零信任安全网关
替代VPN
支持国密改造
-
网关提供基于身份对端口进行访问控制的能力。通过在网络入口部署流量网关,默认关闭所有端口,拒绝一切TCP和UDP连接。只有用户通过SPA(单页Web应用)技术验证过身份之后,流量网关才对该用户所在的IP开放端口。未知身份的用户就无法轻易探测到企业对外开放的服务器端口了。
-
网关提供集中应用访问代理功能,并且在代理过程中,可以对外与用户通信支持HTTPS加密,对内与业务系统通信可以继续支持原有的HTTP协议。业务系统不用改造也可以享受传输数据加密服务。流量网关可支持AES、3DES、RSA等多种国际主流的商用加密算法,还可支持国密办加密算法(SM1、SM2、SM3、SM4),保障数据传输安全。
-
对外暴露的C/S业务系统,易于被攻击者通过伪造身份、越权访问手段窃取数据。网关提供了建立用户到C/S应用服务之间的网络隧道,对用户进行身份验证、动态授权的能力。通过在客户端建立虚拟网卡,建立网络隧道。在建立隧道之前,会根据管理平台预置的信息(谁能访问什么系统),验证用户的身份和授权,根据管理平台配置的安全策略,验证用户的IP、位置、设备配置,以及是否安装了风险软件等是否符合要求。进而实现对未知身份、可疑设备的拦截。解决C/S应用在增加高强度的身份认证、设备认证和访问控制等安全措施困难的问题。
-
流量网关提供B/S业务系统的统一代理转发的功能。通过集中代理用户的访问请求,根据流量网关控制模块预置的信息(谁能访问什么系统),验证用户的身份和授杈,根据网关控制模块配置的安全策略,验证用户的IP、位置、设备配置,以及是否安装了风险软件等是否符合要求。进而实现对未知身份、可疑设备的拦截。
-
流量网关控制模块提供对用户设备信息采集建立设备清单库的功能,并将设备与用户的绑定关系进行管理的能力。该功能通过在用户终端设备上安装终端安全代理服务客户端采集终端信息,感知客户端上报终端信息,建立设备清单库,再在用户登录建立用户与设备的绑定关系;这样安全管理员就可以在流量网关控制模块上集中管理设备,及设备与人员的绑定关系。可以对设备清单的统一管理,进而实现根据设备清单设置访问控制策略阻止非法设备访问企业数据。
-
流量网关控制模块动态访问控制应基于RBAC+ABAC的双重访问控制策略机制,在基于用户授权的情况,叠加基于用户信任等级、终端操作系统版本、浏览器、IP地址、时间、应用安全等级等属性的访问控制策略,进一步加强对用户访问的管控。因此,用户在访问控制时,不仅要求用户具有相应的应用访问权限,同时其当前相关属性还必须满足控制策略要求,才能实现对应用系统的访问。当前属性与控制策略相匹配,则根据控制策略对用户访问过程实施如阻断、二次认证、放行等动态访问控制。
