功能清单

资源配置

资源说明个人用户SAAS云服务独立部署
团队数量如:企业中的业务网和办公网,可按团队数量为2进行配置;个人用户可以创建一个个人网络,个人网络是一个特殊的团队网络。114
用户数量加入到团队网络内的用户数量,一个用户可以加入到多个团队网络。1无限制无限制
设备数量指安装了飞网终端程序并加入到团队网络中的所有设备数量。6按量付费无限制
服务期限在这个期限内,用户可以享受飞网提供的各项功能和技术支持。长期免费三年三年
终端程序飞网终端程序可以运行在各类操作系统(Winidows、Linux、MacOS、Android等)、容器中或者集成在SDK中。部分可用无限制无限制

安全网络

与现有物理网络并行的虚拟网络,以下简称为飞网,在飞网中具有如下的安全特性

功能说明个人用户SAAS云服务独立部署
远程组网支持将分散在不同网络位置(含远程)的设备组建虚拟网络,即飞网的组网过程,这些设备将统一纳入飞网管理。注:您可以将物理网络理解为传统的单卡单待手机,加入飞网后类似于手机变为双卡双待。区别是新增的这张手机卡所在的网络(飞网)提供了一系列安全特性,并借用原有的手机卡网络通信。
智能网络飞网网络中,用户无需进行任何的配置。FW-NAC将自适应各种网络变化,自动下发微隔离策略;自动维护通信链路,自动设置网络、防火墙参数,自动升级最佳通信线路,全面支持CI/CD持续集成、持续交付和持续部署。
微隔离飞网网络中,所有入网设备间执行点到点的访问控制策略。注:本文中所有提到的“设备”,具体应为设备的操作系统或操作系统中部署的容器,或集成飞网SDK的应用程序,为便于理解,文中仅以“设备”代替。
全网加密飞网网络中,所有的通信过程终将通过现有物理网络传输。飞网终端程序自动将飞网内部的虚拟通信地址转换为物理网络地址,并采用非对称密码技术进行点到点加密(E2EE),该过程用户无感知。
服务隐身飞网终端程序采用“基于密钥协商算法的敲门技术”,对于未授权的访问沉默不应答;且采用双向无固定端口通信,从源头上进行暴露面管理,屏蔽各类针对固定端口的网络攻击。
身份网络飞网网络中,采用“先认证后通信”的方式,通信双方需先完成身份信息、设备信息的认证后方可“实名制”入网通信。所有的安全环节(终端、网络、应用、数据、分析和响应),都可以简单准确地提取获得访问者的身份和设备信息,用于实施全网统一的安全策略,如:发现攻击行为时,可立即切断该用户的网络和系统权限。
可信网络在FW-NAC控制中心实施访问控制的基础上,增加可信签名验证的交叉确认环节,共同保证飞网内设备间可靠通信;飞网网络中部署专门的可信签名根节点,支持高可用部署,支持链式签名结构,已下线的可信签名根节点的签名数据可通过链式结构确认签名;通过结合TPM等硬件可实现设备层到网络层的可信传递。本功能符合等保关于可信的技术要求。
业务直联FW-NAC采用控制和业务分离的设计,业务数据直接发送至目标地址,不经过第三方,无须担心业务数据泄露。
快速连接对于业务通信的双方,飞网终端程序自动匹配最佳的通信链路,自动选择直传、路由转发、链路协商等方式确保网络连接。飞网终端程序在一个通信往返中完成安全连接的建立过程,高效快速地完成了会话密钥的协商并开始通信,相比于其他方案有成倍的效率提升。
多网络空间飞网网络内部提供多网络空间支持,这些网络间完全独立,使用互相隔离的地址空间和独立的访问控制策略;管理员可创建多个网络,用户可选择将自己的设备同时加入多个网络,并在不同网络间切换。例如通过飞网创建互相隔离的“业务网”和“办公网”。

网络边界

通过四类网关分别控制飞网网络的内外连管理、网络延深、对外服务和外部访问

功能说明个人用户SAAS云服务独立部署
出口网关飞网网络中的设备可经由出口网关访问飞网网络的外部服务,这些外部服务为出口网关可访问的所有地址。
入口网关对于所有需要在飞网网络外部访问的服务,可统一经由入口网关进入飞网网络。
子网网关在飞网组网的过程中,可以将某一个或几个网段经由子网网关快速地接入飞网。对于某些无法部署飞网终端的设备或网段,或阶段性实施零信任改造的过程中,尤其有用。由子网网关接入飞网的网段只能被飞网中的设备单向访问,且加密通信范围到子网网关为止。
应用网关飞网网络中的设备访问飞网外部服务时,可经由应用网关,以白名单的方式,集中地控制可访问的外部地址。
高可用以上四类网关、FW-NAC控制中心等均支持高可用部署。

