参数 是否必填 参数类型 说明 示例 下级对象 type 是 String 资产同步类型 eip

接口功能介绍 查询资产接口 接口约束 传参规范 URI GET /vfw/v2systemvrfbindquery 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 attachedType 否 String 绑定设备类型 INSTANCE云主机 eip 否 String eip eipId 否 String eipId eipName 否 String eip名称 filterTip 否 Boolean 过滤提示 firewallId 否 String 防火墙ID ipType 否 String IP类型，ipv4;ipv6; page 否 Integer 页码 1 protectStatus 否 Boolean 防护状态 size 否 Integer 条数 1 subnetId 否 String 子网id subnetIds 否 Array of Strings 子网id列表 vpcId 否 String vpc id vpcIp 否 String vpc ip vpcName 否 String vpc名称 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无

参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002

参数 参数类型 说明 示例 下级对象 id Long 自增id 1111 name String app名称 迅雷 appDescription String 应用描述 迅雷

接口功能介绍 根据ips规则类型获取所有列表 接口约束 传参规范 URI GET /vfw/v2ipsrulequeryAll 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Array of Objects 接口返回结果 IpsRuleView 表 IpsRuleView 参数 参数类型 说明 示例 下级对象 method String 获取method类别的规则 methodCn String 获取method类别的规则中文 枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "800", "message": "成功！", "returnObj": [ { "method": "VulnerabilityCSRF", "methodCn": "漏洞跨站伪造" }, { "method": "MalwareTrafficBackdoorTraffic", "methodCn": "恶意流量后门流量" }, { "method": "VulnerabilityCGIAttack", "methodCn": "漏洞CGI攻击" } ], "error": "CFW0000" }

状态码 请参考 状态码 错误码 请参考 错误码

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "200", "error": "CFW0000", "message": "成功!", "returnObj": { "createTime": 1725589924, "updateTime": 1729756428, "id": 6, "uid": "e974b0438b814fc08ec8e499643e530f", "regionId": "b342b77ef26b11ecb0ac0242ac110002", "firewallId": "c7cfe772fd3f482da630132e6548a19a", "vpatch": "on", "ddosProtect": "on", "runmode": "block", "version": 23, "avProtect": "off" }, "statusCode": "800" } 状态码 请参考 状态码 错误码 请参考 错误码

接口功能介绍 下发dpi配置并保存配置，实现配置持久化 接口约束 传参规范 URI POST /vfw/v2dpisave 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 ddosProtect 否 String DDos防护开关 firewallId 是 String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 runmode 否 String 运行模式 avProtect 否 String AV防护开关 vpatch 否 String 虚拟补丁开关 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 枚举参数 无 请求示例 请求url 无 请求头header {"regionid": "100054c0416811e9a6690242ac110002","userId":"562b89493b1a40e1b97ea05e50dd8170","accountId":"ca888cf3674d4a83a42dbd71f4a09e94","urlType": "CTAPI"} 请求体body { "firewallId":"c7cfe772fd3f482da630132e6548a19a", "vpatch":"on", "runmode":"block", "ddosProtect":"on", "avProtect":"off" }

配置建议 如果您对自己的业务流量特征还不完全清楚，建议先切换到“观察”模式。一般情况下，建议您观察一至两周，然后根据攻击日志分析网站访问情况： 如果没有发现任何正常业务流量被拦截的记录，则可以切换到“拦截”模式启用正常防护。 如果发现攻击日志中存在正常业务流量被拦截的记录，建议调整防护等级或者设置规则白名单来避免正常业务的误拦截。配置流程详见规则白名单。 说明 业务操作方面应注意以下问题： 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。 正常业务的URL尽量不要使用一些特殊的关键字（UPDATE、SET等）作为路径，例如：“www.ctyun.cn/abc/update/mod.php?set1”。 如果业务中需要上传文件，不建议直接通过Web方式上传超过50M的文件，建议使用对象存储服务或者其他方式上传。 防护效果 开启Web基础防护功能后，模拟常见命令注入攻击测试域名，WAF拦截了此条攻击，拦截效果如下： 同时，您可以在防护事件页面，查看攻击的防护日志。

