Ⅰ 网络安全行业专题报告:零信任,三大核心组件,六大要素分析
获取报告请登录【未来智库】。
1.1 零信任架构的兴起与发展
零信任架构是 一种端到端的企业资源和数据安全 方法,包括身份( 人和 非 人的实体)、凭证、访问管理理、操 作、端点、宿主环境和互联基础设施。
• 零信任体系架构是零信任不不是“不不信任”的意思,它更更像是“默认不不信任”,即“从零开始构建信任”的思想。 零信任安全体系是围绕“身份”构建,基于权限最 小化原则进 行行设计,根据访问的 风险等级进 行行动态身份 认证和授权。
1.2 零信任架构的三大核心组件
1.3 零信任的六大实现要素——身份认证
2.1 零信任安全解决方案主要包括四个模块
2.2 零信任的主要部署场景
2.3 零信任将会对部分安全产品带来增量效应
2.4 零信任将会成为安全行业未来的重要发展方向
零信任抓住了了 目前 网络安全 用户的痛点, 零信任是未来 网络安全技术的重要发展 方 向。根据Cybersecurity的调查, 目前 网络 安全的最 大的挑战是私有应 用程序的访问 端 口 十分分散,以及内部 用户的权限过多。 62%的企业认为保护遍布在各个数据中 心 和云上的端 口是 目前最 大的挑战,并且 61%的企业最担 心的是内部 用户被给予的 权限过多的问题。这两点正是零信任专注 解决的问题,现在有78%的 网络安全团队 在尝试采 用零信任架构。
3、投资建议
企业业务复杂度增加、信息安全防护压 力力增 大,催 生零信任架构。
企业上云、数字化转型加速、 网络基 础设施增多导致访问资源的 用户/设备数量量快速增 长, 网络边界的概念逐渐模糊; 用户的访问请求更更加复 杂,造成企业对 用户过分授权;攻击 手段愈加复杂以及暴暴露露 面和攻击 面不不断增 长,导致企业安全防护压 力力加 大。 面对这些新的变化,传统的基于边界构建、通过 网络位置进 行行信任域划分的安全防护模式已经 不不能满 足企业要求。零信任架构通过对 用户和设备的身份、权限、环境进 行行动态评估并进 行行最 小授权, 能够 比传统架构更更好地满 足企业在远程办公、多云、多分 支机构、跨企业协同场景中的安全需求。
零信任架构涉及多个产品组件,对国内 网安 行行业形成增量量需求。
零信任的实践需要各类安全产品组合, 将对相关产品形成增量量需求:1)IAM/IDaaS等统 一身份认证与权限管理理系统/服务,实现对 用户/终端的 身份管理理;2)安全 网关: 目前基于SDP的安全 网关是 一种新兴技术 方向,但由于实现全应 用协议加密流 量量代理理仍有较 大难度,也可以基于现有的NGFW、WAF、VPN产品进 行行技术升级改造;3)态势感知、 SOC、TIP等安全平台类产品是零信任的 大脑,帮助实时对企业资产状态、威胁情报数据等进 行行监测;4)EDR、云桌 面管理理等终端安全产品的配合,实现将零信任架构拓拓展到终端和 用户;5) 日志审计:汇聚各 数据源 日志,并进 行行审计,为策略略引擎提供数据。此外,可信API代理理等其他产品也在其中发挥重要 支撑 作 用。
零信任的实践将推动安全 行行业实现商业模式转型,进 一步提 高 厂商集中度。
目前国内 网安产业已经经过 多年年核 心技术的积累,进 入以产品形态、解决 方案和服务模式创新的新阶段。零信任不不是 一种产品, 而 是 一种全新的安全技术框架,通过重塑安全架构帮助企业进 一步提升防护能 力力。基于以太 网的传统架构 下安全设备的交互相对较少,并且能够通过标准的协议进 行行互联,因 而导致硬件端的采购 非常分散,但 零信任的实践需要安全设备之间相互联动、实现多云环境下的数据共享,加速推动安全 行行业从堆砌安全 硬件向提供解决 方案/服务发展,同时对客户形成强粘性。我们认为研发能 力力强、产品线种类 齐全的 厂商 在其中的优势会越发明显。
由于中美安全市场客户结构不不同以及企业上公有云速度差异,美国零信任SaaS公司的成功之路路在国内还 缺乏复制基础。
美国 网络安全需求 大头来 自于企业级客户,这些企业级客户对公有云的接受程度 高,过 去 几年年上云趋势明显。根据Okta发布的《2019 工作报告》,Okta客户平均拥有83个云应 用,其中9%的 客户拥有200多个云应 用。这种多云时代下企业级 用户统 一身份认证管理理难度 大、企业内外 网边界极为 模糊的环境,是Okta零信任SaaS商业模式得以发展的核 心原因。 目前国内 网络安全市场需求主要集中于 政府、 行行业( 金金融、运营商、能源等),这些客户 目前上云主要以私有云为主, 网安产品的部署模式仍 未进 入SaaS化阶段。但随着未来我国公有云渗透率的提升,以及 网安向企业客户市场扩张,零信任相关 的SaaS业务将会迎来成 长机会。
投资建议:
零信任架构的部署模式有望提升国内 网安市场集中度,将进 一步推动研发能 力力强、拥有全线 安全产品的头部 厂商扩 大市场份额、增加 用户粘性,重点推荐启明星 辰辰、绿盟 科技 、深信服、南洋股份, 关注科创新星奇安信、安恒信息。
(报告观点属于原作者,仅供参考。作者:招商证券,刘 萍、范昳蕊)
如需完整报告请登录【未来智库】。
Ⅱ 零信任落地实践方案探讨
文 华润医药商业集团有限公司智能与数字化部 孙宏鸣
零信任概念的提出,彻底颠覆了原来基于边界安全的防护模型,近年来受到了国内外网络安全业界的追捧。
所谓零信任顾名思义就是“从不信任”,那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型,而向零信任安全模型进行转变呢?零信任是企业安全建设中必须经历的安全防护体系技术革新,但它必然要经历一个长期 探索 实践的过程。
一、零信任的主要安全模型分析
云计算和大数据时代,网络安全边界泛化,内外部威胁越来越大,传统的边界安全架构难以应对,零信任安全架构应运而生。作为企业,该如何选择“零信任”安全解决方案,为企业解决目前面临的安全风险?