访问控制

所有接入飞网的设备之间形成了微边界,并基于微隔离策略实施访问控制

功能说明个人用户SAAS云服务独立部署
策略配置FW-NAC控制中心负责管理和维护网络访问控制策略,计算并转换为微隔离策略后实时下发至所有接入飞网的设备。FW-NAC支持配置声明式网络访问控制策略,声明式策略区别于命令式,声明式只需描述访问控制效果,无需关心其实现的复杂性。例如可以配置策略:“员工可以访问办公系统”,转换为微隔离策略为:“员工张三的A设备,可以访问安装OA办公系统的B设备,其通信报文中的协议标识位应为6(即TCP),通信目的端口为443”。
策略断言网络访问控制策略可以通过断言进行测试,测试不通过的策略无法保存,可以避免因错误的配置而导致不必要的服务暴露。如:断言为“员工张三的A设备,不能访问安装OA办公系统的B设备”,则“所有员工可以访问办公系统”的策略无法执行。再比如:断言为“员工张三的A设备,可以访问安装OA办公系统的B设备”,但是所有的策略都无法得出这个结论,则策略无法执行。
策略接口FW-NAC提供鉴权后可使用的接口维护网络访问控制策略,支持与DevSecOps、GitOps、工作流系统、安全分析系统等进行关联控制,灵活性更高。
设备标签FW-NAC支持基于标签的网络访问控制策略;所有被打标签的设备依据标签策略建立通信。标签可以是设备的角色信息,如“办公设备”;可以是设备的用途信息,如“测试设备”。被打标签的设备将脱离设备所有者的策略范围。
群组策略FW-NAC支持用户分组的方式快速配置网络访问控制策略。
用户策略FW-NAC支持为单个用户配置网络访问控制策略。
控制面板提供专门的控制面板配置FW-NAC系统,该系统为不同角色提供不同功能;系统内置的角色包括管理员、网络管理员、IT管理员、审计员、成员,每个角色有各自的菜单和功能权限。

内容安全

内容安全指在飞网中运行的各种应用、通信的业务数据、以及飞网构建的内容生态

功能说明个人用户SAAS云服务独立部署
资产管理FW-NAC支持跨网络远程组网,同时让资产管理(资产盘点)能力得到极大的延伸;FW-NAC控制所有设备的联网过程,并将其作为一种联网资产进行管理,其管理粒度更细,更精准,更全面。
统一域名解析飞网网络中所有入网设备将获得全网唯一的IP地址和域名地址;同时支持与物理网络现有的域名解析服务整合为统一的域名解析。如出差的员工可以使用部署在公司内网的DNS解析服务。
覆盖本地域名解析FW-NAC控制中心的管理策略中,可开启强制要求所有飞网网络入网设备使用统一域名解析。
文件传输飞网网络内部可以像在局域网中一样,在同一个用户的设备间,方便地传输文件,且该文件加密传输。
零信任SSH飞网终端程序内部集成SSH功能,该功能强制使用密钥协商的方式建立安全连接,相比口令方式或固定密钥的方式更安全,同时支持SSH录屏功能,支持操作系统登录用户限制等策略,无需开启SSH协议的22端口,安全性优于堡垒机。
域名证书FW-NAC为每个加入飞网的设备提供了唯一的设备域名,并支持自动申请下发域名证书。
授权密钥飞网入网设备除使用系统指定的身份认证系统登录飞网外,还可使用授权密钥方式登录飞网。
服务清单FW-NAC控制中心将集中收集和管理所有入网设备的服务清单。
服务发布飞网终端程序提供多种解决方案,便于应用系统在飞网内部的服务发布和上线。
Nginx连接器提供专门的Nginx连接组件,用于基于Nginx的自动化身份认证,支持通过Nginx实现业务系统服务部分隐身功能。
飞网WAF提供专门的WAF组件,实现流量Web清洗。
API访问令牌管理员可通过FW-NAC控制面板,生成可以访问飞网API的访问令牌。
特权账户管理基于身份网络的安全特性,业务系统可轻松提取访问用户真实网络身份,实现特权账户和访问者的强关联。

设备安全

飞网的入网设备需安装专门的飞网终端程序,配合FW-NAC控制中心执行统一管理

功能说明个人用户SAAS云服务独立部署
设备批准新设备进入飞网网络前,管理员可在FW-NAC控制面板中配置是否批准该设备入网。
设备免密登录入网设备在身份验证成功并进入飞网网络后,管理员可限制其免密登录的最长时间间隔。
安全状态检查FW-NAC可依据设备安全状态,决定该设备是可以进入飞网,该功能需要与EDR等安全产品对接。

安全审计

审计记录包括飞网管理日志、飞网入网设备的网络日志

功能说明个人用户SAAS云服务独立部署
监控大盘FW-NAC提供汇总的系统运行状况大盘展示,可查看设备数量统计、设备分布情况、在线用户数量、网络拓扑(以网络拓扑的形式实时展示设备之间的访问关系)等。
管理日志FW-NAC控制面板中提供审计功能,详细记录飞网的管理动作。
网络日志飞网内部网络层审计记录保存在每个入网节点的设备中,入网节点及时报送审计记录至飞网日志中心;所有日志记录位置互为备份,可互相印证;飞网日志中心的审计记录可以覆盖复杂网络下的所有网络位置,并提供每个入网节点的网络层审计功能,包括进出飞网、通信、流量统计分析等;每个审计记录均可以关联到通信的双方并相互验证,任何一方篡改并提交审计记录,都会在审计记录对比分析时暴露。

系统集成

飞网提供了一系列接口用于不同产品间的集成

功能说明个人用户SAAS云服务独立部署
安全产品集成提供EDR、态势感知等安全产品对接接口,协助FW-NAC执行网络访问控制策略。
工作流集成提供与CI/CD、DevOps、工作流等产品对接接口。
身份认证系统集成FW-NAC可使用内置的账号系统登录,同时支持灵活设置的身份认证方法。包括:使用飞网身份认证和访问管理系统FW-IAM登录、使用自定义的身份认证系统登录、使用第三方扩展登录。

售后服务

说明个人用户SAAS云服务独立部署
常规功能优化和升级
产品使用培训用户可享受一次产品使用培训,帮助用户更快地掌握飞网的使用。
技术支持可在工作日期间通过联系我们以获得使用飞网的帮助。
上次更新: