云安全访问服务SASE

深信服云安全访问服务(Sangfor Access)是国内首批基于SASE模型的云安全服务平台,将深信服已有的安全能力(上网行为管理、终端安全检测与响应、上网安全防护、内网安全接入服务等)聚合并云化,通过轻量级客户端软件,将网络流量引流上云进行管理和安全检测,满足企业总部、分公司、移动办公多场景下的办公安全需求。
点击可切换产品版本
知道了
不再提醒
新平台
{{sendMatomoQuery("云安全访问服务SASE","深信服AF对接配置")}}

深信服AF对接配置

更新时间:2024-10-10

应用场景

用户业务部署在自建机房或数据中心,面向出差用户或远程办公场景下希望实现统一化管控与审计,防止重要信息泄密。通过深信服 IPSec VPN 安全通道,实现快速、安全访问企业机房或 IDC 数据中心的云上业务资源,便于随时随地开展工作。

实现原理

1. 在云安全访问服务平台配置 IPSec 隧道,和客户自有机房或数据中心机房设备(本文以深信服AF设备为例)对接 IPSec VPN 安全通道。

2. 在平台上配置内网应用和内网审计策略

3. PC 客户端安装 BYOD 软件、移动客户端安装 EasyConnect 软件连接云安全访问服务 POP 节点,然后匹配平台认证、审计以及管控策略

4. 最终通过 IPSec VPN 安全隧道访问到对端业务服务器,最终满足用户内网业务安全互访需求。

前置条件

  • 控制台左下角【订阅中心】,【内网访问(SASE-VPN)】 已开通;若无授权,参考《SASE授权开通》章节;
  • PC 端已安装并登录引流客户端,详细操作请参考《引流客户端快速接入》章节;
  • 深信服 AF 防火墙已开通 IPSec VPN 授权服务;
  • 客户深信服防火墙上游如果有其他安全设备,需放通 AF 设备的 IPSec VPN 通信端口:udp 500、udp 4500。

注意事项

  • IPSec VPN 的认证方式仅支持预共享密钥方式
  • IPSec VPN 协商的对端和本端的加密算法、认证算法、认证方法等参数必须一致,否则 VPN 协商不成功。

操作步骤

步骤一:配置平台IPSec VPN

1. 登录云图平台,进入云安全访问服务平台,在左侧导航栏中,选择【管理】-【内网应用】-【连接器】-【IPSec隧道连接器】,进入 IPSec 隧道配置界面,点击新增,创建 IPSec 隧道配置。

 

2. 配置 IPSec VPN 相关认证和加密协商参数,包括:POP 节点地址、对端设备地址、认证方式、IPSec 第二阶段加密数据流以及协商参数,具体配置项说明如下:

  • 设备名称:定义 IPSec VPN 隧道连接的设备名称,自行定义即可。 
  • POP节点地址:选择建立 IPSec VPN 隧道的节点地址,比如:长沙、上海等,可根据客户业务系统所在城市选择合适的节点,建议选择相同或临近的节点城市。
  • 运营商:选择 POP 节点地址后,需要指定本端采用的运营商 IP 地址,用于对端设备(此处为 AF )向此公网 IP 地址发起 IPSec VPN 协商。
  • 对端设备地址:支持固定 IP、动态域名、动态 IP三种连接方式。如果选择固定IP,则必须输入对端公网 IP 地址(此处为 AF 使用的公网地址);如果选择动态域名,则需要输入域名地址,需保证域名可以正常解析到AF使用的公网 IP;如果选择动态IP,则需要在高级配置中选择野蛮模式的连接方式,并启用 NAT-T 的 NAT 穿越功能。
  • 认证方式:此处为预共享密钥,两端通过配置一致的密钥来认证对方的身份。
  • IPSec配置:配置 IPSec 协商第二阶段使用的加密数据流,包含如下参数:

   本端地址:当前默认为100.96.0.0/11,即 BYOD 客户端使用的虚拟 IP 地址段。

   对端地址:填写对端 AF 设备使用的内网地址段,一般填写需要通信的业务服务器网段即可,只有同时匹配本端和对端地址的数据流才会进入 VPN 隧道。

   阶段二安全提议:本端支持的安全提议,包括 ESP 或 AH 协议、加密算法、认证算法以及完美向前保密 (PFS)group 组,双方通过交互和协商,最终选取一个双方都支持的提议使用。

3. 点击高级配置,进入高级配置页面,配置 IKE 协议使用的版本、连接模式、本端/对端身份类型和身份 ID、IKE SA 超时时间、D-H群、DPD、NAT-T 以及阶段一使用的安全提议。

  • IKE版本:选择 IKEv1 或者 IKEv2 版本,需要和对端保持一致。
  • 连接模式:包括主模式和野蛮模式两种类型。主模式适用于双方均为固定 IP 或者一方固定 IP、一方动态域名方式,并且不支持 NAT 穿透;野蛮模式适用于其中一方为拨号的情况,并且支持 NAT 穿透;根据客户实际需求场景选择主模式或者野蛮模式。
  • 主动连接用于控制设备是否主动发起建立 VPN 的连接。
  • 本端身份类型、本端身份ID:设置本端身份类型,保证对端可以识别到本端设备。该类型包括:IP 地址(IPV4_ADDR)、域名字符串(FQDN)、用户字符串(USER_FQDN)三种类型。本端身份 ID 按照本端身份类型所选择的类型进行配置。
  • 对端身份类型、对端身份ID:设置对端身份类型,保证本端可以识别到对端设备。该类型包括:IP 地址(IPV4_ADDR)、域名字符串(FQDN)、用户字符串(USER_FQDN)三种类型。对端身份 ID 按照本端身份类型所选择的类型进行配置。
  • IKE SA超时时间:标准 IPSEC 协商的第一阶段存活时间,只支持按秒计时方式。
  • D-H群:设置 Diffie-Hellman 密钥交换的群类型,包括 1、2、5、14、15、16、17、18 八种,请与对端设备配置保持一致。
  • DPD:IPSEC 使用 DPD(Dead Peer Detection)功能来检测对端 Peer 是否存活。
  • NAT-T:NAT-T 在野蛮模式下才会有,主要作用是避免有一方设备处于 NAT 之后导致标准 IPSEC 协商失败。NAT 穿透启用后会增加 UDP 头封装 ESP 报文,当 ESP 报文穿越 NAT 设备时,NAT 设备对该报文的外层 IP 头和增加的 UDP 报头进行地址和端口号转换,转换后的报文到达 IPSec 隧道对端时,与普通 IPSec 处理方式相同。
  • 检测间隔、超时次数:设置 DPD、NAT-T 的检测间隔、检测超时次数,多次检测超时后,设备会认为对端失效而断开连接。
  • 阶段一安全提议:选择阶段一协商时所使用的参数,包括加密算法、认证算法;其中数据加密所使用的加密算法包括 DES、3DES、AES、AES192、AES256、SANGFOR_DES、SM4;选择数据认证的认证算法包含 MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3。

4. 配置完IKE配置之后,点击IPSec配置进入 IPSec 配置界面。

IPSec 配置各项说明如下:

  • 重试次数:设置标准 IPSec VPN 的重试连接次数。
  • IPSec SA 超时时间:设置 IPSec SA 对应的超时时间。

5. 完成 IKE 和 IPSec 配置后,点击确定,返回主界面,最后点击保存即可。

步骤:配置AF设备IPSec VPN

注意:AF 设备的 IPSec VPN 配置和平台的 IPSec VPN 配置参数须保持一致,包括:认证方法、预共享密钥、加密算法、认证算法、D-H 群、PFS 组等。

各个参数的含义和平台一致,此处不再叙述,参考配置如下:

步骤三:VPN隧道查看

AF 设备 VPN 建立成功,效果如下所示:

云安全访问服务平台 VPN 建立成功,效果如下所示:

步骤四:配置内网应用

1. 登录云安全访问服务平台,在左侧导航栏中,选择管理>接入管理>内网应用,进入 SASE 应用配置界面。

2. 点击应用组处的,创建应用分组,用于归类创建的内网应用。然后点击,创建需要发布的内网应用,根据实际情况填写相关信息,然后单击确定即创建成功。

字段说明:

  • 应用名称:应用名称字段。
  • 选择分组:根据当前创建的业务属性进行分组归类,选择对应的所属组。系统默认会选择默认组。
  • 协议:指当前创建的内网应用的访问方式,通过那种协议访问,默认支持 HTTP、HTTPS、TCP、UDP 四种协议。
  • 应用地址:指内网应用的访问地址路径,支持填写 IP、域名,IP 支持填写单个 IP 和 IP 段。格式为一行一个,最多支持32行。
  • 端口:指对于内网应用的通信端口,支持填写单个端口或范围,一行一个最多支持128行。只有在选择 TCP、UDP 协议时才需要填写对应的通信端口。
  • 网络配置:选择接入方式,有连接器、IPsec 隧道两种选择,根据需求选择接入方式,默认选择连接器,此处修改为IPsec隧道方式。

步骤五:创建内网访问策略

1. 在左侧导航栏中,选择【策略】-【内网访问】-【内网应用管控】,进入配置界面。

2. 在内网访问页面,点击创建内网访问策略,根据实际情况填写相关信息,单击确认

字段说明:

  • 策略名称:策略名称字段。
  • 描述信息:策略描述字段。
  • 启/禁用:策略开关状态,默认启用。
  • 动作:指定该策略是允许或拒绝访问对于下发的内网应用。
  • 适用用户:指定需要匹配下发这条策略的用户,点击右侧进行选择用户。
  • 选择应用:选择需要下发的内网应用,点击右侧进行选择内网应用。
  • 生效时间:自定义策略的生效时间

步骤六:创建客户端认证策略

说明:PC 客户端和移动客户端类型的认证策略,客户可根据使用的终端类型来选择和创建,二者非必须同时创建。

PC客户端类型认证策略创建:

点击【管理】-【身份管理】-【认证管理】-【PC客户端】,创建 PC 客户端访问内网应用的认证策略。

字段说明:

  • 策略名称:策略名称字段。
  • 描述信息:策略描述字段。
  • 启/禁用:策略开关状态,默认启用。
  • 适用范围:认证对象范围,已默认配置,无需修改。
  • 认证源:认证服务器,支持 SASE 认证源、IDaaS 认证源,可按需选择。
  • 认证方式:仅支持账号密码认证。
  • 认证页面:可预览认证页面展示效果

移动客户端类型认证策略创建:

点击【管理】-【身份管理】-【认证管理】-【移动客户端】,创建移动客户端访问内网应用的认证策略。

字段说明:

  • 策略名称:策略名称字段。
  • 描述信息:策略描述字段。
  • 启/禁用:策略开关状态,默认启用。
  • 适用范围:认证对象范围,已默认配置,无需修改。
  • 认证源:认证服务器,默认选择 IDaaS 认证源。
  • 认证方式:默认有账号密码认证、AD 认证、短信认证、一号通认证,具体配置请参考《IDaaS认证介绍》章节。

步骤七:客户端下载和接入

方式1:PC客户端Byod方式接入

1. PC 客户端下载和接入,点击【管理】-【接入管理】-【客户端】-【下载中心】,选择和下载相应的软件安装包并安装在 PC 电脑上。

2. 使用在【管理】-【身份管理】-【用户管理】中创建的账号和密码登录 PC 客户端软件,登录成功后,如下所示:

3. PC 客户端登录成功后,测试内网业务访问连通性,如下所示:

方式2:移动客户端EasyConnect软件方式接入

1. 移动客户端下载和接入,在左侧导航栏中选择【管理】-【接入管理】-【客户端】-【下载中心】,进入下载中心 页面,点击移动客户端页面,然后使用微信扫码下载安装 EasyConnect 客户端。

2. 点击企业服务链接:sase://center-sase.sangfor.com.cn/XXXXX,打开手机上的 EasyConnect 客户端,输入复制的链接后点击连接,选择认证方式,输入对应的认证账号密码登录云平台即可。