配置说明
1. 飞网接管 LAN
是否允许所有LAN接口流量仅经过飞网加密传输,即飞网接管LAN口。该功能常用于:在不使用出口网关时,限制LAN接口的设备访问互联网,使其仅可以加密访问飞网内部资源;使用出口网关时,LAN接口设备所有流量经飞网加密传输至飞网出口网关并流出。
- LAN接口的设备仅允许访问飞网网络资源,含统一出口功能。
- 限制LAN接口设备直接访问WAN接口网络,提高网络安全性。
- 适用于需要严格流量监控和管理的环境。
用户痛点: 公司基于网络安全考虑,实施统一的互联网访问管理策略,只允许特定设备上网。但是分公司员工需要通过互联网访问总公司的业务系统,所以分公司员工都可以使用互联网,无形中增加了互联网外部风险。
解决方案: 使用飞网路由器限制员工的互联网访问,同时还能满足访问与工作有关的网络资源。公司部署了飞网路由器,开启飞网接管LAN的配置,员工的设备将无法访问互联网,只能访问飞网的网络资源。
2. LAN 访问飞网
允许“连接到本机LAN接口的设备”单向访问飞网中的其它节点(本机作为子网路由)。
- 允许LAN接口内设备通过飞网硬件访问飞网的网络资源。
用户痛点: 员工使用VPN、其他零信任产品远程访问总公司的OA系统、ERP系统、财务系统。管理员需要配置端口映射,以部署VPN服务,和其他的零信任产品,增加了网络管理难度和入侵风险。
解决方案: 通过在分公司部署飞网路由器,员工电脑只需接入飞网路由器,即可访问部署在总公司的OA系统等,具有传输过程加密,系统服务隐身,微隔离访问控制等安全功能。
3. 飞网访问 LAN
允许飞网中的其它节点单向访问“连接到本机LAN接口的设备”,需要在飞网控制面板中批准此LAN口子网(本机作为子网网关)。
- 允许飞网中的设备访问飞网路由器LAN的资源。
用户痛点: 公司员工频繁出差,同时公司需要外出员工访问公司的OA系统。为此公司决定将OA系统部署在公司网络的互联网边界,此时OA系统直接暴露在互联网中,且经常发生OA系统被网络攻击的安全事件。
解决方案: 张三在自己的笔记本电脑和手机上安装了飞网客户端,公司将OA系统接入飞网路由器,此时OA系统无需在互联网暴露任何端口。张三在出差期间无论身处何地,只需登录飞网客户端,便可以轻松访问公司内部业务系统。公司的网络管理员在飞网的控制面板中配置微隔离访问控制策略,确保只有授权的出差员工可以访问特定的公司内网资源,保护了公司的敏感数据。
4. WAN 访问飞网
允许“连接到本机 WAN 接口的设备”单向访问飞网中的其它节点(本机作为子网路由)。
- 允许 WAN 接口内的设备通过硬件飞网硬件访问飞网网络中的资源。
- 远程员工的设备(连接至 WAN)可以通过硬件飞网硬件访问公司内部的资源,例如内部文件服务器和数据库,以便在家或出差时保持工作效率。
- 企业总部的服务器(连接至 WAN)可以通过硬件飞网硬件访问分支机构的内部网络,获取实时数据或协同工作,提升对分支的管理和数据共享。
- 需要访问外部云服务的设备(连接至 WAN)可以通过硬件飞网硬件更安全地接入云端的应用和资源,减少公网暴露,确保数据的私密性和传输的安全性。
5. 飞网访问 WAN
允许飞网中的其它节点单向访问“连接到本机 WAN 接口的设备”,需要在飞网控制面板中批准此 WAN 口子网(本机作为子网网关)。
- 允许飞网中的设备通过飞网硬件访问 WAN 接口的设备。
- 飞网网络内的监控节点可以通过硬件飞网硬件的 WAN 接口访问远程的传感器、工业设备等,实现对分布式采集设备的集中管理。
