飞网零信任网络:混合办公时代的安全连接新方案
一、 混合办公时代的安全挑战与应对
在混合办公愈发常见的当下,出差或居家办公成为许多人的工作常态。在此情形下,传统VPN暴露出不少问题,其设置过程繁琐复杂,网络连接速度慢,还容易被黑客利用端口漏洞发起攻击,显得力不从心。而且,混合办公时代带来了诸多新挑战,办公场景不再局限于固定场所,家庭、咖啡厅甚至跨国接入都成为可能;数据大量向云端迁移;攻击来源也趋于内部化,像设备入侵、误操作等情况时有发生。
面对这些状况,需要更适配的安全解决方案。飞网的零信任网络为应对这些挑战提供了新思路,它不预设任何设备或网络可信,每次连接都严格验证身份,在安全性和便捷性上找到了较好的平衡。
为了更清晰地对比传统VPN和零信任网络应对这些挑战的能力,我们来看下面的表格:
| 对比项 | 传统VPN | 零信任网络 |
|---|---|---|
| 访问控制 | 依赖防火墙规则 | 基于身份(如公司账号)及设备状态等多因素 |
| 安全性 | 一旦进入内网,访问权限相对宽松 | 每次请求都检查权限,安全性控制更细粒度 |
| 管理难度 | 需要维护VPN服务器及相关配置 | 可自动管理部分内容,但仍需一定配置 |
| 适用场景 | 固定办公环境,对安全性要求相对基础 | 远程办公、混合云访问等对安全性要求较高的场景 |
从对比中可以看出,零信任网络凭借持续验证和最小权限原则,能更好地适应混合办公时代的变化。那么,在实际的居家办公场景中,飞网的零信任网络是如何发挥作用的呢?下面我们通过一个具体的应用场景来了解一下。
二、应用场景:居家办公安全访问公司内网
家:一台安装了飞网客户端程序的电脑(称为“Home PC”)。
公司:一台安装了飞网客户端程序、作为测试目标的服务器电脑(称为“Work PC”),以及其他安装飞网客户端程序的设备。
目标:家里电脑 Home PC 使用 ping 命令测试能否连通 公司服务器 Work PC,模拟访问公司网络资源前的网络连通性检查。
从图示可见,家庭电脑与公司服务器通过飞网建立零信任网络连接。借助飞网,家里电脑与公司服务器构成虚拟局域网,在家可直接用虚拟IP访问测试,无需开启防火墙端口,访问速度如同在公司局域网内。即便账号被盗,黑客用其他设备也无法连接,因为零信任机制会验证设备身份。公司还能设置权限,仅允许特定设备或用户访问特定文件夹,防止数据泄露。
通过以上场景,飞网展现了其在远程办公中的独特优势,接下来将详细介绍其原理和使用方法。不过,在介绍具体的使用方法之前,我们先来全面了解一下飞网到底是什么。
三、飞网是什么
飞网是一款基于 零信任理念,并且提供了远程组网功能的、强大的网络安全工具,能让不同网络里的设备像在同一个网络里一样互相访问。它本质上组建了一个“虚拟网络”,把不同位置的设备连起来,操作简单,速度快,还很安全。
飞网维护了很多个独立的“虚拟网络”(类似于多租户),不同的设备可以选择加入不同的“虚拟网络”。使用飞网需要安装飞网客户端程序,两个或多个安装了飞网客户端程序的设备之间,且在同一个"虚拟网络"内部时,可以根据访问控制策略的配置进行通信(默认可以互相访问)。飞网之所以能提供如此安全便捷的远程组网服务,是基于零信任网络理念构建的。下面我们就来详细了解一下零信任网络。
四、零信任网络
1. 零信任是什么
零信任代表了新一代的网络安全防护理念,其核心是打破默认的“信任”,概括来讲,就是“持续验证,永不信任,最小权限”。默认不信任企业网络内外的任何人、设备和系统(包括某些权限过大的安全产品),基于身份认证和授权重新构建访问控制的信任基础,实现身份可信、设备可信、链路可信、应用可信和数据可信。
2. 零信任网络的核心原则
零信任网络的设计遵循四大核心原则:
持续验证:对用户身份、设备状态和网络环境进行实时监控,确保访问过程中的持续可信。
最小权限:仅授予用户完成任务所需的最低权限,减少攻击面。
动态授权:根据实时风险评估动态调整访问权限,确保灵活性和安全性。
微分段:将网络划分为多个小区域,限制攻击者的横向移动。
了解了零信任网络的这些核心原则,相信你对零信任理念有了更清晰的认识。如果你对网络安全有更高要求,或者对传统VPN的使用体验不太满意,接下来我将为你详细介绍下飞网的使用方法。
