【钉钉-场景化能力包】内网应用安全上钉钉

客户痛点

企业通常会将核心应用系统放入企业内网或DMZ区，通过防火墙建立网络边界隔离，如果企业员工在互联网侧通过移动设备或PC设备访问企业内网应用时候，通过使用2种方式：VPN拨号和端口映射。但是由于VPN存在设备漏洞或端口映射到外网IP或URL，黑客可以直接访问或攻击企业应用，导致企业核心数据泄露。

 企业原有内网应用访问方式，如下图所示：

   

企业用户内网应用访问有如下的四大痛点：

• 【财务支出成本高】

  • 传统的 VPN 方案部署成本高，专线每年支付大量的财务费用。

• 【用户体验感差】

  • 员工要预先安装、配置 VPN 客户端，安装配置繁琐。在使用时要先拨通VPN，而且VPN在弱网下会断线，需要重新连接。

• 【数据不安全】

  • 需要保留防火墙的入墙端口，导致黑客可以扫描到企业内网应用的端口，从而可以发起黑客攻击。

• 【设备交付困难】

  • 发起采购需求，到设备到货，到安装，通常需要几个月时间且调试复杂。

---

 

融合方案

方案说明

钉钉企业应用网关通过钉钉身份平台、钉钉安全网关和连通器，将企业内网应用安全连接到阿里公有云环境，使得企业员工（办公场景、运维场景、分支机构场景）便捷访问企业内部应用，助力企业组织数字化和协同。

钉钉企业应用网关总体架构，如下图所示：

• 【对特定的应用设置访问策略】
  支持按组织、部门、角色、个人针对特定的应用设置访问策略。

• 【简单配置，快速交付】 ​
  仅需在企业内部部署连接器（反向建立到钉钉服务端的长连接），提供了一行命令的安装脚本，安装完成后，管理员在网关控制台做简单的配置即可完成交付。

• 【全链路加密】
  ​内网应用快速上钉，企业在内网服务器安装部署连接器后，网关和内网之间建立了安全加密的传输通道，员工在钉钉客户端的请求经过此通道传输到内网服务器，同样，服务器响应经过此通道返回至员工钉钉客户端。​

• 【阻断非法身份】
  基于钉钉的身份认证，网关的身份认证提供了对内网资源的防护，阻断了外部人员的恶意访问。仅通过钉钉身份认证的请求才会被转发到企业服务器。

• 【支持重写功能】
  ​自定义重写规则，网关支持了对请求头、请求体、响应头、响应体的重写功能。

功能说明

钉钉企业应用网关平台，如下图所示：

• 【客户端】
  ​钉钉客户端，主要用来验证用户身份信息。确保访问用户的合法性。基于钉钉的账号绑定员工身份实现安全的身份验证和状态保持。通过钉钉内置的账号风控逻辑保障账号安全性。防止撞库、盗号、暴力破解等恶意攻击。

• 【安全网关】
  ​钉钉零信任安全解决方案的核心组件。该网关是一个身份识别代理。工作在OSI模型中的第7层应用层。实现HTTP（S）协议的反向代理，同时验证客户端的每一次访问请求的合法性。由于HTTP（S）协议可实现短连接，无需建立长连接，因此可实现远程访问的高度稳定，可在弱网情况下稳定工作，永不“掉线”。该网关是SaaS化服务，采用多地集群化部署。

• 【连通器】
  ​连通器部署在客户机房DMZ区。该连接器将通过防火墙反向连接到钉钉企业应用安全网关上。将客户端的请求转发到内部应用上。并接收内部应用的返回内容，通过钉钉企业应用安全网关发送给客户端。通过该组件，可实现将内网隐藏。内部应用无需通过防火墙暴露到互联网上，大大减小攻击面。

---

客户价值

​​​​​​​

• 【轻交付，降低成本】

  轻交付、轻运维方式，帮助企业节约IT成本。

• 【高可靠，提升协同效率】

  为客户提供高效安全的内网应用访问能力，提升企业协同效率。

• 【好体验，提升体验感】

  提供在全球多办公场所就近访问的能力，提升访问速度，提升体验感。

• 【高安全，保障数据安全】

  从不信任任何请求，基于设备及员工访问行为提供持续动态的权限校验，保障企业数据资产安全。

• 【内网应用安全高效上钉替代VPN】

  例如，原先内网部署的ERP系统只能内网访问，需要以微应用的方式接入到钉钉上实现移动化办公，并且要保证系统访问的安全。

• 【分支机构关联组织安全访问】

  ​以最小权限原则提供访问权限给客户的分支机构、关联组织和合作方。

---

想了解更详细的场景化能力包介绍吗？请点击前往能力中心查看更丰富的内容。

---