一文读懂Safous网关+POP架构:零信任ZTNA完整工作原理(请求+响应全流程)

前言

远程办公、企业外协接入、工业远程运维场景下,传统VPN的短板越来越明显:接入即贯通整个内网、公网端口暴露攻击面大、权限粗放无细粒度管控。而Safous作为IIJ旗下零信任ZTNA解决方案,依靠「内网App网关+云端POP节点」架构,彻底替代传统VPN,实现无公网IP、无端口映射、应用级最小权限安全接入。

很多运维和网安同学搞不懂:Safous网关是什么?POP是谁搭建的?整套流量请求、响应到底怎么走? 本文用通俗语言拆解架构角色、归属权责、全链路请求响应原理,看完彻底吃透底层逻辑。

一、核心角色名词通俗释义

1. Safous App Gateway(内网网关)

部署在企业自己内网机房/私有云 的虚拟机或硬件网关,位于企业防火墙内侧。

核心定位:企业内网的安全出入口,主动外联不被动监听,对内代理OA、ERP、业务系统、工业PLC等资源,对外只和POP建立加密隧道。

2. POP(Point of Presence 边缘接入节点)

全称网络接入点,是Safous厂商全球部署的云端安全基站,分布在全球各大城市数据中心。

  • 归属:完全由厂商搭建、运维、扩容,企业无需自建、无需维护;
  • 作用:承接远程终端接入、身份认证、权限校验、流量中转、日志审计;
  • 补充:仅特殊高合规场景可选择企业私有POP自建,常规企业直接用厂商公共POP即可。

3. 零信任核心原则

永不信任、始终验证、最小权限、应用级隔离,不默认信任内网外网任何终端,每一次访问都要做身份+设备+权限三重校验。

二、关键权责:谁搭建、谁运维

  1. POP节点 :默认全球公共POP → 厂商Safous/IIJ搭建运维,企业直接免费复用;私有POP → 企业按需自建、自运维。
  2. Safous内网网关企业自行在内网部署、配置、管理
  3. 链路关系:内网网关主动出站连接厂商POP,建立永久加密TLS隧道,企业防火墙无需做端口映射、无需公网IP

三、整体架构逻辑拓扑

远程员工终端 → 就近接入厂商POP节点 → 加密隧道传输 → 企业内网Safous网关 → 内网业务系统

回程原路返回,全程流量加密、内网真实地址永不暴露在公网。

四、完整全链路:请求流程 + 响应流程

4.1 正向请求流程(员工终端 → 内网业务系统)

  1. 外部员工通过浏览器/ Safous客户端发起内网业务系统访问请求;
  2. 终端自动就近接入Safous全球POP节点,不直接触碰企业内网;
  3. POP节点执行多层校验:账号密码认证、MFA二次验证、设备可信检测、访问权限策略匹配;
  4. 认证授权通过后,POP将访问请求封装进网关与POP之间的加密隧道
  5. 加密流量穿越公网,送达企业内网已常驻连接的Safous网关
  6. 内网网关解包流量,二次校验访问策略,过滤非法请求;
  7. 网关将合法请求转发给内网OA、ERP、业务服务器、工业设备等目标系统。

4.2 反向响应流程(内网业务系统 → 员工终端)

  1. 内网业务系统处理完成请求,生成业务返回数据;
  2. 业务数据首先回传至同网段的Safous内网网关
  3. 网关对返回数据进行安全封装,送入早已建立好的加密隧道
  4. 加密流量通过专属隧道回传至云端POP节点
  5. POP节点完成流量审计、日志留存、行为记录,做合规留痕;
  6. POP解包后将纯净业务数据转发给远程员工终端;
  7. 终端正常加载页面、获取业务数据,一次访问闭环完成。

五、Safous架构 vs 传统VPN 核心差异

对比维度 Safous网关+POP零信任架构 传统VPN
信任模型 零信任,每次访问强制校验 边界信任,接入即默认全网可信
网络暴露 无公网IP、无端口映射,攻击面极小 需公网IP+端口映射,易被扫描攻击
访问权限 应用级细粒度授权,仅开放单个业务 网段级授权,接入可横扫整个内网
流量链路 走加密隧道,经POP中转审计 直接打通内网路由,无中间安全校验
部署运维 内网网关主动外联,配置简单 需防火墙策略配置、网段规划,运维复杂

六、适用落地场景

  1. 企业混合办公、员工远程居家安全接入内网;
  2. 第三方外协厂商、外包人员最小权限接入业务系统;
  3. 工业行业PLC、SCADA设备远程运维,规避公网暴露风险;
  4. 等保合规、需要全程会话审计、操作日志留存的敏感业务场景;
  5. 多分支机构、跨地域企业统一安全接入管控。

七、总结

  1. POP是厂商建好的全球云端接入基站,普通企业不用自建;Safous内网网关由企业部署在自己内网;
  2. 核心逻辑:网关主动外联建隧道,外网无法主动穿透内网,从根源缩小攻击面;
  3. 所有访问遵循「终端→POP认证→隧道→网关→业务系统」请求流程,响应原路回流;
  4. 相比传统VPN,真正实现了隐身内网、按需授权、全程审计、零信任安全接入,是当下替代VPN的最优方案之一。
相关推荐
leoZ23113 小时前
Claude 驱动的全栈开发:Spring Boot + Vue 的 BS 架构实践
vue.js·spring boot·架构
哥是强混14 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
前端H14 小时前
微前端 v3 架构升级:从加载隔离到状态协同
前端·架构·状态模式
LYFlied14 小时前
Anthropic Agent隔离架构解读:比权限弹窗更可靠的是限制爆炸半径
人工智能·架构·软件工程·claude·安全架构·ai agent
Piko61415 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
visual_zhang15 小时前
文件行数如何影响 AI 编程的输出质量
架构
爱研究的小梁16 小时前
乾元通多链路聚合通信主流落地应用案例
网络·信息与通信
Bobolink_16 小时前
跨境网络丢包优化实践,从5%到0.2%的排查与调整过程
网络·跨境网络·丢包优化
Piko61417 小时前
锐捷交换机 DHCP Server部署
运维·网络·笔记
Larcher17 小时前
从回调地狱到优雅异步:Node.js 文件操作进化史
javascript·后端·架构