零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.10
{{sendMatomoQuery("零信任访问控制系统aTrust","配置步骤")}}

配置步骤

更新时间:2023-05-05

步骤1、在[系统管理/特性中心]中开启特性“一体化终端”。

步骤2、在[安全中心/深信服联动设备]中,点击<联动码设置>,然后输入本机名称和本设备IP地址后,点击<立即生成>,然后将联动码复制下来。

在aTrust设备上生成联动码时,填写“本设备IP地址”有以下几个方面需要注意:

  1. 深信服AC设备可以通过aTrust的联动码读取出aTrust设备的通讯地址和端口。

  2. 当aTrust用户接入地址使用443端口时,在联动码设置处填写“本设备IP地址”时,可以不带端口号。

  3. 如果aTrust用户接入地址使用的是非443端口,例如当用户接入地址的URL是https://1.1.1.1:4431时,则“本设备IP地址”处应填1.1.1.1:4431。

  4. 如果AC设备使用公网IP为源的方式访问aTrust的时(即AC和aTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),在生成联动码时,应填写aTrust设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:1443。

  5. 一个联动码仅能使用一次。

  6. 如果aTrust控制中心组建了集群,则“本设备IP地址”应填写集群IP。

步骤3、在AC设备控制台[终端行为安全/终端安全联动]处,点击<接入联动设备>,并输入步骤2中获取到的联动码,点击<下一步>。

检查各项信息是否正确,尤其是“本机IP”,然后输入联动设备名称以便于接入多台设备时方便区分,确认各项信息无误后,点击<完成>。

AC设备的“本机IP”填写规范,和步骤2中所述的注意事项一致(重点关注第3点)。

即:如果AC的接入地址使用的是非443端口,例如当用户接入地址的URL是https://1.1.1.1:4431时,则“本设备IP地址”处应填1.1.1.1:4431。

如果AC设备使用公网IP为源的方式访问aTrust的时(即AC和aTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),在生成联动码时,应填写AC设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:4431。

步骤4、等待约几秒后,设备联动即可成功,可以在AC控制台的[终端行为安全/终端安全联动]中看到已经接入的aTrust设备,点击<连通性测试>,可以联动成功即代表联动正常。

在aTrust控制台[安全中心/深信服联动设备]处也可以看到已经联动成功的AC设备。

步骤5、在AC控制台[接入管理/准入客户端配置/]处开启802.1x相关功能,并设置准入客户端网关地址(如果此处不配置地址,则会导致准入客户端因找不到AC从而无法正常拉起)。

在[接入管理/接入认证/802.1x接入认证/802.1x入网控制]中编辑其基础设置和认证方式(更多AC相关操作说明,请参阅AC用户手册),然后点击下方<提交>。

步骤6、在aTrust控制台[业务管理/策略管理]中启用AC客户端联动,这里有两种方式开启联动:

1.在全局策略中启用AC联动并选择对应的已联动设备;

2.在个人策略中启用AC联动并选择对应的已联动设备。

关于在策略管理中开启AC联动的说明:

  1. 如果在全局策略中开启,则对所有用户都生效,所有用户都会在登录后自动安装AC客户端,此方式适用于全局推广AC准入客户端且无外部用户(即不需要安装AC的用户)的场景。

  2. 如果全局策略不开启,仅在个人策略中开启AC客户端联动,则只有该策略中的对应用户再登录后才会自动安装AC。

  3. 当前版本支持对接多个AC,但仅支持使用其中的一个:a.如果全局策略中关联的是AC1,用户策略中关联的是AC2,此时将以全局策略为准;b.如果全局策略未开启联动AC,但是用户A关联的是AC1,用户B关联的是AC2,则可能会产生不可预期的故障,请勿这样配置。

全局策略开启方式:

个人策略开启方式:

至此服务端配置完成。