Aryaka SmartSecure 专用接入概述

Aryaka的SmartSecure专用接入解决方案利用Aryaka全球核心网络的性能和云优先的架构方法,为寻求 “两全其美 “的远程员工连接方法的企业提供最佳解决方案:该解决方案将确定性专用网络资源的灵活利用与高性能网络上的分支机构和远程员工相结合。
无论分支机构和远程工作人员之间的流量如何变化,这种架构都能提供最高性能,并能综合了解企业核心连接和 VPN 域的网络和应用性能。 图像 Aryaka的专用接入解决方案是一种高度灵活、全面管理的虚拟专用网络解决方案。
它利用Aryaka的全球HyperScale PoPs架构,为任何地方的用户提供与内部部署和云资源的统一连接和管理。
此外,Aryaka Private Access用户还可利用Aryaka Unified SASE的全部功能,集成我们的下一代防火墙/安全Web网关(NGFW-SWG),扩大Web流量和应用检测及安全性。

SmartSecure Private Access 基于领先 VPN 提供商 NCP Engineering 的企业 VPN 解决方案。

SmartSecure Private Access 包含以下架构元素:

智能安全私人接入客户端

SmartSecure Private Access 解决方案为所有主要台式机或移动操作系统提供集中管理的客户端套件,包括

Aryaka的智能安全专用接入客户端(SmartSecure Private Access Client)允许终端用户设备选择最近的Aryaka PoP,以获得最佳、高性能的网络接入,并通过最有效的隧道协议到达Aryaka PoP。
SmartSecure专用接入客户端可确保稳健、统一的终端合规性。
它通过严格的VPN访问控制来保护企业网络的完整性,VPN首先在最近的Aryaka SmartSecure专用接入节点上终止,然后进入适当的专用或公共DC目的地。
流量通过Aryaka FlexCore传输,提供Aryaka第2层和第3层核心网络的性能优势。
此外,还支持零信任功能。
SmartSecure Private Access Client 是一款通信软件产品,可在任何远程访问 VPN 环境中通用。
它允许远程工作人员从任何地点透明、安全地访问内部或云中的应用程序和数据,就像在公司办公室一样。
无缝漫游提供了一个可选的安全、始终在线的企业网络连接,可自动选择最快的互联网接入介质。
当接入点或 IP 地址发生变化时,Wi-Fi 漫游或 IPsec 漫游可保持 VPN 连接。
即使在设置总是阻止 IPsec 数据连接的防火墙后面,专用访问客户端也能通过寻找未锁定路径确保远程访问可用。
在建立与公司网络的 VPN 连接后,客户端支持使用凭证服务提供商进行域登录。
专用访问客户端的旁路功能允许 IT 管理员对客户端进行配置,使某些应用程序不受 VPN 的限制,即使在分路隧道被禁用的情况下,数据仍可通过互联网发送。
这可以防止视频流等应用对企业基础设施造成不必要的负担。
管理员可锁定所有客户端配置,这意味着用户无法更改锁定的配置。
专用访问客户端安装简单,操作简单。
直观的图形用户界面可提供所有连接和安全状态的信息。
此外,详细的日志信息可支持服务台提供有效的帮助。

智能安全专用接入节点

Aryaka的专用接入客户端连接到离他们最近的Aryaka专用接入节点。
Aryaka的专用接入节点是一种虚拟服务,托管在Aryaka的全球HyperScale PoPs上,为全球95%的知识工作者提供低于30毫秒的Aryaka核心网络接入。
Aryaka的HyperScale PoPs提供的服务不仅限于基本的网络连接:网络和应用加速、客户专用资源的严格分离和安全流量加密等。
通过将专用接入和Aryaka NextGen防火墙及安全Web网关相结合,网络和应用安全能力也得到了加强。
在建立安全连接后,安全私人接入节点功能会接收来自所有客户端的访问流量,并通过高性能的全球Aryaka FlexCore网络将其路由到企业总部/DC,或根据用户位置最佳对等的SmartCloud服务地点。
SmartSecure专用接入节点基于多租户架构和经过优化的Linux操作系统,具有最高的安全性。
此外,Aryaka HyperScale PoP架构可确保确定性能和高可用性。
SmartSecure 专用接入节点可以处理通过 IPsec VPN 连接到公司网络的高度可扩展的连接数。
私人接入客户端用户每次连接到网络时,都可以从公司分配的池中获得相同的私有 IP 地址。
这使得远程管理变得更加容易,因为每个用户都可以通过其 IP 地址进行识别。
如果 IP 地址是从池中动态分配的,则会为用户保留一段规定的时间(租用时间)。
动态 DNS(DynDNS)可确保在设备被分配了动态 IP 地址的情况下,VPN 网关仍然可以被访问。

