功能清单
资源配置
| 资源 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 团队数量 | 如:企业中的业务网和办公网,可按团队数量为2进行配置;个人用户可以创建一个个人网络,个人网络是一个特殊的团队网络。 | 1 | 1 | 4 |
| 用户数量 | 加入到团队网络内的用户数量,一个用户可以加入到多个团队网络。 | 1 | 无限制 | 无限制 |
| 设备数量 | 指安装了飞网终端程序并加入到团队网络中的所有设备数量。 | 6 | 按量付费 | 无限制 |
| 服务期限 | 在这个期限内,用户可以享受飞网提供的各项功能和技术支持。 | 长期免费 | 三年 | 三年 |
| 终端程序 | 飞网终端程序可以运行在各类操作系统(Winidows、Linux、MacOS、Android等)、容器中或者集成在SDK中。 | 部分可用 | 无限制 | 无限制 |
安全网络
与现有物理网络并行的虚拟网络,以下简称为飞网,在飞网中具有如下的安全特性
| 功能 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 远程组网 | 支持将分散在不同网络位置(含远程)的设备组建虚拟网络,即飞网的组网过程,这些设备将统一纳入飞网管理。注:您可以将物理网络理解为传统的单卡单待手机,加入飞网后类似于手机变为双卡双待。区别是新增的这张手机卡所在的网络(飞网)提供了一系列安全特性,并借用原有的手机卡网络通信。 | √ | √ | √ |
| 智能网络 | 飞网网络中,用户无需进行任何的配置。FW-NAC将自适应各种网络变化,自动下发微隔离策略;自动维护通信链路,自动设置网络、防火墙参数,自动升级最佳通信线路,全面支持CI/CD持续集成、持续交付和持续部署。 | √ | √ | √ |
| 微隔离 | 飞网网络中,所有入网设备间执行点到点的访问控制策略。注:本文中所有提到的“设备”,具体应为设备的操作系统或操作系统中部署的容器,或集成飞网SDK的应用程序,为便于理解,文中仅以“设备”代替。 | | √ | √ |
| 全网加密 | 飞网网络中,所有的通信过程终将通过现有物理网络传输。飞网终端程序自动将飞网内部的虚拟通信地址转换为物理网络地址,并采用非对称密码技术进行点到点加密(E2EE),该过程用户无感知。 | √ | √ | √ |
| 服务隐身 | 飞网终端程序采用“基于密钥协商算法的敲门技术”,对于未授权的访问沉默不应答;且采用双向无固定端口通信,从源头上进行暴露面管理,屏蔽各类针对固定端口的网络攻击。 | √ | √ | √ |
| 身份网络 | 飞网网络中,采用“先认证后通信”的方式,通信双方需先完成身份信息、设备信息的认证后方可“实名制”入网通信。所有的安全环节(终端、网络、应用、数据、分析和响应),都可以简单准确地提取获得访问者的身份和设备信息,用于实施全网统一的安全策略,如:发现攻击行为时,可立即切断该用户的网络和系统权限。 | √ | √ | √ |
| 可信网络 | 在FW-NAC控制中心实施访问控制的基础上,增加可信签名验证的交叉确认环节,共同保证飞网内设备间可靠通信;飞网网络中部署专门的可信签名根节点,支持高可用部署,支持链式签名结构,已下线的可信签名根节点的签名数据可通过链式结构确认签名;通过结合TPM等硬件可实现设备层到网络层的可信传递。本功能符合等保关于可信的技术要求。 | | √ | √ |
| 业务直联 | FW-NAC采用控制和业务分离的设计,业务数据直接发送至目标地址,不经过第三方,无须担心业务数据泄露。 | √ | √ | √ |
| 快速连接 | 对于业务通信的双方,飞网终端程序自动匹配最佳的通信链路,自动选择直传、路由转发、链路协商等方式确保网络连接。飞网终端程序在一个通信往返中完成安全连接的建立过程,高效快速地完成了会话密钥的协商并开始通信,相比于其他方案有成倍的效率提升。 | √ | √ | √ |
| 多网络空间 | 飞网网络内部提供多网络空间支持,这些网络间完全独立,使用互相隔离的地址空间和独立的访问控制策略;管理员可创建多个网络,用户可选择将自己的设备同时加入多个网络,并在不同网络间切换。例如通过飞网创建互相隔离的“业务网”和“办公网”。 | | √ | √ |
网络边界
通过四类网关分别控制飞网网络的内外连管理、网络延深、对外服务和外部访问
