一、访问堡垒机

访问学校的堡垒机只能在校园网环境内访问，不包括的如校园内自行搭建的未正确接入校园网所铺设的局域网线路及无线路由器产生的WIFI接入、家庭/宿舍宽带、移动数据流量等环境。只能在学校信息办提供有线网络接入环境、学校SUS无线节点的WIFI网络环境、通过授权的VPN账号拨入后的网络环境下访问。

通常建议使用谷歌浏览器或者微软Edge浏览器打开后输入https://10.10.20.199/或者https://bastion.sus.edu.cn/ 打开堡垒机登录界面。

二、登录堡垒机

在堡垒机的登录首页目前有三种认证策略，请注意不同身份的运维人员需选择不同的认证策略来认证，具体如下：

三、运维模式选择

现堡垒机具备2种运维模式：Web运维与运维助手，二种运维模式可在登录堡垒机后的右上角“个人设置”按钮内切换到“个人设置”选项卡中选择。

1.Web运维：Web 运维是适用性最广、最简单的运维方式，无平台限制，且无需额外安装插件、客户端 和配置运维参数等，启用后即可直接在浏览器内进行运维。注意！在Web运维模式下的Windows服务器中下载文件，可打开计算机文件-发现虚拟磁盘-直接把需要的下载文件放入虚拟磁盘download文件夹-浏览器会提示文件下载。如下图所示。

在Web运维模式下如需与宿主环境交互复制粘贴的，需要在打开该Windows主机的浏览器页面的提示中，选择“允许”操作，授权剪贴板的交互。如下图所示。

2.运维助手：运维助手模式是具备完全功能的运维方式，适用于Windows、Linux和MacOS等主流操作系统和常见的浏览器。使用此运维方式需在本地安装运维助手，来协调浏览器与操作系统间的对接。

切换成运维助手模式后，需在登录堡垒机界面的右上角“下载”中分别将caroot、plug-in、运维助手3个组件分别按顺序下载后依次执行默认安装即可。运维助手可安装到正式目录内（如C:\Program Files），不容易被一些清理工具默认当临时文件清理掉。

注意：堡垒机会根据访问终端的操作系统类型自动提供对应版本的运维助手软件，而非列出所有版本的运维助手；运维助手可能被本地杀毒软件误报/误杀导致无法正常使用，请注意加白名单或关闭杀毒软件，加载后运维助手图标会运维在任务栏右小角，如下图所示。

接下来可右键点击运维助手图标，选择运维配置来配置本地运维客户端工具的绝对路径，运维助手会以网页的形式打开一个默认http://127.0.0.1:8888/opera的页面提供配置，如下图所示，将需要的工具路径填入后，点击下方的保存并关闭来生效。

之后对于目标主机的运维堡垒机将会调用用户本地计算机上的工具来打开目标服务器进行操作。如果点击目标主机运维图标后提示“运维助手未启动”的弹框，可以点击确定并忽略，

并在且调用RDP远程桌面进行连接时，请务必按需勾选如下图所示的调用资源，如驱动器、剪贴板等，方便运维目标与宿主环境之间的交互。

四、目标运维

在完成上述步骤后，即可开始实施运维，堡垒机页面中主要三个区域如下图所示，红色区域表示管理员所分配给该账号可进行运维的分组，蓝色区域表示当前分组中涵盖的目标资源，绿色区域表示针对该指定的目标资源有哪些可运维的授权途径。

针对Windows主机，堡垒机会调用本地计算机的RDP工具来进行远程打开，针对类Linux主机，堡垒机支持SecureCRT、Putty、Netterm、FlashFXP、WinSCP、Xshell六个工具来操作，但推荐免费开源的Putty+WinSCP工具组合会较为快捷。

五、目标运维的工具选择

现堡垒机支持以下目标运维工具：

运维工程师可根据自己的使用习惯向管理员反馈调整分配目标的运维工具，但堡垒机内部已经包含了免费开源的运维工具，对于收费激活使用的工具暂不提供。

六、常见问题及注意事项

1.学校堡垒机使用采用实名制方式开具运维账号，一人一号，请勿分享使用。

2.堡垒机登录密码最长期限单次为190天（密码生效日起有效期为90天，提前10天提醒修改，密码过期后100天内允许用户自行修改），超过190天后用户将无法自行修改密码，并无法使用原密码登录了，此时需要联系堡垒机管理员协助修改密码。

3.堡垒机登录密码输错多次后将会被系统锁定，锁定15分钟后才可解锁使用，如遇紧急情况可联系堡垒机管理员手动解锁处理。

4.由于堡垒机是绑定运维目标的账号和密码自动化登录使用的，请运维工程师切勿擅自修改运维目标的密码，避免无法再次使用。

5.运维账号开具时都设定了运维期限，逾期将会限制账号登录，如遇逾期但还需运维，请运维工程师联系运维目标业务系统的校方主管部门管理员/对接人，说明情况后，请其为你向学校信息办走“办事大厅”在线办理堡垒机运维账号的续延申请。