智能安全私人访问管理器

智能安全私人接入管理器为Aryaka私人接入解决方案的所有组件提供配置和管理功能。
它与私人访问节点一起,还负责通过与企业现有的IAM(身份和访问管理)系统通信进行用户身份验证。
SmartSecure 的私人接入管理器允许 Aryaka 在 PoPs 上配置和管理私人接入客户端和私人接入节点。
它还能与企业的总体 IAM 系统建立连接,对私人接入客户端进行身份验证。
通过这一机制,移动和固定终端设备的安全状态可在设备接入企业网络之前得到验证。
所有参数都由Aryaka代表企业进行集中定义,远程工作人员可根据对这些参数的遵守情况获得访问权限。
SmartSecure Private Access Manager是提供易于建立和操作的VPN解决方案的关键组件。
私人访问管理器与企业现有的身份管理(如 Microsoft Active Directory)集成,并要求定期更新。
一旦数据库中出现新员工,私人访问管理器就会根据定义的模板为该用户创建个人配置。
如果前雇员已从数据库中删除,专用访问管理器会立即阻止该 VPN 访问。
这样就无需手动配置所有移动员工的电脑。
私人访问管理器还能快速推出许多用户和软件证书。

专用接入管理器提供以下功能:

客户端配置

私人访问管理器可对Aryaka私人访问解决方案的所有组件进行配置和管理。
其中包括用于Windows、macOS、iOS和安卓系统的私人访问客户端。
所有相关参数都已预定义并存储在模板中。

自动更新程序

全自动更新过程允许管理员集中为所有远程专用访问客户端提供配置和证书更新。
只要客户端登录到企业网络,系统就会自动更新客户端。
如果在传输过程中发生故障,先前存在的配置将不受影响。

许可证管理(仅限 Aryaka 运营商使用)

所有连接组件的许可证都集中存储在 PAM 中,由 Aryaka 为企业客户进行管理。
系统会将它们转移到许可证池中,并根据指定准则自动管理它们。
这种许可证转移可用于:将许可证转移到每个远程客户端或网关的配置中,当员工离开公司时将许可证返回许可证池,或在没有更多可用许可证时触发提示。

系统监视器(由 Aryaka 操作员使用)

Aryaka能让企业即时了解SmartSecure私人接入解决方案中的所有重要事件。
管理员可根据需要使用系统监视器实时调用状态信息,或访问以前为远程访问环境保存的数据存储库。

智能安全私人接入的优势

利用Global Aryaka FlexCore大幅提高全球VPN性能

通过确定性网络行为改善终端用户体验,提高工作效率

网络、应用程序性能和用户体验的即时可见性

技术规格

智能安全私人访问客户端

适用于 Windows、macOS、iOS 和 Android 的通用、可集中管理的 VPN 客户端套件

操作系统 微软视窗、macOS、iOS、安卓
零信任能力
  • 嵌入式 L3/L4 应用防火墙
  • 基于用户 ID、设备状态和网络位置的最低权限访问,具有零信任功能
  • 始终在线的用户保护,只有在用户身份验证后才能访问网络
  • 基于设备证书和身份验证的零接触零信任技术
  • 严格的准入控制策略可强制设备遵守带隔离选项的安全策略
  • 与现有的 MFA(多因素身份验证)和 OTP(一次性口令)解决方案集成
  • Aryaka 统一 SASE 的下一代威胁防御能力
安全功能 企业客户端根据 RFC 支持所有主要 IPsec 标准
VPN 旁路 VPN 旁路功能允许管理员定义哪些应用程序可以在 VPN 连接上禁用分路隧道的情况下直接通过互联网进行通信。
还可以定义哪些域或目标地址可以绕过 VPN 隧道
虚拟专用网络
  • IPsec(第 3 层隧道),可通过 IPsec 网关确定 IPsec 建议(IKEv1/IKEv2,IPsec 第 2 阶段)
  • 事件日志
  • 仅在隧道内通信
  • MTU 大小分片和重新组装、DPD、NAT-T 穿越(NAT-T);IPsec 隧道模式
加密
  • 对称处理:AES 128、192、256 位;Blowfish 128、448 位;Triple-DES 112、168 位
  • 动态密钥交换流程:RSA 至 2048 位;无缝重新密钥(PFS)
  • 哈希算法SHA-1、SHA-256、SHA-384、SHA-512、MD5、DH 组 1、2、5、14-21、25-30
认证程序
  • IKE(积极模式和主要模式、快速模式);XAUTH 用于扩展用户身份验证
  • 从内部地址池(专用 IP)动态分配虚拟地址的 IKE 配置模式
  • PFS
  • pap、chap、ms chap v.2
  • IEEE 802.1x:EAP-MD5(可扩展身份验证协议):相对于交换机和接入点的扩展身份验证(第 2 层)
  • 预共享密钥、一次性密码和挑战响应系统;RSA SecurID 就绪。
联网功能 局域网模拟:带 NDIS 接口的以太网适配器,完全支持 WLAN(无线局域网)和 WWAN(无线广域网
无缝漫游 如果通信介质发生错误,VPN 隧道会自动切换到另一个互联网通信介质(LAN/WWAN/3G/4G),而无需更改 IP 地址,从而确保通过 VPN 隧道通信的应用程序不受干扰,与专用接入节点的会话不会中断
VPN 路径查找器 如果端口 500(UDP 封装)无法使用,则回退 IPsec/ HTTPS(端口 443
IP 地址分配 DHCP(动态主机控制协议)、DNS:通过 DNS 服务器查询 IP 地址,拨入中央网关,更改公共 IP 地址
通信媒体 互联网、局域网、Wi-Fi、GSM(包括 HSCSD)、GPRS、3G、LTE、HSDPA、PSTN
生产线管理
  • 可配置时间间隔的 DPD;短时保持模式
  • Wi-Fi 漫游(切换)
  • 超时(由时间和费用控制);预算管理器
  • 连接模式:自动、手动、可变
从 SIM 卡获取 APN APN(接入点名称)定义了移动数据连接在供应商处的接入点。
如果用户更换了提供商,系统会自动使用 SIM 卡中的 APN 数据来配置安全客户端。
数据压缩 IPCOMP (lzs)、deflate
服务质量 在 VPN 隧道中优先使用配置的传出带宽(可能因客户操作系统而异)
附加功能 UDP 封装、WISPr 支持、IPsec 漫游、Wi-Fi 漫游、分割隧道
点对点协议 ISDN 上的 PPP、GSM 上的 PPP、以太网上的 PPP;LCP、IPCP、MLP、CCP、PAP、CHAP、ECP
互联网协会 RFC 和草案
  • RFC 2401 -2409(IPsec)、RFC 3947(NAT-T 协商)、RFC 3948(UDP 封装)
  • IP 安全架构、ESP、ISAKMP/Oakley、IKE、XAUTH、IKECFG、DPD、NAT 穿越 (NAT-T)、UDP 封装、IPCOMP;RFC 7427:IKEv2-身份验证(填充方法)
客户端监控器直观的图形用户界面
  • 多语种(英语、西班牙语、法语、德语);直观操作
  • 配置、连接管理和监控、连接统计、日志文件、互联网可用性测试、用于错误诊断的跟踪工具
  • 显示连接状态
  • 集成支持移动连接卡,嵌入式
  • 客户监控器可定制,包括公司名称或支持信息
  • 受密码保护的配置管理和配置文件管理,配置参数锁定
智能安全专用接入节点

利用Aryaka的全球核心网络远程访问企业网络

一般情况
Aryaka HyperScale PoP地点 Aryaka在全球40多个地点设有服务点(PoP),距离全球95%的知识工作者都在30毫秒以内(<)。
管理 Aryaka Private Access Manager提供调配和操作门户–企业管理员可立即了解其VPN部署情况
高可用性 Aryaka HyperScale PoPs 建立在高度冗余的架构和拓扑上,以确保高可用性
动态 DNS(DynDNS) 使用动态 IP 地址通过互联网建立连接。
向外部动态 DNS 提供商注册每个当前 IP 地址。
在这种情况下,VPN 隧道是通过名称分配建立的
动态域名服务器 已连接的 VPN 客户端通过动态 DNS(DDNS)在域名服务器上注册,这意味着拥有动态 IP 的 VPN 客户端可以通过一个(永久)名称到达。
用户管理 本地用户管理;OTP 服务器;RADIUS;LDAP、Novell NDS、MS Active Directory 服务
统计和日志 详细统计、日志功能、发送 SYSLOG 信息
内部 FIPS IPsec 客户端集成了基于 FIPS 标准的加密算法。
包含相应算法的嵌入式加密模块已通过验证,符合 FIPS 140-2 标准(证书编号:1747):

