按照如下步骤企业普通用户加入团队网络。

企业普通用户使用手册

1 使用飞网

1.1 登录飞网控制面板

1.1.1 选择登录飞网控制面板的方式

    用户可以选择使用飞网IAM（飞网身份和访问管理系统）登录或者使用第三方扩展登录（微信、支付宝等）。

    登录飞网控制面板的地址：https://connector.gmzta.com:44390/auth?

1.1.2 使用飞网IAM登录飞网控制面板

    飞网IAM是飞网内置的身份认证和访问管理系统。

    为了方便管理以及配置访问控制策略，建议对企业员工的用户名进行限制。如果某个企业员工只需加入一个团队网络，或者所要加入的团队网络为企业的默认网络，我们建议该用户使用姓名的拼音注册飞网账号；如果该员工需要加入多个团队网络，我们建议使用姓名的拼音+团队网络名称的形式注册飞网账号。如果是同名用户，建议在拼音后面增加数字作为区别。

    注：使用姓名的拼音作为账户名，增加了暴力破解的风险，同时如果用户在多个系统使用相同密码时增加了密码泄露的风险（该风险与邮件系统类似，企业一般要求员工使用姓名的拼音作为邮件地址），飞网控制中心可以识别并阻断暴力破解，但仍建议每个账户开启多因素身份认证功能。

    飞网账号注册地址：https://iam.gmzta.com:44390/master/Home/Profile#Account/Register

    用户使用注册成功的飞网账号登录飞网控制面板。

    同一个账号可登录该账号所有者管理的所有设备；同一个设备，通过不同的飞网账号可以进入不同的团队网络。不建议在同一个设备中使用不同设备责任人的账号登录。

    用户可以使用扩展登录的方式访问飞网控制系统，飞网目前仅支持微信扫码的方式进行扩展登录。使用微信扫码的方式登录飞网可有一次修改用户名的机会。

    对于服务器设备，也可以使用管理员申请的Auth密钥代替账号进行登录。

    飞网控制面板地址：https://nac.gmzta.com:44390/

1.1.3 使用第三方扩展登录

    用户可以使用其他第三方扩展登录扫码授权直接登录进入飞网控制面板，注意：此处的使用微信登录与使用飞网IAM的微信登录不同，此处的使用微信登录是直接将微信授权于飞网的访问控制管理系统，上述中飞网IAM的微信登录是将微信授权于飞网的身份认证和系统。

1.1.4 选择加入的网络

    用户初次登录控制面板时，只有个人网络可选。待加入团队网络之后才可选择团队网络。

1.1.4 绑定用户信息

    用户初次登录飞网控制面板，需要先绑定个人信息。用户标识由英文字母和数字组成，是该网络空间的唯一识别信息。建议使用“姓名拼音”，或者常用的“用户名”作为用户标识。并进行手机号和电子邮箱验证。取消验证或验证未通过将导致当前账号无法登录飞网客户端和加入团队网络。

1.2 开启多因素身份验证（选读）

    我们强烈建议您在登录飞网控制面板后开启多因素身份验证MFA，多因素身份验证要求用户在登录飞网时提供多个不同类型的身份验证因素，为账号提供了更高级别的安全性。开启多因素身份验证的步骤如下：

1. 在飞网用户中心页面的右上角>点击“设置”>点击“多因素身份验证”。

2. 用户可以选择“添加身份验证器应用”与“设置FIDO2密钥”其中的一种应用进行开启。

    1) 如果选择“添加身份验证器应用”可按以下步骤操作。

    2) 若选择“设置Fido2密钥”，选择“新增FIDO密钥”。

3. 开启之后生成的恢复码请妥善保存，恢复码用于无法进行多因素身份认证时的应急登录。

1.3 普通用户加入团队网络

    1. 被邀请的普通用户打开生成的邀请链接后，点击“同意加入”。

    2. 出现“您已成功加入XXX”表示成功加入。注：如果您已经提前登录了飞网终端程序，您需要手动登出后重新登录飞网（右键点击桌面托盘处的飞网图标->当前用户XXX->登出飞网）。

