Aryaka的安全远程接入解决方案利用Aryaka全球核心网络的性能和云优先的架构方法,为寻求 “两全其美 “的远程员工连接方法的企业提供最佳解决方案:该解决方案通过高性能网络将确定性的专用网络资源灵活运用于分支机构和远程员工。无论分支机构和远程工作人员之间的流量如何变化,这种架构都能提供最高性能,并能综合了解企业核心连接和 VPN 域的网络和应用性能。
Aryaka的安全远程访问解决方案是一个高度灵活、全面管理的虚拟专用网络解决方案。它利用Aryaka的全球服务点(Service PoPs)架构,为任何地方的用户统一连接和管理内部部署和云资源。
Secure Remote Access 基于领先的 VPN 提供商 NCP Engineering 的企业 VPN 解决方案。
安全远程访问解决方案为所有主要台式机或移动操作系统提供集中管理的客户端套件,包括
 |
Aryaka的安全远程接入客户端允许终端用户设备选择最近的Aryaka PoP,以获得最佳的高性能网络接入,并通过最有效的隧道协议到达Aryaka PoP。 |
 |
安全远程访问客户端可确保稳健、统一的终端合规性。它通过严格的VPN访问控制来保护企业网络的完整性,VPN首先在最近的Aryaka安全远程访问节点上终止,然后进入适当的专用或公共DC目的地。流量通过Aryaka FlexCore传输,提供Aryaka第2层和第3层核心网络的性能优势。此外,还支持零信任功能。 |
 |
安全远程访问客户端是一种通信软件产品,可在任何远程访问 VPN 环境中通用。它允许远程工作人员在任何地点以透明、安全的方式访问内部或云端的应用程序和数据,就像在公司办公室一样。无缝漫游提供了一个可选的安全、始终在线的企业网络连接,可自动选择最快的互联网接入介质。当接入点或 IP 地址发生变化时,Wi-Fi 漫游或 IPsec 漫游可保持 VPN 连接。即使在设置总是阻止 IPsec 数据连接的防火墙后面,安全远程访问客户端也能通过寻找解锁路径确保远程访问可用。该客户端支持在与公司网络建立 VPN 连接后,使用凭证服务提供商进行域登录。 |
 |
安全远程访问客户端中的旁路功能允许 IT 管理员对客户端进行配置,使某些应用程序不受 VPN 的限制,即使在分路隧道被禁用的情况下,数据也能通过互联网发送。这可以防止视频流等应用对企业基础设施造成不必要的负担。 |
 |
管理员可锁定所有客户端配置,这意味着用户无法更改锁定的配置。 |
 |
安全远程访问客户端安装简单,操作简单。直观的图形用户界面可提供所有连接和安全状态的信息。此外,详细的日志信息还可支持服务台提供有效的帮助。 |
Aryaka的安全远程接入客户端连接到离他们最近的Aryaka安全远程接入节点。Aryaka的安全远程接入节点是一种虚拟服务,托管在Aryaka的全球服务点(Service PoPs)上,为全球95%的知识工作者提供低于30毫秒的Aryaka核心网络接入。Aryaka的服务点(Service PoPs)托管的服务超出了基本网络连接的范围:网络和应用加速、客户专用资源的严格分离以及安全流量加密等。
建立安全连接后,安全远程访问节点功能会接收来自所有访问它的客户端的流量,并通过高性能的全球Aryaka FlexCore网络将其路由到企业总部/DC或根据用户位置最佳对等的SmartCloud服务位置。
安全远程访问节点基于多租户架构和经过优化的Linux操作系统,具有最高的安全性。此外,Aryaka服务PoP架构还能确保确定性的性能和高可用性。
安全远程访问节点可通过 IPsec VPN 处理与公司网络的高度可扩展的连接数。安全远程访问客户端的用户每次连接到网络时,都能从公司分配的池中获得相同的私有 IP 地址。这使得远程管理变得更加容易,因为每个用户都可以通过其 IP 地址进行识别。如果 IP 地址是从池中动态分配的,则会为用户保留一段规定的时间(租用时间)。动态 DNS(DynDNS)可确保在设备被分配了动态 IP 地址的情况下,VPN 网关仍然可以访问。
安全远程访问管理器为Aryaka安全远程访问解决方案的所有组件提供配置和管理功能。它与安全远程访问节点一起,还负责通过与企业现有IAM(身份和访问管理)系统的通信进行用户身份验证。
通过安全远程访问管理器,Aryaka 可以配置和管理 PoPs 中的安全远程访问客户端和安全远程访问节点。它还能与企业的总体 IAM 系统建立连接,对安全远程访问客户端进行身份验证。通过这一机制,移动和固定终端设备的安全状态可在设备接入企业网络之前得到验证。所有参数都由Aryaka代表企业集中定义,远程工作人员可根据对这些参数的遵守情况获得访问权限。
安全远程访问管理器是提供易于建立和操作的 VPN 解决方案的关键组件。
安全远程访问管理器与企业现有的身份管理(如 Microsoft Active Directory)集成,并要求定期更新。一旦数据库中出现新员工,安全远程访问管理器就会根据定义的模板为该用户创建个性化配置。如果前雇员已从数据库中删除,安全远程访问管理器会立即阻止该 VPN 访问。这样就无需手动配置所有移动员工的电脑。安全远程访问管理器还能快速推出许多用户和软件证书。
客户端配置 |
安全远程访问管理器可对Aryaka安全远程访问解决方案的所有组件进行配置和管理。这包括Windows、macOS、iOS和安卓系统的安全远程访问客户端。所有相关参数都已预定义并存储在模板中。 |
自动更新程序 |
全自动更新过程允许管理员集中为所有远程安全访问客户端提供配置和证书更新。只要客户端登录到企业网络,系统就会自动更新客户端。如果在传输过程中发生故障,先前存在的配置将不受影响。 |
许可证管理 |
所有连接组件的许可证都集中存储在 PAM 中,由 Aryaka 为企业客户进行管理。系统会将它们转移到许可证池中,并根据指定准则自动管理。这种许可证转移可用于:将许可证转移到每个远程客户端或网关的配置中,当员工离开公司时将许可证返回许可证池,或在没有更多可用许可证时触发提示。 |
系统监控 |
Aryaka能让企业即时了解安全远程访问解决方案中的所有重要事件。管理员可根据需要使用系统监视器实时调用状态信息,或访问以前保存的远程访问环境数据存储库。 |
利用全球 Aryaka 零信任广域网,大幅提高全球 VPN 性能
通过确定性网络行为改善终端用户体验,提高工作效率
网络、应用程序性能和用户体验的即时可见性
适用于 Windows、macOS、iOS 和 Android 的通用、可集中管理的 VPN 客户端套件
| 操作系统 | 微软视窗、macOS、iOS、安卓 |
| 零信任能力 |
|
| 安全功能 | 企业客户端根据 RFC 支持所有主要 IPsec 标准 |
| VPN 旁路 | VPN 旁路功能允许管理员定义哪些应用程序可以在 VPN 连接上禁用分路隧道的情况下直接通过互联网进行通信。还可以定义哪些域或目标地址可以绕过 VPN 隧道 |
| 虚拟专用网络 |
|
| 加密 |
|
| 认证程序 |
|
| 联网功能 | 局域网模拟:带 NDIS 接口的以太网适配器,完全支持 WLAN(无线局域网)和 WWAN(无线广域网 |
| 无缝漫游 | 如果通信介质发生错误,VPN隧道会自动切换到另一个互联网通信介质(LAN/WWAN/3G/4G),而无需更改IP地址,从而确保通过VPN隧道通信的应用程序不受干扰,与安全远程访问节点的会话也不会中断 |
| VPN 路径查找器 | 如果端口 500(UDP 封装)无法使用,则回退 IPsec/ HTTPS(端口 443 |
| IP 地址分配 | DHCP(动态主机控制协议)、DNS:通过 DNS 服务器查询 IP 地址,拨入中央网关,更改公共 IP 地址 |
| 通信媒体 | 互联网、局域网、Wi-Fi、GSM(包括 HSCSD)、GPRS、3G、LTE、HSDPA、PSTN |
| 生产线管理 |
|
| 从 SIM 卡获取 APN | APN(接入点名称)定义了移动数据连接在供应商处的接入点。如果用户更换了提供商,系统会自动使用 SIM 卡中的 APN 数据来配置安全客户端。 |
| 数据压缩 | IPCOMP (lzs)、deflate |
| 服务质量 | 在 VPN 隧道中优先使用配置的传出带宽(可能因客户操作系统而异) |
| 附加功能 | UDP 封装、WISPr 支持、IPsec 漫游、Wi-Fi 漫游、分割隧道 |
| 点对点协议 | ISDN 上的 PPP、GSM 上的 PPP、以太网上的 PPP;LCP、IPCP、MLP、CCP、PAP、CHAP、ECP |
| 互联网协会 RFC 和草案 |
|
| 客户端监控器直观的图形用户界面 |
|
利用Aryaka的全球核心网络远程访问企业网络
| Aryaka HyperScale PoP地点 | Aryaka在全球40多个地点设有服务点(PoP),距离全球95%的知识工作者都在<30ms以内。 |
| 管理 | Aryaka Secure Remote Access Manager提供配置和操作门户–企业管理员可立即了解其VPN部署情况 |
| 高可用性 | Aryaka 服务 PoP 建立在高度冗余的架构和拓扑上,以确保高可用性 |
| 动态 DNS(DynDNS) | 使用动态 IP 地址通过互联网建立连接。向外部动态 DNS 提供商注册每个当前 IP 地址。在这种情况下,VPN 隧道是通过名称分配建立的 |
| 动态域名服务器 | 已连接的 VPN 客户端通过动态 DNS(DDNS)在域名服务器上注册,这意味着可以通过(永久)名称访问具有动态 IP 的 VPN 客户端。 |
| 用户管理 | 本地用户管理;OTP 服务器;RADIUS;LDAP、Novell NDS、MS Active Directory 服务 |
| 统计和日志 | 详细统计、日志功能、发送 SYSLOG 信息 |
| 内部 FIPS | IPsec 客户端集成了基于 FIPS 标准的加密算法。包含相应算法的嵌入式加密模块已通过验证,符合 FIPS 140-2 标准(证书编号 1747)。
当使用以下算法设置和加密 VPN 连接时,将始终符合 FIPS 标准:
|
| 客户端/用户身份验证流程 | OTP 令牌、用户名和密码 (XAUTH) |
| 线路管理 | 可配置时间间隔的死机对等检测 (DPD);超时(由持续时间和费用控制) |
| 点对点协议 | LCP、IPCP、MLP、CCP、PAP、CHAP、ECP |
| 池地址管理 | 在规定的时间内(租用时间)从地址池中预留 IP 地址 |
| 虚拟专用网络 |
|
| 互联网协会 RFC 和草案 |
|
| 加密 |
|
| VPN 路径查找器 | 如果端口 500 和 UDP 封装都不可用,则从 IPsec(端口 443)回退到 HTTPS |
| 无缝漫游 | 系统可自动将 VPN 通道转移到不同的通信介质(局域网/Wi-Fi/3G/4G),无需更改 IP 地址,从而避免 VPN 通道通信中断或应用程序会话断开。 |
| 认证程序 |
|
| IP 地址分配 |
|
| 数据压缩 | IPCOMP (lzs)、Deflate |
集中管理的 VPN 即服务,全自动运行远程访问 VPN
| 支持的功能 | 自动更新、客户端防火墙配置、系统监控 |
| 用户管理 | LDAP、Novell NDS、MS Active Directory 服务 |
| 统计和日志 | 详细统计、日志功能、发送 SYSLOG 信息 |
| 客户端/用户身份验证流程 | OTP 令牌、用户名和密码 (XAUTH) |
| 支持的 RFC 和草案 |
|
Aryaka是提供 “统一SASE即服务”(Unified SASE as a Service)的领先企业,这是一个集网络、安全和可观测性于一体的完全集成的解决方案。Aryaka针对生成式人工智能以及当今多云混合世界的需求而构建,使企业能够转变其安全网络,以提供无懈可击的性能、敏捷性、简便性和安全性。Aryaka灵活的交付方式使企业能够选择自己喜欢的实施和管理方法。数百家全球性企业,包括多家财富100强企业,都依赖Aryaka提供的安全网络解决方案。 有关 Aryaka 的更多信息,请访问 www.aryaka.com。