  • Diffie Hellman 组:第 2 组或更高(DH 从 1024 位长度开始)
  • 哈希算法:SHA1、SHA 256、SHA 384 或 SHA 512 位
  • 加密算法AES 128、192 和 256 位或三重 DES
客户端/用户身份验证流程 OTP 令牌、用户名和密码 (XAUTH)
连接管理
线路管理 可配置时间间隔的死机对等检测 (DPD);超时(由持续时间和费用控制)
点对点协议 LCP、IPCP、MLP、CCP、PAP、CHAP、ECP
池地址管理 在规定的时间内(租用时间)从地址池中预留 IP 地址
IPsec VPN
虚拟专用网络
  • IPsec(第 3 层隧道),符合 RFC 标准
  • 自动调整 MTU 大小、分片和重组;DPD
  • NAT 穿越(NAT-T)
  • IPsec 模式:隧道模式、传输模式无缝重新密钥;PFS
互联网协会 RFC 和草案
  • RFC 2401 -2409(IPsec)、RFC 3947(NAT-T 协商)、RFC 3948(UDP 封装)、
  • IP 安全架构、ESP、ISAKMP/Oakley、IKE、IKEv2(包括 MOBIKE)、IKEv2 签名验证、XAUTH、IKECFG、DPD、NAT 穿越 (NAT-T)、UDP 封装、IPCOMP、符合 RFC 7427 的 IKEv2 验证(填充流程)
加密
  • 对称程序:AES(CBC/CTR/GCM)128、192、256 位
  • Blowfish 128、448 位;Triple-DES 112、168 位;密钥交换动态过程:RSA 至 4096 位;Diffie-Hellman 组 1、2、5、14-21、25-30
  • 哈希算法:SHA-1、SHA 256、SHA 384 或 SHA 512
VPN 路径查找器 如果端口 500 和 UDP 封装都不可用,则从 IPsec(端口 443)回退到 HTTPS
无缝漫游 系统可自动将 VPN 隧道转移到不同的通信介质(局域网/Wi-Fi/3G/4G),无需更改 IP 地址,从而避免 VPN 隧道通信中断或应用程序会话断开。
认证程序
  • IKEv1(积极模式和主要模式)、快速模式;XAUTH 用于扩展用户身份验证
  • IKEv2、EAP-PAP / MD5 / MS-CHAP v2 / TLS
  • 一次性密码和挑战应答系统
IP 地址分配
  • 通过 IPsec 的 DHCP(动态主机控制协议
  • DNS:通过 DNS 服务器查询 IP 地址,选择具有动态公共 IP 地址的中央网关
  • IKE 配置模式,用于从内部地址范围(专用 IP)向客户端动态分配虚拟地址
  • 可根据连接介质(客户端 VPN IP)分配不同的池
数据压缩 IPCOMP (lzs)、Deflate
智能安全私人访问管理器

集中管理的 VPN 即服务,全自动运行远程访问 VPN

支持的功能 自动更新、客户端防火墙配置、系统监控
用户管理 LDAP、Novell NDS、MS Active Directory 服务
统计和日志 详细统计、日志功能、发送 SYSLOG 信息
客户端/用户身份验证流程 OTP 令牌、用户名和密码 (XAUTH)
支持的 RFC 和草案
  • RFC 2138 远程验证拨入用户服务 (RADIUS);RFC 2139 RADIUS
  • 会计;RFC 2433 Microso CHAP
  • RFC 2759 Microso CHAP V2
  • RFC 2548 Microso 特定于供应商的 RADIUS 属性
  • RFC 3579 RADIUS 支持可扩展身份验证协议 (EAP);RFC 2716
  • PPP EAP TLS 验证协议
  • RFC 2246 TLS 协议
  • RFC 2284 PPP 可扩展身份验证协议 (EAP);RFC 2716 证书
  • 管理协议
  • RFC 2511 证书请求报文格式

关于阿里亚卡

Aryaka是首家提供 “统一SASE即服务”(Unified SASE as a Service)的领先企业,也是唯一为提供性能、灵活性、简便性和安全性而设计和构建的SASE解决方案。
Aryaka满足客户在其独特的SASE旅程中的需求,使他们能够无缝地实现网络和安全环境的现代化、优化和转型。
Aryaka灵活的交付方式使企业能够选择自己喜欢的实施和管理方法。
数百家全球性企业,包括多家财富100强企业,都依赖Aryaka提供的基于云的软件定义网络和安全服务。 有关 Aryaka 的更多信息,请访问www.aryaka.com