飞网网络访问控制系统(FW-NAC)
飞网零信任网络访问控制系统(FW-NAC),用于将您的网络升级为智能、统一、合规的身份化安全网络,彻底解决数据在传输过程中的安全风险。授权的用户和设备,方可通过最小权限访问网络资源,从源头上大幅减少了网络攻击的产生。
无需专门网络知识,“零配置”即可接入飞网。飞网将自适应各种网络变化,自动生成微隔离策略;自动维护通信链路,自动设置网络、防火墙参数,自动升级最佳通信线路,全面支持CI/CD持续集成、持续交付和持续部署。
支持纯内网部署,或各种复杂网络下部署,实现任意点到点的网络连接与访问控制,可在复杂的网络中灵活组网,连接更简单,访问更安全。
符合微隔离的全部技术要求:包括设备(操作系统)级、应用级、进程级的点到点的访问控制,并保证各节点间的传输数据安全,任何第三者无法逆向分析通信报文。
支持在操作系统、容器或进程中,通过虚拟网卡、应用协议栈或SDK的方式接入飞网,实现全网加密,符合密钥使用的最佳实践。
隐身技术是实现微隔离的基础,在网络边界、主机或容器中的服务隐身,采用非对称密码技术和动态端口阻止未授权的访问,无需开放固定端口,网络零暴露,护网无压力。
边缘计算是网络软件与网络驱动之间的嵌入式中间程序,由飞网控制中心远程管理,负责实现各种安全功能;可运行在操作系统、容器,或SDK中;边缘内部有独立IP地址、域名和联网控制,边缘外部加密传输。
所有的安全环节(终端、网络、应用、数据、分析和响应),都可以简单准确地提取获得访问者的身份信息。让网络攻击暴露在阳光下,攻击者无处遁形。
全网唯一的可信网络解决方案;飞网支持开启可信网络认证,只有签名的公钥节点之间可以通信,通过结合TPM等硬件可实现设备层到网络层的可信传递。
通过四类网关(出口网关、入口网关、子网网关、应用网关)分别控制整个网络的内外联、网络延深、对外服务;或者实现阶段性、选择性部署飞网终端;实现非法内外联管理。
对于业务通信的双方,飞网将自动选择直传、路由转发、链路协商等方式确保网络连接,加密的业务通信不经过飞网控制中心,自动匹配最佳的通信链路,无须担心业务数据泄露。
全网最快的安全连接解决方案;对于通信双方,飞网将自动建立安全的访问链路;对于一次全新的访问过程,仅需一次往返即可完成安全连接的建立。
全网最强的,基于远程组网的非法内联、外联解决方案;无论是操作系统、容器或进程,飞网将独立控制其联网过程,并将其作为一种联网资产进行管理,其管理粒度更细,更精准。
飞网身份认证和访问管理系统(FW-IAM)
飞网身份认证和访问管理系统(FW-IAM,注:准确分类应为ICAM产品)提供集中的身份认证和管理、集中的凭证发行和撤销、集中的权限管理和验证、集中的角色分配和下发,通过标准接口,规范业务系统的开发、集成、测试和运维,实现安全能力对齐和安全产品联动。
提供组织内部的数字身份生命周期管理功能,使用SCIM 2.0进行跨域身份管理,支持LDAP的身份同步。
业务系统可使用FW-IAM输出的角色信息自行限定访问权限;或者在FW-IAM中集中配置访问控制策略,访问业务系统时需要先调用FW-IAM的权限接口,根据权限判断结果决定是否给出响应。
业务系统可使用FW-IAM提供的集中日志输出组件,配置并使用集中日志功能,也可配置集中记录完整的可观测性指标(日志、指标、跟踪数据)。
提供身份认证和访问管理功能,用户可以使用一组登录凭证访问多个业务系统。提供单点登出功能,业务系统可通过会话管理执行单点登出策略。
统一业务系统的开发标准、安全标准。支持OAUTH 2.0、OpenID Connect、FAPI、Credential Issuer、ACRS、WS-Federation、SAML 2.0、SCIM 2.0等标准协议。
支持各种类型的业务系统,其中包括支持金融级API(FAPI)安全保障的业务系统,FAPI标准由OpenID基金会扩展,可用于金融行业的API增强安全要求。
系统默认提供控制台、密码、邮件、短信、Webauthn、推送平台等认证方式的一种或多种组合,支持设置基于Oauth的扩展登录。
提供用户访问凭证验证功能,提供可验证和防篡改的凭证发行,如数字证书的发行和验证。
提供多种身份认证方式自定义组合认证(多因素身份认证),并可以通过身份验证上下文在业务系统中提供补充的身份认证,如敏感操作时通常会要求提供短信验证码。
支持使用专门的移动APP扫码认证,该APP使用 FIDO U2F标准协议开发,采用公钥加密技术实现身份认证。
支持团队隔离,不同团队间有互相独立的角色和用户、业务系统(Oauth客户端)、资源系统。
支持多种类型的业务系统进行身份认证,标准的业务系统、符合FAPI2.0的业务系统、其他类型的业务系统。