匹配字段 适用的逻辑符 字段描述 请求参数值 包含、相等、正则匹配 请求的参数value，包括query和form，如/?p123中的123 请求参数名 包含、相等、正则匹配 请求的参数key，包括query和form，如/?p123中的p Cookie 包含、相等、正则匹配、统计次数、统计个数 请求的Cookie值 请求路径 包含、相等、正则匹配、统计次数、统计个数 请求的路径，不包含域名和参数，未解码 请求URI 包含、相等、正则匹配、统计次数、统计个数 请求的URI，带参数 请求头值 包含、相等、正则匹配 请求header的值 请求头名 包含、相等、正则匹配 请求header的名字 请求方法 包含、相等、正则匹配、统计次数、统计个数 请求方法 请求大小 大于等于、小于等于 请求的大小 请求Host 包含、相等、正则匹配、统计次数、统计个数 请求Host头的值 请求referer 头 包含、相等、正则匹配、统计次数、统计个数 请求referer头的值 请求UserAgent 包含、相等、正则匹配、统计次数、统计个数 请求UserAgent 请求体 包含、相等、正则匹配、统计次数 请求体 请求端口 相等、统计次数、统计个数 请求的端口 源IP 属于、不属于 请求来源IP

本文用图文的形式介绍Web应用防火墙

统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

此小节介绍云堡垒机访认证设置。 管理员登录并切换管理角色，打开系统管理 > 认证设置，该配置为全局认证策略，默认配置“静态认证”“令牌认证”，应用于所有账号，为空的情况下默认为静态认证方式。 全局避险 开启全局避险开关以后，所有账号都可以使用静态认证方式登录。

新增资产和资产账号 在使用云堡垒机进行运维前，管理员需要将主机资产和主机账号新增到云堡垒机系统中。 操作步骤 1. 管理员登录云堡垒机系统，角色身份切换到“管理角色”。 2. 在左侧导航栏，选择“资产管理 > 资产”，单击左上角的“新增”按钮。 3. 填写资产信息，单击保存提交。 4. 选择资产账号，单击“新增”，填写资产账号信息并勾选相应的访问协议。 说明 资产账号也可通过选择“资产管理 > 资产账号”，新增资产账号。 5. 单击“提交”，完成资产创建。

此小节介绍云堡垒机用户组管理。 多个用户加入一个“用户组”形成用户群组，通过对用户组授权可对用户进行批量授权。 仅“管理角色”，可管理用户组，包括新建用户组、编辑用户组、删除用户组等。 新增用户组 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户组”，进入“用户组”模块。 3. 单击“新增”，在弹出的“新增用户组”对话框中，填写用户信息。 参数 参数说明 用户组名 自定义用户组名。 用户 选择用户，新增用户操作请参见：用户章节。 描述 自定义用户组的描述。 后续操作 编辑用户组：选择需要修改的用户组，单击“操作”列的“编辑”，按照需求进行用户组数据的修改，单击“提交”完成用户组数据更新。 说明 同级间用户组名称不能重名。 删除用户组：选择需要删除的用户组，单击“操作”列的“删除”，在弹出的对话框中单击“确认”完成删除。 说明 关联用户的组不允许删除 非叶子节点不可删除

工单审批 1. 登录云堡垒机系统。 2. 在左侧导航栏单击“工单管理”>“工单审批”，进入工单审批页面。 3. 查找需要待审批的工单，单击“操作”列的“审批”按钮。 4. 在弹出的“工单审批”对话框中，查看待审批的工单内容，选择是否批准。

登录超时配置 您可在“登录超时配置”模块，配置用户登录超时时间和资产访问超时。 用户登录超时：可选择101440分钟，当用户超过设定时长无操作时，再次操作需要重新登录，默认值为30分钟。 资产访问超时：可选择101440分钟，当用户访问资产超过设定时长无操作时，再次操作需要重新登录，默认值为30分钟。 运维水印配置 您可在“运维水印配置”模块开启运维水印，开启运维水印后，默认显示“姓名”、“用户名”，您可选择是否显示“手机号”和“源IP”。 国密配置 国密配置默认关闭，若您需要开启国密配置，请在工单页面提交工单申请开通。 国密配置开启后，系统将开启USBKey认证，用户可以通过USBKey认证的方式登录堡垒机。 注意 开启国密配置后，堡垒机中保存的账户密码、个人信息和配置信息等将会使用国密算法加密。 若您需要为用户开启USBKey认证登录，需要先为用户开启USBKey证书认证。 开启国密配置后无法关闭，请您酌情选择。 获取USBKey认证证书 说明 此操作步骤仅以三未信安产品为例。 1.登录USBKey产品官网下载对应USBKey产品驱动。 2.将USBKey设备与电脑连接，并且打开UKEY.html页面，将右侧的按钮从上至下生成数据后，单击“导出证书”。 3.妥善保管好USBKey证书。

步骤 说明 可配置服务协议、状态、生效时间、失效时间等信息。 关联用户：赋权给单个系统用户。 关联用户组：批量赋权给整个账号组成员。赋权后，新加入组的用户账号即刻拥有该访问控制权限。 关联资产：授权访问单个资产。 关联资产组：授权访问整个账户组。授权后，新加入组的资产可立即被赋权用户访问。 授权访问可访问的资产账号、密码，授权后运维用户可使用该账号密码单点登录到该资产。

本小节介绍如何审计运维操作。 系统用户登录堡垒机并对已授权资产进行运维操作，管理员在堡垒机上可以查看到会话详情并播放运维录屏，实时监控运维会话并且可以中断高危风险会话。 前置条件 用户完成资产运维； 登录授权的审计管理员账号。 操作步骤 1. 使用“管理员账号”或“审计管理员”登录云堡垒机系统。 说明 若使用管理员账号登录，需在页面右上角将角色身份切换到“审计角色”。 2. 在左侧导航栏，选择“会话日志 > 字符审计”。 3. 设置搜索条件，单击查询，可快速检索到想要审计的会话记录。 4. 通过查看按钮，查看用户的详细操作记录。 5. 通过播放按钮，可在线实时审计或回放用户的操作行为。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至审计角色，打开 “系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

此小节介绍云堡垒机图形审计。 可审计对象为授权的资产数据角色产生的图形访问会话，支持访问实时播放和回放、键盘记录、剪切板记录和中断会话。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择 “会话日志 > 图形审计”。 2.单击“操作”列的“键盘”或“更多 > 剪切板”可查看记录，结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本章节介绍如果管理云堡垒机的工单审批规则。 工单功能是指运维用户在申请资源访问权限或命令使用权限时，可通过工单申请资源的范围，以及提交工单的方式。 新增工单审批规则 1. 使用管理员账号登录云堡垒机系统。 2. 在左侧导航栏选择“工单管理”>“审批规则”，进入“审批规则”页面。 3. 单击左上角的【新增】按钮，弹出“规则审批”配置窗口。 4. 在弹出的对话框中配置相关内容，具体见下表，配置完成后单击“提交”。 规则名称 输入您的审批规则名称。 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件操作授权 数据库命令授权 数据导出授权 注意 字符授权工单默认开通所有命令的使用权限，若您需要限制高危命令的使用请在“字符命令授权”模块将对应用户纳管入相关授权规则当中。 审核人 选择该审批规则的具体审核人员，可多选。 用户（可选） 选择该条审批规则可以提交的相关用户，可多选。 用户组（可选） 选择该条审批规则可以提交的相关用户组，可多选。 后续管理 若需修改审批规则，可单击“操作”列的“编辑”按钮，在弹出的编辑窗口重新配置相关内容。 若不再需要某条审批规则 ，可在单击“操作”列的“删除”按钮。删除后的信息不能找回，请谨慎操作。

本节介绍云堡垒机的实例状态，以及不同状态的含义、影响、原因和解决措施。 云堡垒机实例常见状态说明如下： 状态 含义&造成原因 影响 解决措施 运行中 堡垒机正常开机运行 离线 堡垒机失去了到控制中心的连接，心跳信息没有成功发送到控制中心侧。 一般是出公网方向不通导致。 影响用户的升级和续订。 后台无法及时监控资源状态，导致资源占满堡垒机服务不可用时，无法及时监控告警。 说明 此状态属于监控告警，暂时不影响堡垒机本身业务，但建议及时排查处理。 检查网络，确保堡垒机网络可连通公网。 冻结中 堡垒机资源已过期冻结，但未销毁。 用户无法使用堡垒机，堡垒机处于关机状态。 在资源销毁前及时续费。 创建中 订购堡垒机后，正在初始化。 用户无法使用堡垒机，堡垒机处于初始化阶段。 一般等待约15分钟后，会自动转为“运行中”状态。 如果状态长时间未发生变化，请检查网络，确保堡垒机网络可连通公网。 初始化失败 堡垒机创建失败 用户无法使用堡垒机。 请提交工单联系技术支持进行排查。 升级中 正在升级实例版本 用户无法使用堡垒机。 一般等待约15分钟后，会自动转为“运行中”状态。 如果状态长时间未发生变化，请检查网络，确保堡垒机网络可连通公网。

本小节主要介绍如何创建工单。 当运维用户不具备某些资源访问控制权限时，可主动提交工单，申请相应资源访问控制权限。 约束条件 已被纳入审批规则的用户名单内。 创建工单 1. 使用运维用户登录云堡垒机。 2. 在左侧导航栏选择“工单管理 > 工单申请”，进入工单申请页面。 3. 单击左上角的“新增”按钮，弹出“工单申请”对话框。 4. 在弹出的对话框中输入相关信息，具体填写参数可以参考下表，填写完成后单击“提交”。 参数 说明 基本信息 工单名称 输入您待提交工单的名称。 基本信息 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件传输授权 数据库命令授权 资产 资产 选择您需要访问的资产或者命令，可多选。 资产 资产组 选择您需要访问的资产组，可多选。 账号 资产账号 选择您需要授权的资产账号。 注意 若选择授权的资产账号为二次登录账号（例如root），需同时授权二次登录的源账号（例如添加root资产账号时配置的二次登录源账号testuser），否则将无法完成二次登录。 协议 服务 （仅工单类型选择“资产访问授权”时需要配置）默认全部服务，也支持选择单个服务。 敏感命令 提示符正则 （仅工单类型选择“字符命令授权”时需要配置）输入待授权命令的提示符正则式。 敏感命令 命令正则式 （仅工单类型选择“字符命令授权”时需要配置）输入待授权命令的正则式。 敏感命令 文件传输 （仅工单类型选择“文件传输授权”时需要配置）选择需要授权的文件传输操作，包括上传、下载、删除等。 敏感命令 文件或目录 （仅工单类型选择“文件传输授权”时需要配置）配置策略生效的文件或目录的正则表达式，可配置多个，多个以回车进行分隔。 敏感命令 sql命令类型 （仅工单类型选择“数据库命令授权”时需要配置）选择需要授权的SQL命令类型。 授权时间 生/失效日期 配置权限生效的起始和截止日期。 支持选择1天、3天、7天、15天、长期有效，或者自定义选择日期。 授权时间 生/失效时间 配置权限生效的具体时间点。 支持选择全天、闲时（0点6点），或者自定义时间。 其他 描述 填写申请工单的相关描述。

