docurl=/cn/Products_And_Solution/Proactive_Security/Solutions/202012/1367690_473262_0.htm

远程办公解决方案

【发布时间:2020-12-24】

方案背景

随着互联网技术的发展,分散化办公给我们带来更多的便利和快捷,然而分散化办公也给企业安全管理带来很多新的问题,迫切需要一套成熟的远程办公安全解决方案,来解决企业安全管理中所面临的以下安全问题:

人员安全管理问题

用户身份识别面临考验、认证介质遗失隐患较大、员工违规行为、合作方及外部人员安全管控难题、缺乏专业安全人员。

设备管理问题

移动终端系统安全、终端被仿冒、资金不足。

远程办公网络建设问题

企业边界模糊化、数据传输安全考量、不易管理、缺乏智能、处理性能

业务安全隐患

权限最小化控制、越权操作、内网业务安全、安全性与工作效率需要兼顾

数据安全

核心数据泄露、高级恶意威胁

方案详解

1. 多场景接入认证:

内网接入;

内部分支机构,终端用户接入分支结构的接入网关,分级机构网关和异地网关之间通过IPSec VPN隧道连接;

外网PC加装VPN,用户终端和VPN网关之间通过SSLVPN建立隧道,访问内网业务系统或虚拟桌面;

客户端通过公网访问虚拟桌面,可选择叠加SSLVPN或不叠加。

2. 出口网络审计

无分支机构出口审计场景:

不改变网络拓扑,旁路部署于核心层,仅针对上网行为进行分析和审计,不提供控制功能

设备本地日志记录,日志也可发送到集中管理和数据分析中心处理,并可进行数据分析

在小型VDI部署中,ACG可以直接作为出口网关部署,保障关键应用和服务的带宽,串接进网络内实现上网行为管理功能

提供完整的覆盖用户网络审计的要求,提供用户URL访问记录,细分提供恶意URL日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志等细分审计内容

分支机构场景:

在有分支机构场景中,ACG部署在分支和总部的出口,对广域网流量进行业务识别,并按业务进行流量调度

广域网应用可视化:ACG上基于应用、时间、用户三个维度的流量统计和报表功能,可为广域网带宽问题排查和带宽优化提供直观依据。

广域网关键业务带宽保证:ACG动态识别视频会议等关键业务,并提供带宽保证;

限制广域网上的滥用流量:通过限制上传、下载、影视等滥用流量,保护广域网上有限的带宽资源。

全网策略统一管理及日志收集展示:ACG1000系列配合日志分析与集中管理平台软件,可为用户提供全网统一化的设备、策略管理,而全网日志则可以统一收集,实现管理节点下沉、权限清晰、报表统一的效果;

基于Internet的IPSec VPN互联网络:针对没有拉通专线的企业级用户,ACG1000系列可提供高性价的IPSec VPN组网方案,使用户可以高效的基于Internet即建立起广域网内网通道;

3. 内网访问控制和审计:

内网终端与企业内网之间访问的控制和审计,确保内网内容安全。

隔离内网终端和企业内网

内网访问基于URL的过滤

内网访问基于用户的流量管理及

内网访问日志审计

方案优势

更丰富、更安全的接入和认证方式

SSLVPN支持钉钉/企业微信认证,支持企业APP加固,便利接入

TLS1.3,提供更高的安全性

SSLVPN全面支持IPv6

灵活的多因素认证:口令、公钥、USBKey、短信、第三方认证等多种认证方式,且可以任意组合

自研VDI云桌面接入

自研VDP协议,保障用户在低带宽下享受更好的使用体验

全流程内容保护和审计

外设权限管控

显性水印+盲水印

增强的内网安全及全栈风险可视化

未知应用管控:NGFW实现最小化授权,通过简便的配置,仅放通业务需要的应用,未知应用一律阻断

安全风险分析:NGFW具备高度的可见性,并在可此基础上做应用分析和攻击链分析,应对高级恶意威胁

资产风险评估:NGFW具备高度的可见性,对企业资产的风险状况进行动态评估,并为客户推荐策略

SSL卸载及不解密检测加密流量,应对各种恶意命令与控制连接

全面践行NIST零信任模型

人-设备-网络-业务-数据信任链的持续更新

态势感知、零信任防火墙、可信API网关、终端安全软件的联动配合

细致的管控粒度:NGFW和API可信网关具备基于用户、应用、URL、API级粒度的管控能力,精准控制,兼顾高度的安全性和业务的灵活性

联系我们