单包授权(SPA)是SDP(软件定义边界)的核心功能。开启SPA功能后,终端在和设备建立TLS连接时,需要在hello包中携带spa种子方可以建立连接成功。
如开启UDP敲门功能,则能够实现端口完全隐藏(端口无法被扫描到),客户端需要向设备的UDP敲门端口发送敲门包(包中携带了spa种子)后,方可临时打开被隐藏的TCP端口(因此客户端需要周期性的持续敲门方可保证访问连通性正常)。
(一)SPA配置说明:
步骤1、在控制中心[安全中心/服务隐身/SPA防护] 中,勾选<启用服务器隐身>。
步骤2、填写需要隐身端口,可以根据选择内置规则匹配的端口,也可以新增自定义端口。
SPA防护操作说明表
| 操作 | 说明 |
| 防护模式 | 防护模式分为: UDP端口敲门+TCP服务隐身:UDP端口敲门+TCP服务隐身模式下,设备将默认隐藏所有需保护的端口,仅开放UDP敲门端口;UDP敲门校验通过后,再开放TCP保护端口,并进行SPA校验。 TCP服务隐身:TCP服务隐身模式下,设备将对保护端口的TCP连接进行SPA数据包校验,校验通过则连接成功。 |
| 控制器保护端口 | 该端口需要选择控制中心/代理网关使用到的端口,分别如下: 所有端口类型如下: 1. 用户接入端口: 用户认证接入端口:443,管理员可配置; 2. 设备通信端口: 本地集群端口:112(keepalive通信端口)、442(数据同步端口)、4434(集群核心服务监听端口); 证书认证服务器端口:无默认值,需管理员配置; 核心服务端口:58、50004; 3. 自定义端口: 管理员可自定义端口及端口范围。 |
| 代理网关保护端口 | |
| UDP敲门后端口开放时间 | 用于设置UDP-SPA敲门包完成敲门后TCP端口开放时间,不建议修改此项配置的默认值(180s),开放时间低于默认值将导致前端网络设备的负载增大,开放时间高于默认值将增加设备自身安全风险(单次敲门开放时间必须大于自动敲门周期的3倍) |
| 客户端UDP自动敲门周期 | 用于设置UDP-SPA敲门包敲门周期,不建议修改此项配置的默认值(60s),敲门周期低于默认值将增加客户端的性能消耗,同时导致前端网络设备的负载增大(自动敲门周期必须小于等于单次敲门开放时间的1/3) |
| UDP敲门误差时间 | 用于设置客户端和服务器端时间误差。安全码是基于时间戳计算令牌码,客户端与服务器端时间存在时间差时,容易敲门失败。 |
| 源IP白名单 | (1)为保证代理网关和控制中心的数据传输不被SPA鉴权阻断,请将代理网关和控制中心对接的网口IP地址加入白名单。 (2)如果管理员希望特定ip地址的终端接入时不进行SPA鉴权,则此处需要填写IP地址或网段。 |
:
使用SPA功能设备在配置域名时,域名解析不支持使用本地host解析,需要依靠DNS服务器解析。
使用SPA功能设备在配置IP时,只能通过客户端登录并访问隧道资源,无法通过浏览器登录/访问web资源。
SDPC和Proxy之间的数据通信,也需要进行SPA鉴权,因此必须配置源地址白名单。
aTrust的TCP-SPA是在建立TLS链接时候进行的安全认证,因此telnet设备端口连通性还是可以监测到端口是否开放。
如开启UDP敲门,则可以实现端口的完全隐藏,即使是扫描工具也无法扫描到设备开放的端口。
:
综合网关需要隐藏的端口则是上述两类端口的集合。
如果是集群场景,则需要注意将集群的IP和端口也填写进去。
步骤3、完成配置后,若客户为远程办公的场景需求,则需要将对应保护的端口映射到公网上,映射的内容包括TCP和UDP协议,具体如下参考,具体的根据项目实际确定即可。
(二)SPA效果说明:
1) 用户未安装专属客户端,无法接入零信任aTrust,端口无法扫描;
2) 用户安装了专属客户端,可正常接入零信任aTrust,端口可扫描;
建议使用Chrome浏览器访问!
