云枢是什么？ 针对企业安全上云和数字化转型提供的企业安全防护系统，在网络边界处起到访问管控和安全防护作用的准入方案。

高可用保障，支持集群式部署，后期在业务无中断的情况下动态横向扩容。

应用层数据防护，对所有经过的流量进行毫秒级校验，在不影响业务性能的前提下进行安全防护。

虚拟化部署，支持云环境，核心服务运行在镜像内部，安全可靠。

身份认证:支持两种认证方式：短信动态验证码和企业微信.安全防护：内嵌入侵拦截。

代理访问：稳定的内网应用代理服务。资源展示：访问者仅可访问被授权的资源。

数据保护：文本脱敏，可定制脱敏内容；网页水印。网页适配：手机端H5页面适配。

添加资源，为资源设置授权用户；用户分权限和组进行管理；可配置IP策略。

多维度数据统计，使用情况和问题一目了然。

登录，访问，管理员操作日志记录；线上用户可强制登出。

1. 已有业务对外开放：实现远程办公，使用简单，无需安装客户端软件。2. 使用企业微信移动办公：使用云枢让原有内网业务安全的对外接入微信应用平台，帮助老旧业务系统实现在手机屏幕上的适配。3. 业务上云，需要屏蔽非内部人员：保证云上的内部业务系统安全，屏蔽内部系统漏洞， 禁止非授权用户访问到业务系统。

使用企业微信的客户，可以在企业微信管理后台配置云枢代理，员工在外网环境下就能通过企业微信移动端访问内网业务。1. 企业微信代理设置：设置代理服务器，指向云枢；2. 企业微信应用设置：设置应用的主页地址，即可完成。

内外网唯一出口，不需要对外暴露过多端口，方便管控。

相比在网络层做管控的方案，应用层的维度更细。且在应用层可以做到数据保护（如脱敏，水印等）。

不需要安装额外的客户端，在浏览器中输入网址即可访问。 浏览器本身是沙盒，访问更安全。

可访问者：已授权的用户 支持两种认证方式：企业微信，短信动态验证码。仅展示该用户可以访问的资源。

可访问者：管理员

系统首页： 待处理问题集中展示， 当天情况一目了然， 多维度信息展示。

可访问者：管理员

用户管理： 查看用户状态， 管理用户列表， 对用户进行分组。

可访问者：后台管理员

用户管理： 管理员可将可疑在线用户强制登出， 可对用户进行手动锁定。

可访问者：管理员

日志审计： 登录，访问，安全日志多维度展示； 异常情况高亮提醒。

可访问者：管理员

信息安全设置：可设置水印样式、颜色，并对敏感信息进行过滤，对业务系统访问页面添加水印，预防企业机密信息泄露； 若有信息外泄事件发生时，可及时准确地溯源。

需求：接入企业微信作为协同办公平台后，会接入越来越多的应用，多达100多个，而金融行业由于其行业性质原因对安全性要求较高，故每接入一个应用都会走一遍流程，急需进行统一配置管理。 云枢解决方式：移动办公，跨网安全访问，统一管理 该客户是金融行业典型企业，网络架构复杂，其需求亦为多数金融客户的痛点，主要解决了金融行业中流程繁琐、业务协同度低的问题。每新上一个应用，都需申请一台独立的外网部署机（该机器只负责该应用），存在资源浪费、部署繁琐的问题； 每个应用都需单独配置一次网络策略，并添加很多安全策略，操作繁琐导致失误频发； 涉及策略权限审批，花费的时间周期长，效率低； 对访问者身份验证由各应用进行，缺少统一中台，安全性无法保证。 指定的应用统一走云枢的代理访问（授权用户才可访问），流程简单、时间周期短、效率高； 业务通过云枢统一的https加密通道对外提供服务，安全、稳定 统一对用户进行身份识别，保证身份可信； 管理员在企业微信后台配置后即可发布应用，流程简单； 可在企业微信工作台快速访问内部站点。

需求：上了公有云之后，其云上业务对外暴露给所有互联网用户，易造成内部机密泄露，故需要公有云上业务收敛，只允许内部人员访问。 云枢解决方式：权限控制，统一管理。所有外部互联网用户都能访问其业务系统，内部机密课件也一览无余，泄密风险极高，且无法追溯。实现云上业务收敛，为业务加上“安全闸门”，只允许授权用户访问。 可对授权用户实现权限差异化设置，分配不同的权限给不同用户。

系统: CentOs 7.5.1804，CPU: > 8核心，内存：> 16G，硬盘: > 100G （如果是虚拟机，磁盘格式要求ext3 或 ext4）。

1. 能被外网访问；2. 能访问内网；3. 需要能访问外网4. 出口IP固定（或一定范围，我们有白名单限制）；域名：泛指向，例如：*.qq.com 指向 1.1.1.1(主机IP)。

部署在网络边界处，例如局域网和局域网之间的网络边界，或在内网和外网边界处，部署举例。