五、使用飞网
5.1 安装飞网客户端程序
你需要在家里的电脑和公司服务器上装好飞网客户端程序。
飞网客户端程序支持多平台: Windows、macOS、Linux 、Android等。
飞网客户端下载地址:www.gmzta.com/download
安装过程(本文以Windows为例):
安装好后,程序自动运行在桌面右下角系统托盘里。这时图标是黑色的,说明还没有登录飞网。
5.2 登录飞网
a. 使用提醒
-
你家里的电脑及公司服务器都需要登录飞网**。
-
注册并登录飞网时,系统会自动为你的账号创建一个个人网络。
-
如果你是个人用户,那么你的多个设备需要登录同一个飞网账号,这样你的设备才能连到同一个飞网网络。
-
如果你是团队/企业用户,可以申请创建一个团队网络,团队里的每个人可以使用自己的账号登录飞网,并加入到团队网络中。
-
登录后,飞网会给每台设备分配一个特殊IP地址(比如100.A.B.C),通过这个IP地址,就可以互相通信了。
b. 点击登录按钮或命令行登录
1. 点击登录按钮登录
-
下载安装之后需要运行并登录飞网终端程序。
-
在桌面上双击飞网图标。
-
用户可以在系统桌面右下方托盘处右击飞网图标,点击“登录飞网”。
-
点击后,会弹出一个浏览器页面,选择登录方式登录即可。
2. 命令行登录
以Windows系统为例:按Win+R,输入cmd打开命令行,输入命令:gmzta login(飞网客户端程序名是gmzta,可以使用“gmzta -h”查看更多的命令),命令行会弹出登录地址,将此地址复制到浏览器进行登录即可。
注意:在Windows中,执行“gmzta login”需要同时运行飞网桌面的托盘程序,其他操作系统无此要求。
c. 创建网络或登录已有的网络
你可以选择下面的任意方式进行注册登录。系统为每个账号自动创建一个个人网络。
个人用户的个人网络是完全免费的,团队/企业用户的团队网络可由团队管理员自行创建开通。无论是个人用户还是团队用户,登录对应的网络后,才能访问该网络中的网络资源。
1. 使用飞网IAM登录网络
在 弹出的网页中 或者 从命令行复制的网址访问到的页面中 点击使用飞网IAM登录。
如果你没有账号,需要先进行注册账号,输入用户名与密码后绑定手机号,注册成功后填写用户名及密码进行登录。
2. 微信或支付宝登录
点击使用 微信或支付宝扫码登录即可,此处略。
3. Email登录
第一次使用 Email 登录需填写邮箱地址及密码进行注册,注册成功后返回输入账号和密码进行登录。
d. 登录后注意要选择需要加入的网络
登录后,系统马上会要求你选择需要加入的网络。
如果你需要加入你自己的个人网络,登录页面选择个人网络即可。
如果是团队用户,则需要选择对应的团队网络(每个人最多可以加入4个团队网络)。系统提供了一个演示用的团队网络,有需要的可以加入这个团队网络自行体验。
选择并加入到飞网网络后,会进入到飞网控制面板页面(nac.gmzta.com/)。
飞网客户端程序会提示登录成功,在桌面的右下方有弹窗提示。
5.3 测试
当家里电脑 Home PC 和公司服务器Work PC都登录飞网且加入到同一网络后,可以使用ping命令测试一下连通性。
你可以选择ping:
设备名称(例如:WorkPC)
设备域名(例如:workpc.gmneb388.gmzta.net)
设备IP(IPV4或IPV6)
那么如何获取设备名称/设备域名/设备IP呢?这里提供两种方式:
- 打开飞网控制面板,选择“设备清单”,进入页面后,点击小三角图标,将依次显示设备名称/域名/IPV4/IPV6,点击其对应的“复制图标”即可复制成功。
- 在飞网托盘程序左键点击“授权设备”,点击“我的设备”,可以看到已经授权的设备名称,点击一下即可复制成功。
成功获取到ping对象后就可以在命令窗口进行连通测试了,以下为你提供几种连通测试范例:
- ping 设备名称(设备名称本质是设备域名的缩写):
将复制的设备名称粘贴到命令行。
- ping域名:
将复制的域名粘贴到命令行。
此时,家里电脑 Home PC 能够收到回复,图中显示家里电脑 Home PC 与公司服务器 Work PC 成功连接。
连接成功后,你就可以远程访问公司的服务器或内部系统啦!
