员工通过传统的VPN登录或端口映射方式从互联网访问内网应用存在诸多的安全及体验不佳等问题， 通过身份云基于零信任网络架构的应用网关，可以完全替换传统的vpn方案，让您的员工随时随地安全、便捷、高效访问内网应用。

企业面临的挑战

企业出于成本预算，期望低成本实现远程办公

部分中小企业可能出于财务支出成本的考虑，没有预算采购vpn或者不具备开通端口映射条件下，企业又期望能够低成本、高安全的实现远程办公，亟须要鱼和熊掌可以兼得的完美方案。

传统VPN访问内网应用成本高、操作繁琐、体验差

传统VPN组网方式，企业每年支付大量成本，交付周期长；员工需要先安装vpn客户端，然后打开vpn并登录才能访问内网应用，操作步骤繁琐；在火车或信号不好场所容易出现连接中断，需要反复登录，体验差。

传统网络防护手段不够安全，互联网暴露面过大

传统vpn组网需开通防火墙入站策略后，员工才能访问内网应用，黑客可利用VPN端口入侵到企业内网；端口映射方式，将内网应用暴露端口到互联网，更容易直接遭到黑客攻击，窃取企业敏感数据。

逐步扩大边界，让IT运维安全人员疲于应付，有心无力

过去只需在办公网前部署防火墙，即可实现安全防护。随着居家办公、移动办公、分支机构组网、业务伙伴合作兴起，安全边界逐渐扩展，运维人员需部署更多安全产品，成本投入高、还容易覆盖不全出现安全漏洞。

解决方案

一站式的零信任网络架构&身份云安全认证

企业原有的远程办公场景下，员工通过互联网访问内网应用，通常需要员工安装并登录vpn或者防火墙开通端口映射，传统的访问方式需要直接暴露端口到互联网、很容易被黑客利用遭到恶意攻击、引发企业核心敏感数据的泄露风险。

身份云应用网关，基于零信任网络安全架构，用户每次访问请求都必须经过身份云安全认证，解决在远程办公、居家办公、手机移动办公、出差途中等多场景下，实现内网应用隐身，端口隐藏，防范黑客恶意攻击，降低敏感数据泄露风险，轻松部署降低企业投入成本，提升员工访问应用的安全和体验。

一键式快捷部署，轻松实现低成本远程办公

身份云基于云原生的身份云服务平台，服务开通即可访问；身份云网关连接器，支持一键式快速部署，简单配置即可让员工从互联网安全、高效的访问内网应用，企业通过非常低廉的成本投入即可实现多场景的远程办公。

基于零信任网络架构，让远程办公更安全

传统VPN组网需要开通防火墙策略（防火墙打洞），至少要暴露一个端口的（例如443端口）后，用户才能访问内网应用，攻击可利用vpn暴露IP和端口随时尝试攻击，找到漏洞后入侵到企业内网扩大攻击范围；

传统端口映射方式让企业内网应用直接暴漏端口到互联网，更容易让黑客找到安全漏洞，植入勒索病毒或木马程序，造成企业重大的经济损失。

身份云应用网关，基于零信任网络架构，无需开通防火墙入站策略，实现内网应用隐身，降低互联网暴露面，非法用户无法访问，极大提升企业安全性。

身份云支持按照用户、部门、用户组、角色、时间、设备等多维度的访问策略授权，保证合法员工才能访问授权后的资源。

身份云支持验证码、OTP动态令牌、FIDO指纹等多因素MFA认证，加强用户的身份鉴别力度，防止身份盗用和冒用。

操作简单方便，让用户访问体验更简单高效

区别于传统vpn访问模式，使用身份云应用网关，员工无需在设备上安装任何软件，再也不需访问内网应用前，先安装vpn客户端打开vpn登录vpn等一连串的繁琐操作。用户访问内网应用由原来通过vpn需要耗时几分钟，现在只需要数秒即可实现，大大提升了用户的访问体验，操作更加流畅。

让运维人员应对自如，助力企业降本增效

传统vpn访问方式需要维护大量的资源设备，身份云应用网关无需维护任何设备，从而大大降低运维人员的运维量，同时企业又减少资源的成本投入。

传统vpn访问方式需要人工开通vpn账号访问权限、人工回收账号权限，账号管理混乱，身份云通过自动化策略实现员工入职自动开通，员工离职自动回收，轻松实现员工的全生命周期管理。

传统方式下需要为每个内网应用申请域名、配置证书、开通防火墙网络策略后，员工才能远程访问内网应用，身份云应用网关无需要为每个应用申请域名、配置证书，只需要在身份云平台进行简单配置，即可实现域名访问。

零信任里的“隐身”黑科技： 企业的网络有多少IP和端口向外暴露，就有多少可以被攻击的点。暴露面越小，网络越安全。 零信任安全架构可以实现“零暴露面”的隐身技术，可以让企业免疫网络攻击。