| 功能 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 出口网关 | 飞网网络中的设备可经由出口网关访问飞网网络的外部服务,这些外部服务为出口网关可访问的所有地址。 | √ | √ | √ |
| 入口网关 | 对于所有需要在飞网网络外部访问的服务,可统一经由入口网关进入飞网网络。 | | √ | √ |
| 子网网关 | 在飞网组网的过程中,可以将某一个或几个网段经由子网网关快速地接入飞网。对于某些无法部署飞网终端的设备或网段,或阶段性实施零信任改造的过程中,尤其有用。由子网网关接入飞网的网段只能被飞网中的设备单向访问,且加密通信范围到子网网关为止。 | √ | √ | √ |
| 应用网关 | 飞网网络中的设备访问飞网外部服务时,可经由应用网关,以白名单的方式,集中地控制可访问的外部地址。 | | √ | √ |
| 高可用 | 以上四类网关、FW-NAC控制中心等均支持高可用部署。 | √ | √ | √ |
访问控制
所有接入飞网的设备之间形成了微边界,并基于微隔离策略实施访问控制
| 功能 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 策略配置 | FW-NAC控制中心负责管理和维护网络访问控制策略,计算并转换为微隔离策略后实时下发至所有接入飞网的设备。FW-NAC支持配置声明式网络访问控制策略,声明式策略区别于命令式,声明式只需描述访问控制效果,无需关心其实现的复杂性。例如可以配置策略:“员工可以访问办公系统”,转换为微隔离策略为:“员工张三的A设备,可以访问安装OA办公系统的B设备,其通信报文中的协议标识位应为6(即TCP),通信目的端口为443”。 | | √ | √ |
| 策略断言 | 网络访问控制策略可以通过断言进行测试,测试不通过的策略无法保存,可以避免因错误的配置而导致不必要的服务暴露。如:断言为“员工张三的A设备,不能访问安装OA办公系统的B设备”,则“所有员工可以访问办公系统”的策略无法执行。再比如:断言为“员工张三的A设备,可以访问安装OA办公系统的B设备”,但是所有的策略都无法得出这个结论,则策略无法执行。 | | √ | √ |
| 策略接口 | FW-NAC提供鉴权后可使用的接口维护网络访问控制策略,支持与DevSecOps、GitOps、工作流系统、安全分析系统等进行关联控制,灵活性更高。 | | √ | √ |
| 设备标签 | FW-NAC支持基于标签的网络访问控制策略;所有被打标签的设备依据标签策略建立通信。标签可以是设备的角色信息,如“办公设备”;可以是设备的用途信息,如“测试设备”。被打标签的设备将脱离设备所有者的策略范围。 | | √ | √ |
| 群组策略 | FW-NAC支持用户分组的方式快速配置网络访问控制策略。 | | √ | √ |
| 用户策略 | FW-NAC支持为单个用户配置网络访问控制策略。 | | √ | √ |
| 控制面板 | 提供专门的控制面板配置FW-NAC系统,该系统为不同角色提供不同功能;系统内置的角色包括管理员、网络管理员、IT管理员、审计员、成员,每个角色有各自的菜单和功能权限。 | | √ | √ |
内容安全
内容安全指在飞网中运行的各种应用、通信的业务数据、以及飞网构建的内容生态
| 功能 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 资产管理 | FW-NAC支持跨网络远程组网,同时让资产管理(资产盘点)能力得到极大的延伸;FW-NAC控制所有设备的联网过程,并将其作为一种联网资产进行管理,其管理粒度更细,更精准,更全面。 | √ | √ | √ |
| 统一域名解析 | 飞网网络中所有入网设备将获得全网唯一的IP地址和域名地址;同时支持与物理网络现有的域名解析服务整合为统一的域名解析。如出差的员工可以使用部署在公司内网的DNS解析服务。 | √ | √ | √ |
| 覆盖本地域名解析 | FW-NAC控制中心的管理策略中,可开启强制要求所有飞网网络入网设备使用统一域名解析。 | √ | √ | √ |
| 文件传输 | 飞网网络内部可以像在局域网中一样,在同一个用户的设备间,方便地传输文件,且该文件加密传输。 | √ | √ | √ |
