堡垒机是用于解决“运维混乱”的。当公司的运维人员越来越多，当需要运维的设备越来越多，当参与运维的岗位越来越多样性，如果没有一套好的机制，就会产生运维混乱。具体而言，你很想知道“哪些人允许以哪些身份访问哪些设备”而不可得。

当前环境中，随着企业规模的不断扩大，各种安全设备和网络设备，在各类产品提供安全保障，方便我们对网络安全进行管理的时候，他们本身却可以隐藏一些安全隐患，现网中，以下问题随着规模扩大，都会成为管理者急需解决的问题。

1. 账号缺乏管理：账号管理混乱，缺乏对资源账号统一管理和统一认证。

2. 权限细粒度不够：采用粗放式的权限管理，授权工作量大，缺乏统一的授权策略。

3. 操作无法审计：系统账号管理与授权审计缺乏，用户操作无法审计。

4. 造成事故无法定位：日志记录不全面，无法实名制审计，事后无法追责。

从功能上讲，堡垒机系统综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，它通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。

在账号管理方面：包括主账号和从账号管理，主账号为用户账号，从账号为原IT系统帐号。通过主从账号的方式，将身份和授权分离开来，增强身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供保障。

在身份认证方面: 为提高访问安全性，系统提供高强度身份认证功能，支持本地认证与第三方认证服务器对接，如AD域、LDAP、Radius等，另外支持OTP动态令牌、短信、UsbKey、数字证书、人脸识别等多种认证方式进行双因子强认证，保证身份可靠性。

在集中授权方面：强调的“集中”是逻辑上的集中，而不是物理上的。系统提供统一的授权界面，不但可以做到基于应用边界的粗粒度授权，例如授权用户可以访问哪些资产，还可以做到基于应用内部的细粒度授权，例如限制用户的操作行为。

在操作方面：将人员的操作记录为日志，管理人员可以在系统中查看相关的审计日志。操作审计主要审计人员的帐号管理、认证、账号分配情况、权限分配情况、账号使用（登录、资源访问、操作行为）等情况，所有操作有据可查。

通过严格的堡垒机部署，使得所有密码集中管理，公司获得对关键系统特权账号的掌控权。

确保所有系统能够执行公司密码安全策略：复杂度，定期更改，一次性密码，确保对所有系统的“合法”访问： 合适的人，合适的时间，合适的地点，做合适的事情。

确保公司对所有行为的完全的审计行为。使得企业有更高的信息系统可管理性和安全性。