支持GaussDB、Postgresql、DB2、MySQL、SQL Server、Oracle、Rlogin、DM、Redis等 | 支持DB2、MySQL、Oracle、SQL Server、KingbaseES、GBase8a、GBase8s、HighGo、Redis、Informix、TiDB、GoldenDB、MongoDB、MariaDB等 | |
| 文件传输审计 | √ | √ | √ | √ | 均支持 | 支持远程桌面文件传输审计,以及FTP/SFTP/SCP传输审计;记录文件名称和目标路径 | 支持远程桌面文件传输审计,以及FTP/SFTP传输审计;记录文件名称和大小 | |
| 实时监控 | √ | √ | √ | √ | 均支持 | 支持监控和中断实时会话 | 支持监控、中断、锁定和解锁实时会话 | |
| 历史日志 | √ | √ | √ | √ | 均支持 | 支持一键导出历史会话日志 | 支持一键导出历史会话日志 | |
| 会话视频 | √ | √ | √ | √ | 均支持 | 支持Linux/Windows审计全程录像并下载会话视频,并支持专用离线播放器播放 | 支持Linux/Windows审计全程录像、下载会话视频,并支持专用离线播放器播放 | |
| 运维报表 | √ | √ | √ | √ | 均支持 | 包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等 | 包括运维时间分布、资源访问次数、会话时长、字符数命令、传输文件数等 | |
| 自定义报表 | × | × | √ | √ | 仅系列2支持 | - | 支持自定义组合统计条件、数据范围 | |
| 运维报表导出与周期邮件推送 | √ | √ | √ | √ | 均支持 | 支持一键导出运维报表,并可定周期以邮件方式自动推送系统报表 | 支持一键导出运维报表,并可定周期以邮件方式自动推送系统报表 | |
| 日志备份 | √ | √ | √ | √ | 均支持 | 支持将历史会话日志备份至Syslog、FTP/SFTP、OBS | 支持将历史会话日志备份至Syslog、FTP/SFTP、OBS、NAS | |
高效运维
| 功能模块 | 功能子项 | 系列1 | 系列2 | 系列对比 | 系列1功能说明 | 系列2功能说明 | ||
|---|---|---|---|---|---|---|---|---|
| 标准版 | 专业版 | 标准版 | 专业版 | |||||
| Web浏览器运维 | HTML5无插件远程运维 | √ | √ | √ | √ | 均支持 | HTML5远程登录资源,无需安装客户端 | HTML5远程登录资源,无需安装客户端 |
| 一站式登录运维支持终端范围 | √ | √ | √ | √ | 均支持 | Windows、Linux、Android、iOS等系统上的主流浏览器无插件运维 | Windows、Linux等系统上的主流浏览器无插件运维 | |
| 批量登录 | √ | √ | √ | √ | 均支持 | 支持一键登录多个授权资源,多个资源可同时在一个浏览器页签运维 | 支持一键登录多个授权资源,多个资源可同时在一个浏览器页签运维 | |
| 协同会话 | √ | √ | √ | √ | 均支持 | 支持协同分享,邀请其他运维人员或专家协同运维 | 支持协同分享,邀请其他运维人员或专家协同运维 | |
| 文件传输 | √ | √ | √ | √ | 均支持 | 基于WSS的文件管理技术,支持文件上传/下载以及文件在线管理,实现多主机文件共享 | 基于本地磁盘映射、SFTP/FTP传输通道实现文件上传/下载 | |
| 命令群发 | √ | √ | √ | √ | 均支持 | 针对多个Linux资源开启群发键,同步执行操作 | 针对多个Linux资源开启群发键,同步执行操作 | |
| 第三方客户端运维 | 多种运维工具接入 | √ | √ | √ | √ | 均支持 | 支持接入Xshell、FileZilla、Navicat、DBeaver等工具 | 支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat、Toad for Oracle等工具 |
| SSH客户端运维 | √ | √ | √ | √ | 均支持 | 针对字符协议类主机资源,可通过运维客户端登录资源 | 针对字符协议类主机资源,可通过运维客户端登录资源 | |
| 数据库客户端运维 | × | √ | × | √ | 均支持 | 通过配置SSO单点登录工具,调用数据库客户端,实现一键登录目标数据库资源 | 通过配置SSO单点登录工具,调用数据库客户端,实现一键登录目标数据库资源 | |
| 文件传输客户端运维 | √ | √ | √ | √ | 均支持 | 通过调用FTP/SFTP客户端登录资源,实现客户端运维 | 通过调用FTP/SFTP客户端登录资源,实现客户端运维 | |
| 自动化运维 | 自动化运维总体能力 | × | √ | × | √ | 均支持,实现形态不同 | 支持线上多步骤复杂操作自动化执行 | 支持任务编排,自定义节点动作,多个节点任务组合成一个完整自动化任务 |
| 脚本管理 | × | √ | × | × | 仅系列1支持 | 支持Shell和Python类型脚本管理 | - | |
| 定期/批量运维任务 | × | √ | × | √ | 均支持,实现形态不同 | 支持命令执行、脚本执行、文件传输的运维任务,可定期、批量、自动执行 | 支持命令执行、文件上传、文件下载等节点动作组合,可定期、批量、自动执行 | |
工单申请
| 功能模块 | 功能子项 | 系列1 | 系列2 | 系列对比 | 系列1功能说明 | 系列2功能说明 | ||
|---|---|---|---|---|---|---|---|---|
| 标准版 | 专业版 | 标准版 | 专业版 | |||||
| 工单申请 | 基础工单申请与生命周期管理 | 部分支持,暂不支持数据库授权工单 | √ | √ | √ | 均支持,支持的工单类型与审批流程不同 | 支持提交访问授权工单、命令授权工单、数据库授权工单;支持提交、查询、撤销、删除工单 | 支持密码工单、紧急运维工单、离岸审批等 |
| 密码工单 | × | × | 部分支持,暂不支持密码回收 | √ | 仅系列2支持 | - | 申请密码使用后自动触发改密回收密码 | |
| 紧急运维工单 | × | × | √ | √ | 仅系列2支持 | - | 无需审批直接运维,产生告警通知管理员 | |
