方案背景

随着互联网技术的发展，分散化办公给我们带来更多的便利和快捷，然而分散化办公也给企业安全管理带来很多新的问题，迫切需要一套成熟的远程办公安全解决方案，来解决企业安全管理中所面临的以下安全问题：

人员安全管理问题

用户身份识别面临考验、认证介质遗失隐患较大、员工违规行为、合作方及外部人员安全管控难题、缺乏专业安全人员。

设备管理问题

移动终端系统安全、终端被仿冒、资金不足。

远程办公网络建设问题

企业边界模糊化、数据传输安全考量、不易管理、缺乏智能、处理性能

业务安全隐患

权限最小化控制、越权操作、内网业务安全、安全性与工作效率需要兼顾

数据安全

核心数据泄露、高级恶意威胁

方案详解

1. 多场景接入认证：

内网接入；

内部分支机构，终端用户接入分支结构的接入网关，分级机构网关和异地网关之间通过IPSec VPN隧道连接；

外网PC加装VPN，用户终端和VPN网关之间通过SSLVPN建立隧道，访问内网业务系统或虚拟桌面；

客户端通过公网访问虚拟桌面，可选择叠加SSLVPN或不叠加。

2. 出口网络审计

无分支机构出口审计场景：

不改变网络拓扑，旁路部署于核心层，仅针对上网行为进行分析和审计，不提供控制功能

设备本地日志记录，日志也可发送到集中管理和数据分析中心处理，并可进行数据分析

在小型VDI部署中，ACG可以直接作为出口网关部署，保障关键应用和服务的带宽，串接进网络内实现上网行为管理功能

提供完整的覆盖用户网络审计的要求，提供用户URL访问记录，细分提供恶意URL日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志等细分审计内容

分支机构场景：

在有分支机构场景中，ACG部署在分支和总部的出口，对广域网流量进行业务识别，并按业务进行流量调度

广域网应用可视化：ACG上基于应用、时间、用户三个维度的流量统计和报表功能，可为广域网带宽问题排查和带宽优化提供直观依据。

广域网关键业务带宽保证：ACG动态识别视频会议等关键业务，并提供带宽保证；

限制广域网上的滥用流量：通过限制上传、下载、影视等滥用流量，保护广域网上有限的带宽资源。

全网策略统一管理及日志收集展示：ACG1000系列配合日志分析与集中管理平台软件，可为用户提供全网统一化的设备、策略管理，而全网日志则可以统一收集，实现管理节点下沉、权限清晰、报表统一的效果；

基于Internet的IPSec VPN互联网络：针对没有拉通专线的企业级用户，ACG1000系列可提供高性价的IPSec VPN组网方案，使用户可以高效的基于Internet即建立起广域网内网通道；

3. 内网访问控制和审计：

内网终端与企业内网之间访问的控制和审计，确保内网内容安全。

隔离内网终端和企业内网

内网访问基于URL的过滤

内网访问基于用户的流量管理及

内网访问日志审计

方案优势

更丰富、更安全的接入和认证方式

SSLVPN支持钉钉/企业微信认证，支持企业APP加固，便利接入

TLS1.3，提供更高的安全性

SSLVPN全面支持IPv6

灵活的多因素认证：口令、公钥、USBKey、短信、第三方认证等多种认证方式，且可以任意组合

自研VDI云桌面接入

自研VDP协议，保障用户在低带宽下享受更好的使用体验

全流程内容保护和审计

外设权限管控

显性水印+盲水印

增强的内网安全及全栈风险可视化

未知应用管控：NGFW实现最小化授权，通过简便的配置，仅放通业务需要的应用，未知应用一律阻断

安全风险分析：NGFW具备高度的可见性，并在可此基础上做应用分析和攻击链分析，应对高级恶意威胁

资产风险评估：NGFW具备高度的可见性，对企业资产的风险状况进行动态评估，并为客户推荐策略

SSL卸载及不解密检测加密流量，应对各种恶意命令与控制连接

全面践行NIST零信任模型

人-设备-网络-业务-数据信任链的持续更新

态势感知、零信任防火墙、可信API网关、终端安全软件的联动配合

细致的管控粒度：NGFW和API可信网关具备基于用户、应用、URL、API级粒度的管控能力，精准控制，兼顾高度的安全性和业务的灵活性