- 总部飞网节点通过飞网硬件的 WAN 接口访问分支机构的特定设备(如生产设备、库存系统等),便于实时监控和信息同步,确保跨区域设备的协同工作。
6. 接收其它子网网关策略
接收飞网控制中心推送的其它子网网关策略,当您勾选“LAN访问飞网”或“WAN访问飞网”时,LAN或WAN下设备就可以访问到其它子网网关下的子网地址。
- 支持接收并处理来自其飞网控制中的其他子网策略。这使飞网硬件的访问其他子网,开启“LAN访问飞网”和“WAN访问飞网”后,可以让LAN接口与WAN接口下设备访问飞网中其他子网资源。
用户痛点: 张三在网络安全检查时,发现有攻击设备伪装成门禁的IP和MAC地址对内网有大量的异常扫描行为。虽然公司开启了MAC认证的方式实施网络准入,但无法避免MAC地址伪造。
解决方案: 在哑终端设备所在的网段部署了飞网子网网关,通过飞网实现精确控制哪些设备可以访问这些哑终端设备,以及限制这些哑终端设备只能是被访问。
7. 接收统一域名解析策略
接收飞网控制中心推送的DNS配置,当您勾选“LAN访问飞网”时,LAN接口地址可以使用飞网节点域名。
统一域名解析策略使飞网硬件能够按照一致的规则处理域名解析请求,从而提高网络访问的效率和稳定性。
使用场景- 通过统一的 DNS 配置,分支机构的设备可以通过飞网快速解析和访问总部的内部资源(如内部应用、文件服务器等),避免不同网络间的 DNS 配置不一致问题,提高访问效率。
8. 出口网关策略
请选择出口网关策略,作为出口网关时需要在飞网控制面板中批准。出口网关通常作为访问互联网的集中出口。
- 让飞网硬件开启出口网关,或使用出口网关,作为访问呢互联网的集中出口
用户痛点: 张三在外出差期间,通过不安全的WIFI网络,下载安装了某病毒木马软件。返回公司后,张三的电脑病毒在公司大面积传播,导致大量设备出现异常。
解决方案: 通过在公司内部网络部署飞网出口网关,可以安全地将所有使用出口网关设备的流量通过飞网出口网关进行转发,员工在公共网络环境中工作时,既可以安全访问公司内部资源,也可以安全访问互联网。飞网路由器开启使用出口网关的功能,可强制将连接飞网路由器的设备使用飞网出口网关,将全部流量在飞网出口网关上进行统一转发,同时也可限制只能访问特定服务。
用户痛点: 王老师是一名大学老师,经常在知网上下载文献,在学校可以通过校园网免费下载文献,但在家里使用家庭网络下载知网文献需要付费下载。
解决方案: 在校园网部署飞网出口网关,王老师在家使用飞网,全部流量由飞网出口网关统一转发,这样家里也一样可以免费下载知网文献。
用户痛点: 公司国际业务要求使用国外通信软件与国外客户沟通。但在国内访问受限、连接不稳定、连接被重置、DNS污染等问题,影响了业务的正常开展,降低了工作效率。
解决方案: 公司在国外办事处采购飞网路由器,并配置作为飞网出口网关的功能。此时,国内连接飞网路由器的设备或者安装飞网客户端的设备,都可以使用该飞网出口网关,访问国际互联网,进行科学上网。飞网管理员可以通过配置访问控制策略,限制可以使用出口网关的设备,并通过统一DNS服务,限制可以访问的外网地址,确保安全合规的科学上网。
9. 自定义参数
按需配置飞网gmzta程序的启动参数。格式:--flags=value,每个输入框中可录入一条,如:“--subnetnode=10.0.1.0/24”。
- 使用gmzta的自定义启动参数,该功能允许用户根据实际需求精确调整网络设置,满足企业网络环境中的复杂需求。