步骤 说明 步骤一：配置访问授权基本信息 可配置服务协议、状态、生效时间、失效时间等信息。 步骤二：关联账号或账号组 关联账号：赋权给单个系统用户。 关联账号组：批量赋权给整个账号组成员。赋权后，新加入组的用户账号即刻拥有该访问控制权限。 步骤三：关联资产或资产组 关联资产：授权访问单个资产。 关联资产组：授权访问整个账户组。授权后，新加入组的资产可立即被赋权用户访问。 步骤四：关联资产账号 授权访问可访问的资产账号、密码，授权后运维用户可使用该账号密码单点登录到该资产。

后续操作 启用/禁用授权规则：可单个或批量启用/禁用授权规则，禁用的授权规则状态将更新为“无效”，启用的授权规则状态更新为“有效”，只有状态为“有效”的规则授权会生效。 编辑授权规则：选择需要修改的规则，单击“操作”列的“编辑”，按照需求进行文件操作授权数据的修改，单击“提交”完成文件操作授权数据更新。 删除授权规则：选择需要删除的规则，单击“操作”列的“删除”，在弹出的对话框中单击“确定”完成删除。

参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 主机id 700c065cbbd35b8aa07d551dba4a5141

此小节介绍无法正常启用客户端运维工具运维资产的排查方法。 无法正常启用客户端运维工具运维资产一般是因为未下载或未在云堡垒机系统中配置需要使用的客户端工具，用户可根据以下步骤排查。 确认是否配置需要使用的客户端工具 打开运维设置，勾选要调用的客户端，保存配置。 确认是否已正确安装并配置客户端工具。 > 云堡垒机不提供Xshell、vnc等客户端运维工具下载，用户需要自行去官网下载安装需要使用的软件。 Windows的客户端路径配置，需要将软件启动程序文件路径严格配置到运维设置客户端路径配置中。例如：Xshell默认安装路径C:Program Files (x86)NetSarangXshell 7Xshell.exe，其他的软件或者安装到了其他的路径，根据自己的实际情况配置即可。 Mac OS不需要客户都按照路径配置，使用的应用安装在应用程序（Application）路径中就可以，例如下图FileZilla。

此小节介绍云堡垒机字符审计。 审计对象为授权的资产数据角色产生的字符访问会话（ssh、telnet），支持查看命令列表，回放访问录屏，中断活动会话，实时播放会话，下载会话审计文件。 操作步骤 1.管理员登录并切换至“审计角色”，选择“会话日志 > 字符审计”。 2.单击“操作”列的“查看”可打开详细命令列表。 3.单击“操作”列的“播放”可使用浏览器在线播放会话。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 一、访问授权 1、管理员登录堡垒机。 2、左侧菜单选择“授权管理>资产访问授权”。 3、选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 二、命令授权 1、左侧菜单选择“授权管理 > 字符命令授权”。 2、在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3、在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4、配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5、文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6、数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

本小节介绍云堡垒机资产运维两种方式。 堡垒机运维员可以通过客户端运维和网页运维方式对已授权的资产进行运维。 客户端运维 前置条件 堡垒机成功纳管资产，且堡垒机与资产的网络可连通。 运维账号已开通且分配了运维角色，同时对账号进行了资产访问授权。 本地终端已安装访问控件并且正确对访问控件进行设置。 操作步骤 1. 用户账号登录云堡垒机系统。 2. 角色身份切换到“访问角色”。 3. 在左侧导航栏，选择“资产访问”。 4. 单击目标运维主机，在右下方访问图标选择访问方式（xshell/putty/secureCRT/vnc/mstsc/Filezila/WinSCP）访问。 网页运维 用户可通过网页直接访问资产，无需安装运维客户端即可完成运维。 说明 通过Html5登录堡垒机只支持进行简单的运维操作，复杂运维可能出现卡顿，显示异常等问题，建议您安装插件并且使用使用mstsc，vnc等方式进行运维。 操作步骤 1. 用户账号登录云堡垒机系统。 2. 角色身份切换到“访问角色”。 3. 在左侧导航栏，选择“资产访问”。 4. 单击目标运维主机，在右下方访问图标选择webterminal方式访问。