    3. 重新登录之后，需要您选择加入的团队网络。

1.4 普通用户下载安装飞网终端

    1. 飞网终端程序下载地址https://www.gmzta.com/download/fwclient.html使用飞网通信的设备需要下载安装飞网终端，管理员有访问需求也可以下载安装飞网终端。     2. 以windows为例，安装过程如下：

    其他操作系统安装飞网终端的过程可参考： https://www.gmzta.com/download/fwclient.html

1.5 普通用户登录飞网终端

下载安装之后需要运行并登录飞网终端程序，下面以windows为例。

    1. 在桌面上双击飞网图标

    2. 用户可以在系统桌面右下方托盘处右击飞网图标，点击“登录飞网”。或者通过命令行的方式登录飞网，登录的命令为“gmzta login”。注意：Windows中，执行“gmzta login”需要同时运行飞网终端程序，其他操作系统无此要求。

    3.     3. 在弹出的飞网控制面板上选择登录方式，登录，选择要连接的网络，连接设备。

    至此，您已经完成飞网终端程序的登录动作，管理员为当前设备配置的访问控制策略将实时、动态地下发至该设备。

    其他操作系统登录使用飞网终端程序可查看：

https://www.gmzta.com/download/fwclient.html

1.6 简单的网络测试

    现在，您的设备已经加入飞网，您可以借助允许访问的两台设备，来进行简单的网络测试。注：查看飞网IP可参考附录A.1章节，查看飞网域名可参考附录A.2章节。

1.6.1 使用ping命令测试

    加入飞网的每个设备都将获得一个100.64.0.0/10网段的IPV4地址（100.64.0.0到100.127.255.255区间，IPV6为fd7a:115c:a1e0::/48），允许访问的设备间可以使用Ping命令测试网络联通性。您可以使用ping 100.x.x.x(飞网IP)或ping xxx（飞网域名/设备名，需开启统一域名解析的功能）的方式验证飞网的连接，如下图所示。其中，设备的完整域名为“ceshishebei.aila.gmzta.net”，该格式为“设备名.团队名.gmzta.net”。

    飞网将自动添加“团队名.gmzta.net”为自动搜索域，所有您可以直接“ping 设备名”。

1.6.2 访问web示例应用

    您可以部署一个简单的web应用来测试飞网的连接，本文使用HFS模拟被访问的网站系统。HFS为绿色软件，下载地址为 https://www.rejetto.com/hfs/?f=dl

    在飞网的节点A中，双击打开“hfs.exe”，设置HFS监听飞网IP（格式为100.x.x.x），无需其他配置。

    在允许访问节点A的8080端口的另一台设备中，访问该HFS应用，使用http://100.x.x.x:xx:8080（节点A的飞网IP地址+端口），

    或http://xxx:8080（节点A在飞网中的域名+端口，开启统一域名解析的功能后才能使用域名访问），看到以下界面表示成功通过飞网访问该服务

2 配置案例

2.1 通过飞网访问快测系统

    在部署快测的操作系统上下载安装飞网终端，使用设备责任人的飞网账号登录飞网终端。该操作系统的IIS管理器的配置：参考该文的附录B.1章节。

    绑定飞网网络之后，在飞网的同一个网络的其他设备可通过快测系统的飞网IP或飞网域名进行访问。在过渡期间，您可以我们将快测系统绑定所有网络，后期可以只绑定飞网（即只能通过飞网访问快测系统）。

2.2 通过飞网访问公司内网资源

    对于某些无法部署飞网终端的设备或网段，或者在使用飞网初期，通过在“相同网段且安装飞网终端的设备”上开启“子网网关”的功能可将该设备或网段快速接入飞网。注：子网中的设备无法主动访问飞网内部资源。

    以公司中的某些内网资源为例，如果这些资源中可以安装飞网终端，则可以像“访问快测系统”那样访问这些内网资源；如果这些资源暂时无法安装飞网终端程序，可在该网段中某台安装飞网终端的设备中开启“子网网关”的功能。

    假设在互联网中的B设备需要通过开启“子网网关”功能的A设备访问与A设备在同一网络的资源C，其操作步骤如下所示：

2.2.1 在A设备中开启子网网关

    在确定开启子网网关的设备A（开启子网网关的设备可以为windows系统或者Linux系统），以及子网网段后，在A设备命令行中执行如下命令：

// windows中
gmzta on --subnetnode=192.168.1.0/24,10.10.8.0/24
//将上面示例中的子网替换为自己的网段，可以是IPV4或者IPV6。

//Linux中，需要先启用IP转发
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf
//开启子网网关的功能，将局域网所在内网网段暴露给飞网
sudo gmzta on --subnetnode=192.168.1.0/24,10.10.8.0/24
//将上面示例中的子网替换为自己的网段，可以是IPV4或者IPV6。

2.2.2 管理员通过控制面板授权

    上述命令执行完后，需要管理员批准该子网网关的功能，方可生效。管理员在控制面板中打开“设备详情”，找到设备A，点击“编辑”。

    在“子网网关”位置将允许的网段打开开关，点击“保存”。

2.2.3 管理员设置子网访问控制策略（选读）

    如果使用默认“全部允许”的访问控制规则，则不再需要执行本步骤。否则，您可以进一步配置针对子网的访问控制策略。详细配置可访问飞网官网https://www.gmzta.com查看。

2.2.4 允许B设备使用子网网关

    在需要访问子网的B设备上，您需要该设备“允许使用子网网关”功能。该功能在Windows、macOS和 Android 上默认允许。

    在Linux中，您需要手动开启，通过--subnet命令启用此功能。 sudo gmzta on --subnet=true

    此时，B设备可通过开启子网网关的A设备访问“192.168.1.0/24","10.10.8.0/24"这两个网段里的资源C。

2.3 通过飞网进行远程连接

    零信任“永不信任、持续验证、最小权限”的理念，需要我们在任何的访问之前提供明确的身份认证信息，并将可以访问的资源限定在最小的范围内。在飞网中，所有的通信过程都在明确身份的条件下进行的，飞网的访问控制策略可以实现最小权限的要求，所以我们建议您将所有的通信限制在飞网中。

    以远程连接为例，我们使用SSH或MSTSC远程连接Linux或Windows服务器。过去我们通过堡垒机的方式进行身份鉴别，访问控制以及安全审计，但堡垒机作为连接中转的设备，本身赋予了过大的权力，不符合最小权限的要求，由于堡垒机自身的漏洞带来的安全风险，也是我们不能承受的。本节将为您介绍如何在飞网中安全地远程连接。

2.3.1 远程连接Linux服务器

    常见的SSH认证方式为密码认证和密钥认证，密码认证方式比较简单，且每次登录都需要输入用户名和密码，密钥认证可以实现安全性更高的免密登录。在飞网中，使用SSH连接将是一种全新的体验。飞网将密钥认证和身份认证进行统一，并且可以通过访问控制策略进一步限定SSH的访问，具体包括：

     可以连接和使用SSH功能的用户或设备；

     SSH时是否需要额外的一次身份认证；

     SSH时额外身份认证的时间间隔；

     SSH时是否可以Root身份登录；

     SSH时可以使用的用户名；

     是否开启SSH录屏功能并可以自定义录屏设备；

    另外，使用飞网SSH时，无需安装SSH服务端，无需开启22端口。使用录屏功能时，需要单独部署录屏服务端。

    下面是配置使用gmzta ssh的示例：

    有两台加入同一个团队网络的A设备与B设备（Linux），A设备通过gmzta ssh的方式连接到B设备。

    1. 在被连接的B设备上运行命令 sudo gmzta on -–ssh

    2. 在访问控制策略上需添加以下规则以允许gmzta ssh连接。

  "Ssh": [
    {
      "Action": "check",
      "Src": [
        "autogroup:members"
      ],
      "Dst": [
        "autogroup:self"
      ],
      "Users": [
        "autogroup:nonroot"
      ]
    }
  ],

    SSH规则说明: 允许用户通过SSH访问本人名下的设备禁止Root账户，但允许使用其他账户登录。

    3. 在A设备上，您需要使用命令gmzta ssh 用户名@<被连接设备的飞网IP|域名>（使用域名需开启统一域名解析的功能）连接到指定设备的指定用户。

2.3.2 远程连接Windows服务器

    使用Windows远程桌面连接时，只需在防火墙策略中限定使用飞网的地址访问即可。飞网本身已经完成了身份认证，并且可以限定只能通过飞网连接Windows远程桌面，具体配置过程如下图所示。

2.4 网络访问控制策略NACP示例

网络访问控制策略NACP用于控制飞网内部节点间的访问关系。本节以示例的方式简单介绍访问该策略的内容。

2.4.1 默认的网络访问控制策略NACP

    默认的NACP允许加入飞网的所有设备之间互相访问。

{
  "Acls": [	
    {
      "Action": "accept",
      "Src": [
        "*"
      ],
      "Dst": [
        "*:*"
      ]
    }
  ],
  "DisableIPv4": false,
  "RandomizeClientPort": false
}

2.4.2 修改网络访问控制策略NACP

    示例：“网络中存在server1与server2两个应用系统，a、b两个用户组，NACP策略为a用户组能访问server1系统，a、b两个用户组能访问server2系统”，其对应的NACP应配置为（“zhangsan@example”中zhangsan为用户名，example为团队网络名称）：

{
  "groups": {
    "group:a": ["zhangsan@example"," lisi@example"],
    "group:b": ["wangwu@example"]
  },
"hosts": {
    "server1": "100.1.2.3",
    "server2": "100.2.3.4"
  },
  "Acls": [
    {
"Action": "accept",
      "Src": ["group:a"],
      "Dst": ["server1:443"]
    },
    {
      "Action": "accept",
      "Src": ["group:a","group:b"],
      "Dst": ["server2:443"]
    }
  ],
  "DisableIPv4": false,
  "RandomizeClientPort": false
}

    了解更详细的访问控制策略，您可以访问https://www.gmzta.com/acl/format.html

2.5 申请指定飞网域名的服务器证书

    应用系统部署时，通常需要指定服务器域名对应的服务器证书。在飞网中，每个设备都有各自的域名，每个设备都可以通过命令行一键申请该域名的服务器证书。本节将介绍如何开启证书功能并申请服务器证书。

2.5.1 生成飞网域名证书

    1. 前提条件：管理员已经开启统一域名解析功能。

    2. 管理员用户需要在控制面板中的“DNS设置”页面>点击“开启HTTPS证书”。

    3. 飞网中各个节点的用户，可以在命令行中输入：gmzta cert <设备完整域名>（查看设备完整域名的方式可参考附录A.2章节），则该域名证书将自动下载到对应目录中。。

    4. Windows中，生成的证书与私钥的默认存放位置为C:\ProgramData\Gmzta\certs；Linux中，该路径为：/var/lib/gmzta/certs

2.5.2 生成pfx证书文件

    1. 部分场景需要使用pfx格式的域名证书，推荐使用openssl命令生成：

openssl pkcs12 -export -out <pfx证书名称> -inkey <密钥文件名.key> -in <证书文件名.crt>

    使用以上命令可将crt与key文件合并为pfx文件，具体如下图所示：

    2. 或者您可以在线生成pfx文件：https://www.myssl.cn/tools/merge-pfx-cert.html     3. Windows中，您可以双击打开并安装pfx文件。