目前“零信任”安全模型较成熟的包括安全访问服务边缘(SASE)模型和零信任边缘(ZTE)模型等。以这两种模型为例,首先要先了解目前模型的区别,探讨各自的发展趋势,再选择适合企业的落地实施方案。
对 SASE 模型,身份驱动、云架构、支撑所有边缘以及网络服务提供点(PoP)分布是其主要特征。SASE 模型扩展了身份的定义,将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等,这些要素都被归纳成了身份,所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同,SASE 不会强制将流量回传到数据中心进行检索,而是将检查引擎带到附近的 PoP 点,客户端将网络流量发到 PoP 点进行检查,并转发到互联网或骨干网转发到其他 SASE 客户端,从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务(SECaaS),即提供所有云服务特有的功能,实现最大效率、方便地适应业务需求,并将所有功能都放置在 PoP 点上。
SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本,整合供应商和厂家的资源,为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构,减少 IT 团队管理及运维安全产品的数量,降低后期运维的复杂性,极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程,并对未授权的数据进行保护。
SASE 模型强调网络和安全紧耦合,网络和安全同步建设,为正在准备搭建安全体系的企业提供了较为理想的路径。反之,已经搭建或正在搭建安全体系过程中的企业,如果要重构企业网络结构,是个极大的挑战,也是一笔不小的投入。所以,SASE 模型可能更适用于面对终端用户的零售行业,为这类企业提供完整的安全服务,不需要企业在每一个分支节点上搭建一整套安全体系,便于统一管理并降低建设成本。
ZTE 模型的重点在零信任。一是数据中心零信任,即资源访问的零信任,二是边缘零信任,即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块,本质上是一个概念。ZTE 模型强调网络和安全解耦,先解决远程访问问题,再解决网络架构重构问题。
二、华润医药商业集团零信任的实践
华润医药商业集团有限公司(以下简称“公司”)作为华润下属的大型医药流通企业,在全国分布百余家分子公司,近千家药店,日常业务经营都离不开信息化基础支撑,所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求,完善网络安全防护能力,公司同样十分重视网络安全建设,目前同国内主流安全厂商合作,建立了以态势感知为核心,贯穿边界与终端的纵深防御体系,并通过连续两年参与攻防演练,不断提升网络安全人员专业水平,通过攻防实战进一步优化网络安全建设。
但公司在涉及云计算、大数据、物联网等技术领域时,现有的网络边界泛化给企业带来的安全风险不可控,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施,而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。
公司选择了 SASE(安全访问服务边缘)和ZTE(零信任边缘)两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。
公司分支企业众多,几乎覆盖全国范围,存在安全管控难、处置难、安全性低、资源灵活性差等问题,并缺少整体统一的长效运营机制。基于以上问题,公司参考了 SASE 模型的解决方案,将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案,由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构,而是分为三类情况使用不同的方案。
第一类是改变网络安全管理方式,主要针对区域公司。 由于大部分区域公司已经搭建了相对成熟的安全体系,只将原有的传统广域网链路改为就近接入运营商 PoP 点,并将原有的双线冗余线路的备用线路使用软件定义广域网(SD-WAN)技术进行替换,并通过服务质量(QoS)机制将主营业务与办公业务进行合理切分,大大提高了网络使用效率,降低费用成本,并且可以通过统一的管理平台对广域网进行管理,统一下发配置安全策略,提高整体安全管控和处置。
第二类是逐层汇聚、分层管理,主要针对二、三级分支机构。 这类单位安全体系虽已建设,但还未达到较高的程度,通过就近接入 PoP 点或汇聚到区域公司,由运营商提供部分安全服务或由区域公司进行统一管控。
第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。 使用 SD-WAN 安全接入方案就近接入 PoP 点,由运营商提供整体的安全服务,从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整,提供全面、一致的安全服务 , 同时降低整体安全建设成本,提高工作效率。
近两年,公司办公受新冠疫情的影响,员工居家办公成为常态化。作为虚拟专用网络(VPN)产品的使用“大户”,公司原有的 VPN 账户众多 ,传统 VPN 在使用过程中已经难以满足当前业务的需求,一些问题逐渐暴露,经常出现不同程度的安全风险。传统 VPN 架构存在很多问题,如权限基于角色固定分配,不够灵活,在业务生成中及重保等特殊时期,粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网,本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 VPN 业务运维,涉及下级单位 VPN 问题均需要总部人员处理,诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 VPN 客户端的兼容性不同,兼容性问题也是经常被员工吐槽的地方。在 VPN 使用中,基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。
为此,公司参考了 ZTE 模型的解决方案,首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点,以零信任理念为指导,结合深信服软件定义边界(SDP)架构的零信任产品,构建了覆盖全国办公人员的零信任远程办公平台。
SDP 架构的零信任产品,对访问连接进行先认证、再连接,拒绝一切非法连接请求,有效缩小暴露面,避免业务被扫描探测以及应用层分布式拒绝服务攻击(DDoS)。通过单包认证(SPA)授权安全机制实现业务隐身、服务隐身,保护办公业务及设备自身。对于没有安装专有客户端的电脑,服务器不会响应来自任何客户端的任何连接,无法打开认证界面及无法访问任何接口。具备自适应身份认证策略,异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时,零信任平台强制要求用户进行二次认证、应用增强认证,确保用户身份的可靠性。
零信任的试点应用,提升了公司的网络安全性,简化了运维。但基于公司现状及规划,试点工作还需进一步同厂商进行下一步的工作落地和 探索 。在使用体验优化方面,由于 SDP 架构的数据转发链更多,零信任与 VPN 使用流畅度上差异不大,在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版(IPV6),依据相关政策要求,需要进行 IPV6 业务改造,通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯,将零信任产品进一步同公司现有办公平台进行对接,实现身份、业务的统一管理,实现单点登录。公司零信任安全体系建设的下一步工作,是将公司现有安全体系建设进一步与零信任产品体系打通,实现数据互通,进一步提高管理信息化中的安全可靠性。
三、结语
零信任安全架构对传统的边界安全架构模式重新进行了评估和审视,并对安全架构给出了新的建设思路。但零信任不是某一个产品,而是一种新的安全架构理念,在具体实践上,不是仅在企业网络边界上进行访问控制,而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制,从而真正实现“从不信任,始终验证”。
(本文刊登于《中国信息安全》杂志2022年第2期)
Ⅲ 零信任,未来网络安全体系的“骨架”
企业实现零信任网络能够获得什么效果?实施零信任网络使得企业网络安全水平提升、合规审计能力提升、生产效率提升,其可作为网络安全体系的“骨架”连接其他安全技术,笔者认为零信任网络是更符合发展潮流的IT设施建设方案。
零信任网络实现了身份、设备、应用的动态信任评估体系,并通过信任评估进行作用于资源访问路径上持续的访问控制。零信任技术使得网络平台具备层次化的、一致的、持续的访问控制能力。
在边界防护体系中,安全产品堆砌在网络边界,意图建立起一道防线阻隔网络攻击,内网则成为信任区,内网的东西向流量缺少最基础的访问控制能力。这种体系下内网计算机失陷后,攻击者能够利用设备固有的信任和已授予用户的信任来进一步横向移动、访问资源。
零信任网络则以资源保护为核心诉求规划防护体系,通过在所有资源访问路径上建立访问控制点,收敛了资源暴露面,综合资源访问过程中包括身份、设备、环境、时间在内的所有网络空间因素对访问行为进行可信度判断,以此为依据从网络可见性、资源可见性、资源访问权限三个层级进行访问控制。
典型的企业IT系统建设呈现烟囱式,各个系统相互独立,企业成员需要在每个系统上建立账号,弱密码、各系统用同一个密码、密码长期不更改等问题无法根除。当人员流动、人员职责变更时账号身份管理出现疏漏难以避免,导致人员权限膨胀,遗留大量僵尸账号等问题。在面对网络攻击时,这些失控身份将成为攻击者渗透企业的切入点,获取资源的入口。企业可以通过建设IAM系统,对身份统一管理,建立多因子、SSO认证,缓解身份失控风险,强化认证强度和可信度。然而IAM系统是基于应用层进行访问控制,无法防护对操作系统、中间件等的攻击。
零信任网络在围绕资源建立了访问控制点后,进一步实现以身份为中心访问控制策略。工程实践上,零信任架构能够与IAM系统对接,集成现有身份和访问管理能力,实质上扩展了IMA的作用边界,将其对应用层的保护延伸到网络接入层。
企业的办公环境正变得越来越复杂,员工需要能使用公司配发资产、个人自带设备或者移动设备访问企业资产,这对企业网络安全带来巨大挑战。企业IT和安全人员需要面对设备黑洞,有多少员工自带办公设备、哪个设备现在是谁在用、某个IP是谁的什么设备,当应急响应事件发生时如何快速定位到谁的设备出现异常。EPP、EDR、CWPP等主机防护安全产品能够对设备资产进行管理,但是缺少将设备资产与企业数字身份关联的能力。
零信任网络为所有设备建立标识,关联设备与使用者身份,将设备状态作为访问控制策略的关键因素,纳入信任度评价体系,不同设备类型、不同设备状态计算出不同信任度,不同信任度设定合理的资源访问权限。在实践中,设备管理可以采用灵活的解决方案,例如对公司设备资产颁发专用数字证书赋予唯一身份认证,员工自带设备则安装客户端软件进行基线检测。
零信任体系能够与传统安全产品集成,或者直接使用传统安全产品实现。以NIST抽象的零信任架构为例:策略决策点可与IAM系统对接实现身份信息的获取和认证授权,持续评估可结合UEBA、SOC、SIEM等系统实现,设备资产的标识和保护可以使用EDR类产品,设备资产可以安装DLP类产品实现端到端的资源保护。
满足等保2.0的解决方案
等保2.0完善了我国网络安全建设标准,其提出的一个中心三重防护思想与零信任思想高度契合。在CSA发布的《SDP实现等保2.0合规技术指南白皮书》中,CSA中国区专家梳理了SDP与等保技术要求点的适用情况,零信任技术在等保2.0技术要求的网络架构、通信传输、边界安全、访问控制、安全审计、身份鉴别等要求项上均有良好适用性。
企业将信息系统、资源部署在私有或者云数据中心,员工通过办公场所的有线固网、企业专有WIFI等方式接入网络获取工作所需资源。外出员工、企业分支机构、合作伙伴则通过VPN与数据中心建立连接,进行日常办公和信息交互。用户使用不同工具对资源进行访问。
在零信任网络下,无论员工在办公场所、机场、高铁,无论资源在私有数据中心还是公有云上,其都能通过零信任网络提供的“身份、设备、应用”信任链访问有权访问的资源。
随着企业数据中心和分支机构增多,异地数据中心繁多,核心应用上云,大量应用第三方SaaS,其办公环境愈发复杂,员工一项工作需要多种资源,所需资源分布在不同物理设施,工作时常要登录多个系统,来回切换不同的VPN。
零信任网络通过统一的认证管理,使得员工一次登录即可获得应有的应用访问权限,同时使用部署在不同位置的应用,极大改善了工作效率和工作体验。
Ⅳ 怎样解决网络边界安全问题
边界防护技术
从网络的诞生,就产生了网络的互联,Cisco公司就是靠此而兴起的。从没有什么安全功能的早期路由器,到防火墙的出现,网络边界一直在重复着攻击者与防护者的博弈,这么多年来,“道高一尺,魔高一丈”,好象防护技术总跟在攻击技术的后边,不停地打补丁。其实边界的防护技术也在博弈中逐渐成熟:
1、防火墙技术
网络隔离最初的形式是网段的隔离,因为不同的网段之间的通讯是通过路由器连通的,要限制某些网段之间不互通,或有条件地互通,就出现了访问控制技术,也就出现了防火墙,防火墙是不同网络互联时最初的安全网关。
防火墙的安全设计原理来自于包过滤与应用代理技术,两边是连接不同网络的接口,中间是访问控制列表ACL,数据流要经过ACL的过滤才能通过。ACL有些象海关的身份证检查,检查的是你是哪个国家的人,但你是间谍还是游客就无法区分了,因为ACL控制的是网络的三层与四层,对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术,可以隐藏内网设备的IP地址,给内部网络蒙上面纱,成为外部“看不到”的灰盒子,给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系,从而“穿透”了NAT的“防护”,很多P2P应用也采用这种方式“攻破”了防火墙。
防火墙的作用就是建起了网络的“城门”,把住了进入网络的必经通道,所以在网络的边界安全设计中,防火墙成为不可缺的一部分。
防火墙的缺点是:不能对应用层识别,面对隐藏在应用中的病毒、木马都好无办法。所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够了。
2、多重安全网关技术
既然一道防火墙不能解决各个层面的安全防护,就多上几道安全网关,如用于应用层入侵的IPS、用于对付病毒的AV、用于对付DDOS攻击的…此时UTM设备就诞生了,设计在一起是UTM,分开就是各种不同类型的安全网关。
多重安全网关就是在城门上多设几个关卡,有了职能的分工,有验证件的、有检查行李的、有查毒品的、有查间谍的……
多重安全网关的安全性显然比防火墙要好些,起码对各种常见的入侵与病毒都可以抵御。但是大多的多重安全网关都是通过特征识别来确认入侵的,这种方式速度快,不会带来明显的网络延迟,但也有它本身的固有缺陷,首先,应用特征的更新一般较快,目前最长也以周计算,所以网关要及时地“特征库升级”;其次,很多黑客的攻击利用“正常”的通讯,分散迂回进入,没有明显的特征,安全网关对于这类攻击能力很有限;最后,安全网关再多,也只是若干个检查站,一旦“混入”,进入到大门内部,网关就没有作用了。这也安全专家们对多重安全网关“信任不足”的原因吧。
3、网闸技术
网闸的安全思路来自于“不同时连接”。不同时连接两个网络,通过一个中间缓冲区来“摆渡”业务数据,业务实现了互通,“不连接”原则上入侵的可能性就小多了。
网闸只是单纯地摆渡数据,近似于人工的“U盘摆渡”方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”,通过的内容清晰可见,“水至清则无鱼”,入侵与病毒没有了藏身之地,网络就相对安全了。也就是说,城门只让一种人通过,比如送菜的,间谍可混入的概率就大大降低了。但是,网闸作为网络的互联边界,必然要支持各种业务的连通,也就是某些通讯协议的通过,所以网闸上大多开通了协议的代理服务,就象城墙上开了一些特殊的通道,网闸的安全性就打了折扣,在对这些通道的安全检查方面,网闸比多重安全网关的检查功效不见得高明。
网闸的思想是先堵上,根据“城内”的需要再开一些小门,防火墙是先打开大门,对不希望的人再逐个禁止,两个思路刚好相反。在入侵的识别技术上差不多,所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。
后来网闸设计中出现了存储通道技术、单向通道技术等等,但都不能保证数据的“单纯性”,检查技术由于没有新的突破,所以网闸的安全性受到了专家们的质疑。
但是网闸给我们带来了两点启示:
1、建立业务互通的缓冲区,既然连接有不安全的可能,单独开辟一块地区,缩小不安全的范围也是好办法。
2、协议代理,其实防火墙也有应用代理是思想,不让来人进入到成内,你要什么服务我安排自己的人给你提供服务,网络访问的最终目的是业务的申请,我替你完成了,不也达到目的了吗?黑客在网络的大门外边,不进来,威胁就小多啦。
4、数据交换网技术
火墙到网闸,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
数据交换网技术是基于缓冲区隔离的思想,把城门处修建了一个“数据交易市场”,形成两个缓冲区的隔离,同时引进银行系统对数据完整性保护的Clark-Wilson模型,在防止内部网络数据泄密的同时,保证数据的完整性,即没有授权的人不能修改数据,防止授权用户错误的修改,以及内外数据的一致性。
数据交换网技术给出了边界防护的一种新思路,用网络的方式实现数据交换,也是一种用“土地换安全”的策略。在两个网络间建立一个缓冲地,让“贸易往来”处于可控的范围之内。
数据交换网技术比其他边界安全技术有显着的优势:
1、综合了使用多重安全网关与网闸,采用多层次的安全“关卡”。
2、有了缓冲空间,可以增加安全监控与审计,用专家来对付黑客的入侵,边界处于可控制的范围内,任何蛛丝马迹、风吹草动都逃不过监控者的眼睛。
3、业务的代理保证数据的完整性,业务代理也让外来的访问者止步于网络的交换区,所有的需求由服务人员提供,就象是来访的人只能在固定的接待区洽谈业务,不能进入到内部的办公区。
数据交换网技术针对的是大数据互通的网络互联,一般来说适合于下面的场合:
1、频繁业务互通的要求:
要互通的业务数据量大,或有一定的实时性要求,人工方式肯定不够用,网关方式的保护性又显不足,比如银行的银联系统、海关的报关系统、社保的管理系统、公安的出入境管理系统、大型企业的内部网络(运行ERP)与Internet之间、公众图书馆系统等等。这些系统的突出特点都是其数据中心的重要性是不言而喻,但又与广大百姓与企业息息相关,业务要求提供互联网的访问,在安全性与业务适应性的要求下,业务互联需要用完整的安全技术来保障,选择数据交换网方式是适合的。
2、高密级网络的对外互联:
高密级网络一般涉及国家机密,信息不能泄密是第一要素,也就是绝对不允许非授权人员的入侵。然而出于对公众信息的需求,或对大众网络与信息的监管,必须与非安全网络互联,若是监管之类的业务,业务流量也很大,并且实时性要求也高,在网络互联上选择数据交换网技术是适合的。
四、总结“魔高道高,道高魔高”。网络边界是两者长期博弈的“战场”,然而安全技术在“不断打补丁”的同时,也逐渐在向“主动防御、立体防护”的思想上迈进,边界防护的技术也在逐渐成熟,数据交换网技术就已经不再只是一个防护网关,而是一种边界安全网络,综合性的安全防护思路。也许安全的话题是永恒的,但未来的网络边界一定是越来越安全的,网络的优势就在于连通。
Ⅳ 零信任网络助力工业互联网安全体系建设
随着云计算、大数据、物联网、5G、边缘计算等IT技术的快速发展,支撑了工业互联网的应用快速落地。作为“新基建”的重点方向之一,工业互联网发展已经进入快轨道,将加速“中国制造”向“中国智造”转型,并推动实体经济高质量发展。
新型 IT 技术与传统工业 OT 技术深度融合,使得工业系统逐步走向互联、开放,也加剧了工业制造面临的安全风险,带来更加艰巨的安全挑战。CNCERT 发布的《2019 年我国互联网网络安全态势综述》指出,我国大型工业互联网平台平均攻击次数达 90 次/日。
工业互联网连接了大量工业控制系统和设备,汇聚海量工业数据,构建了工业互联网应用生态、与工业生产和企业经营密切相关。一旦遭入侵或攻击,将可能造成工业生产停滞,波及范围不仅是单个企业,更可延伸至整个产业生态,对国民经济造成重创,影响 社会 稳定,甚至对国家安全构成威胁。
近期便有重大工业安全事件发生,造成恶劣影响,5 月 7 日,美国最大燃油运输管道商 Colonial Pipeline 公司遭受勒索软件攻击,5500 英里输油管被迫停运,美国东海岸燃油供应因此受到严重影响,美国首次因网络攻击而宣布进入国家紧急状态。
以下根据防护对象不同,分别从网络接入、工业控制、工业数据、应用访问四个层面来分析 5G 与工业互联网融合面临的安全威胁。
01
网络接入安全
5G 开启了万物互联时代,5G 与工业互联网的融合使得海量工业终端接入成为可能,如数控机床、工业机器人、AGV 等这些高价值关键生产设备,这些关键终端设备如果本身存在漏洞、缺陷、后门等安全问题,一旦暴露在相对开放的 5G 网络中,会带来攻击风险点的增加。
02
工业控制安全
传统工业网络较为封闭,缺乏整体安全理念及全局安全管理防护体系,如各类工业控制协议、控制平台及软件本身设计架构缺乏完整的安全验证手段,如数据完整性、身份校验等安全设计,授权与访问控制不严格,身份验证不充分,而各类创新型工业应用软件所面临的病毒、木马、漏洞等安全问题使原来相对封闭的工业网络暴露在互联网上,增大了工控协议和工业 IT 系统被攻击利用的风险。
03
数据传输及调用安全
云计算、虚拟化技术等新兴IT技术在工业互联网的大规模应用,在促进关键工业设备使用效率、提升整体制造流程智能化、透明化的同时,打破原有封闭自治的工业网络环境,使得安全边界更加模糊甚至弱化,各种外来应用数据流量及对工厂内部数据资源的访问调用缺乏足够透明性及相应监管措施,同时各种开放的 API 接口、多应用的的接入,使得传统封闭的制造业内部生产管理数据、生产操作数据等,变得开放流动,与及工厂外部各类应用及数据源产生大师交互、流动和共享,使得行业数据安全传输与存储的风险大大增加。
04
访问安全
工业互联网核心的各类创新型场景化应用,带来了更多的参与对象基础网络、OT 网络、生产设备、应用、系统等,通过与 5G 网络的深度融合,带来了更加高效的网络服务能力,收益于愈发灵活的接入方式,但也带来的新的风险和挑战,应用访问安全问题日益突出。
针对上面工业互联网遇到的安全问题,青云 科技 旗下的 Evervite Networks 光格网络面向工业互联网行业,提出了工业互联网 SD-NaaS(software definition network & security as a service 软件定义网络与安全即服务)解决方案,依托统一身份安全认证与访问控制、东西向流量、南北向流量统一零信任网络安全模型架构设计。工业互联网平台可以借助 SD-NaaS 构建动态虚拟边界,不再对外直接暴露应用,为工业互联网提供接入终端/网络的实时认证及访问动态授权,有效管控内外部用户、终端设备、工厂工业主机、边缘计算网关、应用系统等访问主体对工业互联网平台的访问行为,从而全面提高工业互联网的安全防护能力。帮助企业利用零信任网络安全防护架构建设工业互联网安全体系,让 5G、边缘计算、物联网等能力更好的服务于工业互联网的发展。
基于光格网络 SD-NaaS 架构的工业互联网安全体系大体可以分四个层面:
基于统一身份认证的网络安全接入
首先 SD-NaaS 平台引入零信任安全理念,对接入工业互联网的各类用户及工控终端,启用全新的身份验证管理模式,提供全面的认证服务、动态业务授权和集中的策略管理能力,SD-NaaS 持续收集接入终端日志信息,结合身份库、权限数据库、大数据分析,身份画像等对终端进行持续信任评估,并基于身份、权限、信任等级、安全策略等进行网络访问动态授权,有力的保障了 5G+ 工业互联网场景下的终端接入的安全。
最小权限,动态授权的工业安全控制
其次针对工业互联网时代下的工控网络面临的安全隐患,SD-NaaS 零信任网络平台提出全新的控制权限分配机制, 基于“最小化权限,动态授权”原则,控制权限判定不再基于简单的静态规则(IP 黑白名单,静态权限策略等),而是基于工控管理员、工程师和操作员等不同身份及信任等级,控制服务器、现场控制设备和测量仪表等不同终端的安全策略,不同工控指令权限,结合大数据安全分析进行动态评估及授权,实现工业边界最小授权,精细化的访问控制。以此避免工业控制网络受到未知漏洞威胁,同时还可以有效的阻止操作人员异常操作带来的危害。
端到端加密,精细化授权的数据防护
工业生产中会产生海量的工业数据包括研发设计、开发测试、系统设备资产信息、控制信息、工况状态、工艺参数等,平台各应用间有大量的数据共享与协同处理需求,SD-NaaS 平台提供更强壮的端到端数据安全保护方法,通过实时信任检测、动态评估访问行为安全等级,建立安全加密隧道以保障数据在应用间流动过程的安全可靠。同时生产质量控制系统、成本自动核算系统、生产进度可视系统等各类工业系统之间的 API 交互,数据库调用等行为,SD-NaaS 平台可实现细颗粒度的操作权限控制,对所有的增删改查等动作进行行为审计。
采用应用隐藏和代理访问的应用防护
最后 SD-NaaS 平台采用 SDP 安全网关和 MSG 微分段技术实现工业互联网平台的应用隐身和安全访问代理,有效管理工业互联网平台的网络边界及暴露面,并基于工程师、操作员、采购、销售、供应链等不同身份进行最细颗粒度的动态授权(如生产数据,库存信息,进销存管理等),对所有的访问行为进行审计,构建全方位全天候的应用安全防护屏障。
基于光格网络 SD-NaaS 解决方案,我们在工业视觉、智能巡检、远程驾驶、AI 视频监控等场景实现安全可靠落地;帮助企业在确保安全的基础上,打造支撑制造资源泛在连接、弹性供给、高效配置的工业云平台,利用工业互联网平台 探索 工业制造业数字化、智能化转型发展新模式和新业态。
SD-NaaS 最佳实践:
申请使用光格网络产品解决方案
点击申请使用光格网络产品解决方案
Ⅵ 零信任网络安全
近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展。与此同时,也出现了许多信息安全方面的问题,如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等,对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外,随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出,网络安全上升为重要国家战略。网络安全不仅是企业内部的问题,还是企业合法合规开展业务的重要内容。
随着云计算、大数据、移动互联网、物联网(IoT)、第五代移动通信(5G)等新技术的崛起,传统的网络安全架构难以适应时代发展需求,一场网络安全架构的技术革命正在悄然发生,其受到越来越多企业IT决策者的认可。
在传统安全理念中,企业的服务器和终端办公设备主要运行在内部网络中,因此,企业的网络安全主要围绕网络的“墙”建设,即基于边界防护。然而,物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入,企业不可能将数据局限在自己的内部网络中。例如,企业要上云,就不能将公有云装入自己的防火墙;企业要发展移动办公、物联网,防火墙却无法覆盖外部各角落;企业要拥抱大数含森据,就不可避免地要与合作伙伴进行数据交换。因此,传统安全边界模型在发展新技术的趋势下逐渐瓦解,在万物互联的新时代成为企业发展的障碍,企业需要建立新的网络安全模型。
在这样的时代背景下,基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界,不再默认企业物理边界内的安全性,不再基于用户与设备在网络中的位置判断是否可信,而是始终验证用户的身份、设备的合法性及权限,即遵循“永不信任,始终校验(Never Trust,Always Verify)”的零信任理念。在零信任理念下,网络位置变得不再重要,其完全通过软件来定义企业的安全边界,“数据在哪里,安全就到哪里”。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项,其安全性和易用性也通过大量企业的实践得到了验证。为了推进SDP技术在中国的落地,CSA(大中华区)于2019年成立SDP工作组。
本书基于SDP工作组的若干成果,对分散在不同文献中的理论与概念进行汇总和整理,自上而下地对SDP的完整架构进行详细介绍,并结合大量实践案例,为读者提供完整的软件定义边界技术架构指南。
(1)企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。
(2)信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。
(3)解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。
(4)安全领域的研究人员。
(5)对SDP有兴趣并有志从事安全领域工作的人。
第1章对SDP的基本概念、主要功能等进行介绍。
第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。
第3章对SDP架构的具体协议及日志进行介绍。
第4章对SDP架构部署模式及其适用场景进行介绍,为企业部署SDP架构做技术准谈丛亩备。
第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。
第6章对技术原理和IaaS使用场景进行分析与介绍,指导企业安全上云。
第7章通过展示SDP对DDoS攻击的防御机制,加强读者对SDP的认识和理解。
第8章介绍SDP对等保2.0各级要求的适用情况。通过对等保2.0的深入解读,展示如何通过SDP满足企业的等保2.0合规要求。
第9章对SDP战略规划与部署迁移方法进行介绍,在战略规划和部署迁移层面为企业提供指导。
第10章对NIST、Google、微软及Forrester的零信任架构与实现进行介绍。
第11章精郑孙选了国内主要的SDP和零信任实践案例,对其进行介绍。
(1)本书主要基于公有云的IaaS产品,如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相关用例和方法同样适用于私有化部署的IaaS,如基于VMware或OpenStack的私有云等。
(2)按照SDP规范实现商业化的厂商与没有严格按照SDP规范进行产品开发的厂商,在构建产品的过程中,有不同架构、方法和能力。本书对厂商保持中立并避免涉及与头部厂商相关的能力。如果有因为厂商能力产生的差异化案例,本书尽量使用“也许、典型的、通常”等词语来解释这些差异,避免减弱本书的可读性。
(3)高可用性和负载均衡不在本书的讨论范围内。
(4)SDP策略模型不在本书的讨论范围内。本书讨论的SDP用例和方法也适用于平台即服务(PaaS)。
(5)下列内容为引用文字。
零信任网络又称软件定义边界(SDP),是围绕某个应用或某组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的,无法被发现,并且通过信任代理限制一组指定实体访问。在允许访问前,代理会验证指定访问者的身份、上下文和策略合规性。该机制将应用资源从公共视野中消除,从而显着缩小可攻击面。
(6)下列内容为数据包格式。
IP TCP AID(32位) 密码(32位) 计数器(64位)
(7)标题带有“JSON规范格式”字样的方框中的内容为JSON文件的标准格式。
JSON规范格式
{
“sid”: <256-bit IH Session ID>,
“seed”:<32-bit SPA seed>,
“counter”: <32-bit SPA counter>
[
“id”:<32-bit Service ID>
]
}
Ⅶ 企业内网怎么保证安全
1、注意内网安全与网络边界安全的不同
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻 击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击 事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时 建立并加强内网防范策略。
2、限制VPN的访问
虚拟专用网(VPN)用户的 访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位 VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服 务器或其他可选择的网络资源的权限。
3、为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护MS-SQL,但是Slammer蠕虫仍能侵入 内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个 DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源的访问。
4、自动跟踪的安全策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要 企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与 该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。
5、关掉无用的网络服务器
大型企业网可能同时支持四到五个服务器传送e-mail,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服 务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用 的,关掉该文件的共享协议。
6、首先保护重要资源
若一个内网上连了千万台 (例如30000台)机子,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服 务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行 限制管理。这样就能迅速准确地确定企业最重要的资产,并做好在内网的定位和权限限制工作。
7、建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
8、建立安全过客访问
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。
9、创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的),还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企 业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的R&D。因此 要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间 的边界防护。
10、可靠的安全决策
网络用户也存在着安全隐患。有的用户或 许对网络安全知识非常欠缺,例如不知道RADIUS和TACACS之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作 者,也是网络的使用者。因此企业网就要让这些用户也容易使用,这样才能引导他们自动的响应网络安全策略。
另外,在技术上,采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。
Ⅷ 企业办公更畅爽,宝藏品牌爱快WiQ1800评测
在上述背景下,网络解决方案提供商爱快于近日发布了全新企业级无线路由IK-Q1800。作为一款千兆双频无线路由、首款Wi-Fi 6网关设备,爱快IK-Q1800不仅拥有强大的多设备传输能力,还支持MU-MIMO+OFDMA、SD-WAN组网等相关功能,提升了多用户并发传输速率、异地组网能力。由此可见,爱快IK-Q1800可谓集“万千宠爱”于一身。
在网络设备层面,随着智能、Wi-Fi 6等新技术的涌现,新一代企业级路由应更加智能,并具备更加灵活的业务感知和处理能力。那么,爱快IK-Q1800企业级无线路由是不是企业的明智之选?这款新品的实际表现如何?天极网编辑部用为期一个月时间的实际体验来告诉你答案。
外观篇:办公区的“颜值担当”
印象中企业级网络设备总是一副“笨拙不堪”的模样,缺乏一种令人耳目一新的 时尚 设计感,以至于极少有入得了眼的产品能够打破我对企业网络设备的刻板印象,直核尘到笔者亲自目睹爱快这款企业级无线路由——IK-Q1800。至今笔者犹记得同事初见爱快IK-Q1800时发出的讶异:“这难道不是家用路由吗?”
是的,爱快IK-Q1800的外观,的确很“家用”!
从整体来看,爱快IK-Q1800颇具设计感,尤其是其机身顶部的三条棱线与两条凹槽搭配得相得益彰,加之黑色的外观和四根天线的设计,进一步凸出了这款路由器的 时尚 、美观的特点,特别适合追求新潮的办公环境中使用。
从细节来看,该路由器顶部印有异常醒目的“iKuai”LOGO,靠前的位置还配置了开关、联网、LAN、2.4G、5G、USB等状态指示灯,正常状态下会绿灯常亮。不仅如此,爱快IK-Q1800还设计了丰富的散热孔,遍布于机身底部、机身侧面,以及机身顶部的两条凹槽中,散热性能强悍。
此外,爱快IK-Q1800采用四天线设计,四根天线均可实现前后90 、左右180 翻转,可根据实际需要进行角度调整。同时,机身背部设计了电源开关、电源插孔、5个LAN/WAN接口、USB连接插孔。
改蠢禅值得一提的是,在5个LAN/WAN接口中,有3个既是LAN接口又是WAN接口,而爱快IK-Q1800的多WAN口配置突出了“负载均衡”的优势,实现了带宽叠加,提高了传输访问速度。此外,爱快IK-Q1800还可以通过IP、应用协议、域名等维度进行流量分流和控制。
那么,该路由器是如何实现流量控制和分流的呢?
后台篇:更直观更安全更高效
随着企业业务的云化,原来本地部署的IT基础设施逐渐迁移到云端,企业IT运维人员在得到充分释放的同时,其工作内容得到进一步简化。以爱快为代表的企业级网络解决方案厂商充分遵循降本增效、简化运维这一规律,从网络硬件以及解决方案上,为企业提供更为简化的运维流程。而爱快IK-Q1800更为简化的安装与更为直观、安全、高效的后台充分体现了这一点。
接下来,我们一起看看数据可视化的的后台界面!
简单连接爱快IK-Q1800之后,在浏览器地址栏键入“192.168.1.1”,并访问该地址,可进入这台企业级无线路由器的后台操作界面,紧接着输入账号、密码(初始账号、密码均为admin),进入主操作界面。整个操作过程有专门的操作指导,小白用户也非常容易上手。
当进入后台之后,用户可以清晰地看到“网络状态”、“物理连接”、“接口状态”、“AC状态”、“协议流量分布”、“上下行速率”等,这些数据进行了一定的可视化处理,非常直观。
在状态监控一栏中,我们可以查看“线路监控”、“终端监控”、“协议监控”、“策略监控”、“负载监控”、“分流监控”等监控内容。其中在“终端监控”中,我们可以直观看到联网终端设备的状态,包括连接数、上行/下行速率、在线时长,还有终端类型。不仅如此,我们可以点击进档正入IP/MAC实时查看每个连接设备在使用的协议和应用,还可以直接对终端设备进行限速、禁止联网设置,防止非白名单用户上网。另外,在系统设置和网络设置中,我们可以对路由器本身以及网络相关进行设置,诸如登录管理、Wi-Fi账号密码设置等,操作起来也是非常便捷。
针对企业宽带经常被滥用的问题,爱快IK-Q1800的流控设置中,配置了针对域名、端口、协议等的分流方案,和智能流控的解决方案,可以根据场景(网页优先、下载优先、视频优先)进行流量控制,系统将会对网络应用进行智能识别,优先满足企业需求。
爱快IK-Q1800企业级无线路由还可以作为AC管理器使用,对接入该路由器的AP进行快速部署和管理。部署时,我们直接进入AC管理界面,实现查看并对AP进行分组、升级等操作。不仅如此,该路由器还可以帮助企业营销,其配置认证服务,可以通过“爱快云”进行简单的配置,让无线秒变企业营销的利器。
此外,为了维护 健康 、有序的上网行为,爱快IK-Q1800专门配置了行为管控功能,从终端设备到网址浏览,再到URL控制,再到应用协议等,都可以通过后台进行设置,对上网行为进行管控。有些企业为了维护秩序,禁止员工在上班时间打 游戏 、看 娱乐 视频,以及逛购物网站等行为,而爱快IK-Q1800配置的行为管控从技术层面帮企业解决了后顾之忧.
值得一提的是,作为一家专业的IT垂直网站,天极网的日常工作涉及到视频制作、文章撰写等,这就需要上网查询音视频、文字资料。所以天极网在使用该路由器的过程中,会将其进行简单的配置,诸如将其设置为视频优先的智能流控,与此同时会过滤一些与平时工作不相干的URL,这样不仅提升办公效率,公司抱怨网速慢的员工,也很少见了。
性能篇:认证上网限流管控更便捷
为了应对“外来人员”的上网需求,相信为数不少的企业会单独设置一个名为“Guest”的Wi-Fi,这样既可以保证访客的上网,也可以保证企业内部网络不受打搅,尤其是出于安全考虑的情况下。天极网亦是如此。不过随着网络的普及,越来越多的企业开始发掘一个简单的Wi-Fi背后的商机,尤其是酒店、餐饮等行业,爱快IK-Q1800支持微信连Wi-Fi、手机认证、用户认证、QQ认证等10种认证方式,借以满足商家的需求。
认证方式
作为企业的营销手段,用户可以通过爱快云平台,对认证的界面进行简单的配置,例如可以加一些关于企业形象的图片,可以加上企业的LOGO,以及企业的名称,这样访客在访问该网络时可以通过认证界面对公司的形象进行大致的了解。这也是企业自我营销的手段之一。
日常办公过程中,企业经常会遇到分支机构无法访问总部OA/CRM、Nas私有云外网不能随意获取企业内网文件等远程访问问题,为企业IT运维增加了许多烦恼。为此,爱快独辟蹊径地实现了内网穿透功能,满足企业移动办公的需求。
以下是内网穿透的适用场景:
1、适用于移动办公、分支机构便捷访问总部OA、CRM访问,以及文件传输等场景
2、适用于远程IT运维,支持自定义目的端口,满足多种访问需求,降低IT管理成本
3、适用于动态IP或私有IP接入场景,使用固定域名即可访问内网资源
不仅如此,爱快在发布IK-Q1800之前将其SD-WAN升级至3.0版本,引入基于零信任的SDP(软件定义边界),实现更高安全度、更轻量化的安全连接管控,保驾护航网络安全边界。此外,新版本支持绑定钉钉和企业微信,支持主备部署、透明网桥部署,以及U盘和邮件零配置,帮助企业解决用户在组网方面的部署难题,让组网变得更加简单、高效、便捷。
认证计费功能的设计,让企业增加了一个营销的渠道,爱快将认证后台打造的简单、直观,让网络小白可以直接上手,降低了运维难度。不仅如此,SD-WAN 3.0的全新升级更是爱快的诚意之作,其与企业微信、钉钉的打通,让网络部署变得更加简单,整体简化了运维的流程。
随着手机、平板等移动设备的普及,通过移动端APP对网络设备进行管理、运维已经成为“时髦”的方式之一。针对移动端,爱快专门开发“爱快e云”APP,手机直接进入管理后台,可实现测速、信号检测、快速配网、漫游测试等远程可视化运维,帮助企业管理者提升运维质量,缩短投入时间。
信号篇:无惧阻隔,覆盖加分
作为一款企业级无线路由,爱快IK-Q1800有着较高的带机量。为了维持机器性能的稳定,官方推荐待机量为80台。在实际使用过程中,天极网让员工随意、自愿接入该网络,显示设备终端数在57台的时候,性能依旧稳定。
此外,爱快IK-Q1800外置四根5dBi高增益天线,有着良好的无线覆盖能力。那么,爱快IK-Q1800能够覆盖天极网的办公空间吗?我们对这款路由的信号覆盖进行了测试。(测试结果仅供参考)
我们先来介绍一下测试环境和测试方法。
测试环境:该测试环境为天极网办公区域,A点为爱快IK-Q1800的摆放位置,其余点均为测试点,其中D点、E点、F点与路由器有墙体阻隔。
测试方法:我们在天极网办公区,通过专业的无线信号测试软件WirelessMon,实际测试爱快IK-Q1800路由器的无线覆盖和信号强度及无线穿墙能力。(注:2.4GHz在前;5GHz在后)
临近A点测试成绩:
无线信号强度为91%
无线信号强度为86%
B点测试成绩:
无线信号强度为63%
无线信号强度为48%
C点测试成绩:
无线信号强度为62%
无线信号强度为40%
D点测试成绩
无线信号强度为48%
无线信号强度为41%
E点测试成绩
无线信号强度为63%
无线信号强度为46%
F点测试成绩:
无线信号强度是60%
无线信号强度是37%
值得注意的是,此次信号覆盖测试算是极限测试,测试点在或是办公区域的周边,或是与路由器有着一墙之隔的位置。
经过WirelessMon测试,爱快IK-Q1800的成绩已经出炉。数据显示,测试点在A点附近时,2.4GHz的信号强度是91%,而其他诸如B、C、D、E、F等测试点,或是靠近公司的边缘位置,或是与办公区有着一墙之隔。即便如此,爱快IK-Q1800的2.4GHz的信号强度依旧达到48%以上(D点与路由器距离远而且有一墙之隔),爱快IK-Q1800的5GHz的信号强度依旧达到37%以上(F点与路由器距离较远且有一墙之隔)。
综合来看,爱快IK-Q1800企业级无线路由的信号覆盖足以满足天极网日常所需。
评价篇:企业的智慧之选
通过以上严苛的测试,爱快IK-Q1800企业级路由器不管是在信号覆盖,还是在后台管理,亦或是SD-WAN部署上,都有着可圈可点的表现。无论是在中小企业办公场景,还是连锁店铺,亦或是餐饮,这样一款千兆双频、Wi-Fi 6无线路由无疑是明智之选。
购买链接://item.jd.com/100013184151.html