| 零信任SSH | 飞网终端程序内部集成SSH功能,该功能强制使用密钥协商的方式建立安全连接,相比口令方式或固定密钥的方式更安全,同时支持SSH录屏功能,支持操作系统登录用户限制等策略,无需开启SSH协议的22端口,安全性优于堡垒机。 | | √ | √ |
| 域名证书 | FW-NAC为每个加入飞网的设备提供了唯一的设备域名,并支持自动申请下发域名证书。 | √ | √ | √ |
| 授权密钥 | 飞网入网设备除使用系统指定的身份认证系统登录飞网外,还可使用授权密钥方式登录飞网。 | √ | √ | √ |
| 服务清单 | FW-NAC控制中心将集中收集和管理所有入网设备的服务清单。 | √ | √ | √ |
| 服务发布 | 飞网终端程序提供多种解决方案,便于应用系统在飞网内部的服务发布和上线。 | | √ | √ |
| Nginx连接器 | 提供专门的Nginx连接组件,用于基于Nginx的自动化身份认证,支持通过Nginx实现业务系统服务部分隐身功能。 | | √ | √ |
| 飞网WAF | 提供专门的WAF组件,实现流量Web清洗。 | | √ | √ |
| API访问令牌 | 管理员可通过FW-NAC控制面板,生成可以访问飞网API的访问令牌。 | √ | √ | √ |
| 特权账户管理 | 基于身份网络的安全特性,业务系统可轻松提取访问用户真实网络身份,实现特权账户和访问者的强关联。 | | √ | √ |
设备安全
飞网的入网设备需安装专门的飞网终端程序,配合FW-NAC控制中心执行统一管理
| 功能 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 设备批准 | 新设备进入飞网网络前,管理员可在FW-NAC控制面板中配置是否批准该设备入网。 | √ | √ | √ |
| 设备免密登录 | 入网设备在身份验证成功并进入飞网网络后,管理员可限制其免密登录的最长时间间隔。 | √ | √ | √ |
| 安全状态检查 | FW-NAC可依据设备安全状态,决定该设备是可以进入飞网,该功能需要与EDR等安全产品对接。 | | √ | √ |
安全审计
审计记录包括飞网管理日志、飞网入网设备的网络日志
| 功能 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 监控大盘 | FW-NAC提供汇总的系统运行状况大盘展示,可查看设备数量统计、设备分布情况、在线用户数量、网络拓扑(以网络拓扑的形式实时展示设备之间的访问关系)等。 | | √ | √ |
| 管理日志 | FW-NAC控制面板中提供审计功能,详细记录飞网的管理动作。 | √ | √ | √ |
| 网络日志 | 飞网内部网络层审计记录保存在每个入网节点的设备中,入网节点及时报送审计记录至飞网日志中心;所有日志记录位置互为备份,可互相印证;飞网日志中心的审计记录可以覆盖复杂网络下的所有网络位置,并提供每个入网节点的网络层审计功能,包括进出飞网、通信、流量统计分析等;每个审计记录均可以关联到通信的双方并相互验证,任何一方篡改并提交审计记录,都会在审计记录对比分析时暴露。 | | √ | √ |
系统集成
飞网提供了一系列接口用于不同产品间的集成
| 功能 | 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 安全产品集成 | 提供EDR、态势感知等安全产品对接接口,协助FW-NAC执行网络访问控制策略。 | | √ | √ |
| 工作流集成 | 提供与CI/CD、DevOps、工作流等产品对接接口。 | | √ | √ |
| 身份认证系统集成 | FW-NAC可使用内置的账号系统登录,同时支持灵活设置的身份认证方法。包括:使用飞网身份认证和访问管理系统FW-IAM登录、使用自定义的身份认证系统登录、使用第三方扩展登录。 | | √ | √ |
售后服务
| 说明 | 个人用户 | SAAS云服务 | 独立部署 |
|---|
| 常规功能优化和升级 | | | √ | √ |
| 产品使用培训 | 用户可享受一次产品使用培训,帮助用户更快地掌握飞网的使用。 | | √ | √ |
| 技术支持 | 可在工作日期间通过联系我们以获得使用飞网的帮助。 | | √ | √ |