优化公司网络隧道管理的完整指南

探索ISecWay与其他网络隧道,SDWAN服务并行使用的可行性及策略：

在数字网络安全领域，将ISecWay与其他网络隧道服务同时运用的想法引起了广泛的关注和讨论。通常来说，多个网络隧道服务并行运行似乎是一个技术上的挑战。这是因为绝大多数网络隧道服务会施加严格的网络防火墙规则，以确保所有的网络流量必须通过其服务器进行转发，从而隐式地阻断了其他网络隧道服务的流量。不过，在特定条件下，ISecWay展示了其独特的灵活性，它设计上能够代理指定的流量（例如，定向至100.x.y.z地址范围的数据），而将剩余流量留给其他网络隧道服务处理。尽管如此，除非其他网络隧道服务采取了非强制性的网络规则，否则在实际应用中实现两者的和谐共存仍然充满挑战。

对于iOS设备用户来说，他们面临着额外的制约，因为苹果公司在iOS系统中实施了一项策略，限制了同时只能激活一个网络隧道服务。虽然我们正积极与其他网络隧道供应商探讨合作的可能性，以期实现ISecWay与其他网络隧道服务的并行运行，但到目前为止，还没有找到一个确切的解决方案和具体的实施时间表。

在寻找解决方案的过程中，"分流"（Split Tunneling）技术可能是一个临时的解决办法。这项技术允许用户设置规则，以绕过网络隧道对特定应用程序或IP地址范围的流量控制。对于那些支持分流功能的网络隧道服务，用户可以尝试将特定的IP地址范围（如100.64.0.0/10及fd7a:115c:a1e0::/48）加入到分流规则中，从而允许ISecWay的流量绕过这些网络隧道的管控。如果启用了子网路由功能，相应的路由配置也应当被包含在分流规则之中。

然而，需要注意的是，当ISecWay的出口节点功能被启用时，分流策略将不再适用。在出口节点模式下，ISecWay将会把所有流量强制路由至指定的出口节点，这与其他网络隧道服务的运行机制存在冲突。因此，在这种模式下，ISecWay只能和一个网络隧道服务协同工作。

综上所述，虽然在技术上实现两个网络隧道服务的并行使用存在一定的难度，我们仍将持续探索与实验，以寻找更优的解决方案，以期达到更好的服务兼容性。# 优化公司网络隧道管理的完整指南

管理企业网络隧道对公司而言往往是一项耗时的任务——但事实上并不一定非要这样。本文探讨了IT专业人员在管理公司网络时面临的一些常见挑战,以及ISecWay如何提供帮助。

网络隧道用户管理的挑战

负责管理公司网络隧道的IT专业人员,尤其是需要管理多个网络隧道的情况下,他们非常清楚用户管理和网络性能方面的挑战会占用IT资源的不成比例的部分。他们缺乏自动化流程来完成新增员工入职和有效分割基础设施资源访问等任务。这些无效的管理流程会加剧错误的影响,因此可能危及公司的安全态势——特别是在远程工作和自带设备政策广泛实施的今天。

邀请新用户加入网络

对于管理公司网络隧道的管理员来说,让新用户连接的过程通常是一项繁琐的工作,需要下载多个软件客户端、密钥管理、手动权限配置等。

使用ISecWay,新员工只需使用公司邮箱地址登录即可加入公司的网络(称为isecnet)。为了让员工的过程更简单,ISecWay允许管理员根据员工的角色和部门向他们发送加入适当网络的邀请。他们收到的电子邮件中会包含一个链接以便开始使用,无需单独的一套凭证进行管理。用户邀请功能还允许管理员一次性发送多条邀请并跟踪每个邀请的状态。

用户批准

如果您的安全策略不允许新用户自动加入网络,或者您只是想要对谁可以加入保持更多控制,您可以使用ISecWay的用户批准功能。启用用户批准时,用户首次登录ISecWay时会处于"待处理"状态,这将允许管理员轻松识别该请求并根据情况批准或删除该用户。但是,已经收到加入isecnet邀请的用户将自动获得批准——网络管理员不需要采取任何额外操作。

定义和更改用户角色

通过在网络范围内采用身份和访问管理原则,用户只能访问他们完成工作所需的资源。ISecWay的用户角色可帮助您实现这种最小特权访问,允许管理员定义用户在管理控制台中可以和不可以做什么。

例如,拥有所有者角色的用户拥有对isecnet做出任何更改的完全权限,而拥有IT管理员角色的用户可以管理用户和设备,但不能对isecnet配置或DNS设置进行更改。当公司中的员工进入新角色或不同团队时,调整他们的权限以反映其新职责就像在管理控制台的"用户"选项卡中更改其用户角色那么简单。

