运维用户在经过堡垒机进行运维操作时，堡垒机相对于终端运维用户是运维会话的服务端，接收用户的运维指令，相对于目标被管资源是客户端，向目标资源输送运维指令，并接收返回结果，并将结果返回至终端运维用户操作界面。协议代理模块在此过程中，将相应的指令和结果发送至行为审计模块，此外还可根据指令黑白名单进行指令控制和二次审批。

图2 应用发布模块

如图2所示，管理员用户将客户端工具安装在应用发布服务器上，而运维用户终端无需安装，运维用户通过堡垒机WEB界面进行对目标资源的单点登录，选择相应的客户端工具，堡垒机实现对工具的远程自动调出、密码代填和操作审计功能，具体如下：

1、运维用户通过HTTPS访问堡垒机WEB界面；

2、堡垒机对运维用户的身份进行认证；

3、认证成功后，运维用户即进入堡垒机运维主界面，同时对运维用户的权限进行鉴别，展现运维用户权限范围内的资源列表；

4、运维用户选择需要单点登录的被管资源、相关资源账号和运维客户端工具；

5、堡垒机实现对工具的远程自动调出、密码代填，并在用户运维操作过程中进行录像审计。

堡垒机通过这两种互补的技术方案，实现对自然人身份以及资源、资源账号的集中管理，建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管，避免核心资产（服务器、网络设备、安全设备等）损失，保障业务系统的正常运营。

作为国内最早研发和业界领先的堡垒机厂商之一，启明星辰堡垒机产品历经5年多的持续发展，已拥有目前国内最多的客户群，包括电信运营商、金融、能源、政府、烟草、传媒、公安和企事业单位等。