问题 01
远程接入一打开就是一张网
拿到入口后可见范围太大,员工、外包、第三方的访问边界很难收紧。
问题 02
授权判断依赖经验
总部、分支、机房、云上资源分散,谁该访问什么常靠人工记忆和临时沟通。
问题 03
出了事找不到访问记录
账号、会话、操作分散在各系统,事后复盘无从下手。
同一条访问请求,先过策略再到应用。
网关只转发被授权的应用流量,未匹配的请求直接挡在入口。
先识别身份,再只转发被授权的应用。
- 按角色 / 项目组下发权限 研发组进代码仓和工单系统,财务组进 ERP——同部门同模板。
- 权限随时回收,会话立即失效 HR 在系统里把人划掉,他正在用的会话当场断开,不需要等下次登录。
- 登录、访问、会话统一留痕 谁、什么时候、动了哪个系统——平时就在记,审计来了直接导出。
把访问范围收成可管理的应用清单。
每个场景都是一段已经在客户内部跑过的路径。挑最贴近你现状的那个先开始。
场景 01
外包同事按项目可见,项目结束权限自动消失。
外包同事按项目挂进来,看到什么、看到什么时候,立项时就定好。结项当天权限自动收掉,HR 不用记,IT 不用查。
- 按项目下发可见应用清单,离场即失效
- 外包账号自带审计标签,行为单独留痕
场景 02
分支 / 远程员工统一接入,权限和审计一起收口。
分公司同事、出差路上、临时居家,登录方式都一样——不再为不同地点准备不同接入方式。
- 就近接入节点,访问体验不卡总部出口
- 设备策略可叠加:未登记设备只放只读应用
- 跨地点访问行为汇总到同一审计视图
场景 03
不同地点的资源,纳入同一套控制面。
总部机房、分支机房、云上 VPC 不再各管各的策略,访问规则一处下发,审计一处汇总。
- 多地接入节点共享同一身份目录与策略
- 跨机房 / 跨云资源用统一应用清单管理
- 节点间健康检查 + 自动故障转移
场景 04
运维访问从"堡垒机一把钥匙"变成"按工单授权"。
把高权限通道收口到策略层:谁能进哪台机器、什么时间窗口、是否需要工单关联,全部可控。
场景 05
内审通知发下来,不用再连夜拼日志。
谁动过哪个系统、什么时候动的、有没有授权——平时就在记,审计来的时候直接导出。IT 不用熬夜翻日志,业务方也不用追着问。
- "上个季度外包都干了什么"——一句话查清楚
- 客户问"你们怎么管访问的"——直接给一份报告
- 等保测评要凭据——账号、授权、操作记录三件套都在
几个你可能会先问的问题。
适合多大规模的企业?
更适合 50–300 人、已经出现多地办公或外包协作需求的成长型企业。
私有化部署会很重吗?
控制面和接入节点可以分开部署,先从最小范围接入做起,不用一开始就铺得很大。
大概多久能用起来?
一般 1–2 周可以接入第一批系统、跑通第一个场景。后续按节奏加,不用一开始就铺得很大。
手机 / 平板能接入吗?
支持。客户端覆盖 Windows、macOS、iOS、Android,移动端同样按身份和设备策略放行,所有访问行为同样统一留痕。