首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.10
零信任访问控制系统aTrust 文档 产品手册 业务管理 应用管理 Web应用
{{sendMatomoQuery("零信任访问控制系统aTrust","Web应用")}}

Web应用

更新时间:2023-05-05

开篇劝退:WEB资源的兼容性比隧道资源差,如无特殊情况,请优先将资源以隧道资源的方式发布。

WEB应用,为B/S架构,只需通过浏览器与web服务器进行交互。即在浏览器输入应用的URL即可实现对web应用的访 问。

aTrust设备能够基于http和https标准协议,配置用户所需的所有标准协议应用。能实现免客户端和插件安装,即可访问 所有web资源应用。

在aTrust设备配置web应用,可实现依赖站点访问、私有DNS解析、WEB水印、URL访问控制、接入源ip访问限制和单点 登录等功能。

  1. 准备工作

网络连通性:用户可正常访问控制中心和代理网关;控制中心和代理网关网络互通;代理网关与web资源服务器网 络互通。

端口开放:远程接入需将代理网关web资源访问端口一对一映射(默认443和80,可改)。

域名和证书准备: web资源需准备域名(建议申请泛域名,也可单域名。解析地址为代理网关地址),和泛域名证书或单域名证书。

  1. 配置步骤

步骤1. 登录设备控制台,在[业务管理/应用管理/应用列表]处<新增>以添加应用。

然后进行属性的配置,属性配置中几项重要内容及其说明如下:

1、名称:填写应用的名称;

2、所属应用分类:选择该WEB应用属于哪个应用分类组;

3、所属节点区域:选择该应用对应的代理网关节点区域,访问该web应用时通过该节点区域内的代理网关进行数据转发。

步骤2. 进行应用设置,其中几项重要内容及其说明如下:

  1. 透明代理模式:透明代理模式(默认推荐):不对网站进行内容改写,适用于较为规范化的业务系统发布。推荐配置方式为前后端访问地址保持一致。(注:透明代理模式兼容性取决于网站规范化程度。如无特别必要,请发布为隧道资源(4层代理),以避免兼容性适配过程)。

  2. 智能改写模式:智能改写模式:适用于透明代理不能正常兼容的复杂站点或老旧站点(比如说站点中有大量URL绝对路径)。(注:智能改写模式兼容性取决于网站规范化程度。如无特别必要,请发布为隧道资源(4层代理) ,以避免兼容性适配过程)。

  3. 后端服务器地址:为业务服务器的真实地址,可填写域名或IP地址,填写域名时需保证代理网关能解析该域名。

2、前端访问地址:为用户点击访问或浏览器输入应用访问的地址,必须填写域名,域名解析需能解析到代理网关地址。同时,该处填写的端口为对外的端口,必须做一对一映射(比如前端访问地址为https://domain.sangfor.com:8443,则 需将代理网关的内网8443映射到公网8443端口)。

3、授信证书:建议申请泛域名证书,也可申请单域名证书。

4、图标:可从图标库选择对应的图标,也可自定义本地上传图标。

5、工作台应用打开方式:选择系统默认浏览器时,从客户端点击应用会打开默认浏览器跳转应用地址;从WEB端点击应用会在用户所在浏览器新开标签页跳转应用地址;仅对windows下已安装客户端的终端生效。

步骤3. 未授权用户告警页面设置,配置后没有权限的用户访问该应用将要求进行权限申请,可定义权限申请的相关人员和访问理由项。点击保存即可完成web应用的基本功能配置。

步骤4. 将该应用授权给用户,用户登录aTrust后即可正常访问该WEB应用。

  1. 扩展功能说明

依赖站点

依赖站点适用于实现门户网站的主站点与子站点间的依赖关系配置场景。依赖站点必须依靠泛域名来实现,若应用主站点 为https需使用泛域名证书,具体配置如下。

私有DNS解析

私有DNS解析用于解决两大场景,使用私有DNS解析需安装客户端。

1、灰度发布:作为业务系统管理员,在零信任产品新上线时,需要在SDPC发布web应用。但直接发布,公司所有员工访 问应用都改为通过proxy代理访问,影响范围比较大。所以希望能灰度发布,前期只在部分用户测试proxy代理访问,再 逐渐开放到所有用户。

2、内网无DNS场景:作为业务系统管理员,在零信任产品新上线时,需要在SDPC发布web应用。要将内外网访问web的 流量引流到Proxy,但内网没有DNS服务器的情况下,内网无法做引流,只能通过隧道模式发布web应用。希望能有一种 方式,解决内网DNS解析的问题。

具体配置如下。

用户本地解析WEB应用前端访问地址域名,将解析到代理网关的地址,解析服务器为198.18.0.1。

安全设置

配置web应用时,可配置相关安全访问设置,包括web水印,访问控制策略和接入IP限制。其中web水印开启后,用户访 问该应用将在应用页面打上用户信息和时间等信息。访问控制策略可限制用户访问应用的具体路径,提高安全性。接入IP 限制可设定限制源地址的访问,只允许设定的网络地址或网络地址段进行访问该应用。

具体配置如下:

单点登录

单点登录可解决客户没有统一身份认证平台,实现登录aTrust后,访问业务系统时不再重复登录。单点登录有两种模式分 别为智能识别模式和精准识别模式。

智能识别模式:

1.系统将根据内置规则自动识别登录页面的用户名和密码控件,并根据设置的用户名密码规则进行自动填写登录;

2.适用于80%的普通登录界面(无下拉选择或验证码等组件界面);

3.初次登录成功后,后续当账号密码发生变化时可在应用中心选择应用更新单点登录账号信息以处于最新的状态。

登录界面地址:需与WEB应用的后端服务器地址的信息保持一致。

初次默认登录账号:可选择使用aTrust账号密码登录,若应用密码与aTrust账号密码不同则选择“用户自定义账号密码登录”。

配置完成后,将该应用授权给用户user,用户登录aTrust平台点击访问应用时输入框的账号密码将自动填写,且登录按 钮自动跳转到登录站点,填充效果如下。

精准识别模式:

可自定义登录页面的用户名/密码输入框、提交按钮等控件匹配规则便于精准查找,适用于较复杂的登录界面(含有类型 下拉选择、验证码等必填控件的登录界面)。

登录界面地址:需与WEB应用的后端服务器地址的信息保持一致。

定义控件界面:控件匹配属性可以为ID、Name或placeholder其中任一信息,未填写时,系统将自动识别控件。

配置完成后,将该应用授权给用户user,用户登录aTrust平台点击访问应用时输入框的账号密码和昵称将自动填写,且 登录按钮自动跳转到登录站点,填充效果如下。