设置访问权限

为公司网络隧道的用户设置访问权限可能是一项繁琐且容易出错的任务。调整用户设备上的设置、验证用户身份和故障排除都可能迅速占用IT部门数小时的时间。

ISecWay通过流行的身份提供商(IdP)提供访问权限,包括谷歌、微软AD、GitHub和Okta,以及自定义的OpenID Connect(OIDC)兼容提供商。由于您可以利用当前的IdP,新用户所需做的就是在设备上下载客户端、安装它,然后使用公司邮箱地址登录。这为用户提供了简单的过程,并最大限度地减少了IT在故障排除上的时间投入。

网络访问控制(ACL)

用户角色是一项强大的功能,但IT管理员通常需要更细粒度的控制来授予权限。使用传统的网络隧道,此过程可能涉及复杂且耗时的手动配置。

在ISecWay中,可以通过在管理控制台中直接编辑访问规则或通过ISecWay API使用单个JSON文件来轻松实现访问控制的微调。ACL将分发到您的isecnet中的所有设备并在每个设备上直接执行。标签允许您通过根据设备的功能为设备本身赋予标识来进一步细化权限。

删除和暂停用户

当员工离开公司时,无论是临时还是永久离开,下线这些用户都是用户管理的最关键功能之一:错误的做法会让前员工保留访问敏感数据的权限,这代表了一个严重的潜在安全隐患。ISecWay在管理控制台中集中了离职流程;在那里,您可以暂时暂停或永久删除不再希望访问您的isecnet的用户。

暂停用户(例如员工休假时)会暂时使他们的设备无法访问您的isecnet,防止他们添加任何新设备,并使他们的API访问令牌和认证密钥失效。暂停状态可以通过管理控制台中的"恢复用户"选项轻松撤消。

删除用户则是永久吊销他们的所有访问权限。具体来说,它会删除他们的所有设备并从协调服务器中删除密钥,以阻止来自这些设备的任何未来请求。

导出用户或设备列表

如果您需要出于审计目的获取isecnet上的用户或设备列表,可以通过管理控制台快速导出。列表以逗号分隔值(CSV)格式导出,便于导入电子表格。

有关IT如何使用ISecWay管理用户的更深入了解,请参阅我们的知识库文章。

企业网络隧道管理的性能注意事项

除了用户管理,管理企业网络隧道的其他常见挑战与网络性能本身有关。

断开连接和重新连接

员工,特别是远程工作的员工,可能会遇到各种导致他们失去与公司网络连接的场景。这可能包括看似平常的事情,比如关闭笔记本电脑休息喝咖啡,或者一段时间不活动使计算机进入睡眠模式。对于外出的远程用户来说,在WiFi网络之间切换,或者在WiFi和蜂窝连接之间切换,或者网络信号不佳,都可能会断开网络隧道连接。

在断开连接后重新进入网络时,传统网络隧道通常会强制用户重新登录和重新认证。这种要求虽有合理的安全原因,但中断会导致生产力损失和极大的烦恼。一个更好的解决方案是首先防止意外断开连接。

由于ISecWay建立在Noise协议框架之上,即使设备本身暂时断开连接,它也能保持连接状态。ISecWay允许您完全无缝地在网络之间切换。如果出于安全原因您希望在某些情况下中断连接,ISecWay也为您提供了选择,包括设置一个时间段(1至180天),之后用户必须重新认证。

性能和延迟

即使网络正常运行,由延迟引起的缓慢网络隧道性能也会影响员工的生产力和工作情绪。在等待页面加载时无所事事会极大浪费时间。

延迟问题通常可归因于网络通信拥塞或用户与所需访问资源之间的物理距离。ISecWay的点对点网状网络通过允许端点直接相互通信来减少通信拥塞,而不是通过中央堡垒主机或其他网关进行路由。因为数据是直接点对点流动的,延迟降到最低。

ISecWay还托管了一个分布在全球各地的WarpRelay服务器网络,作为真正点对点连接不可用的后备。WarpRelay服务器转发您已经加密的数据包,这意味着它们的安全性与ISecWay的网状网络一样高,您的isecnet会自动选择地理位置最接近您的WarpRelay服务器以保持最小延迟。

有关ISecWay可靠性的更深入了解。

总结

管理公司用户和网络性能方面的问题会为IT支持团队制造大量技术债务和看似无穷无尽的支持请求。使用ISecWay简化公司网络隧道管理流程可以减少上述两方面问题。

今天就 下载ISecWay，最多可免费使用3个用户。

常见问题解答

网络隧道用户管理的一些挑战是什么?

使用典型的网络隧道管理用户通常涉及复杂和耗时的手动工作,以将新用户引入网络、设置和控制其访问级别、跟踪其权限级别随其升职或转到不同角色的变化,以及在必要时暂停或完全删除其访问权限。尽可能自动化这些功能可以节省时间并有助于防止可能危及安全的错误。

网络性能管理方面的一些挑战是什么?

网络性能直接影响您最宝贵的资源之一:时间。当设备不必要或意外地与网络断开连接时,最终用户通常必须重新认证,这会导致生产力损失和沮丧。如果网络隧道本身由于高延迟而反应迟缓,最终用户在尝试访问完成工作所需的资源时会遇到中断并浪费时间。