零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","用户策略")}}

用户策略

更新时间:2023-06-15

用户策略可以针对该策略所关联的用户进行一些个性化设置,在控制中心[业务管理/策略管理/用户策略处]点击<新增>可以编辑用户策略,配置用户策略名称、适用对象、具体用户策略等。

注意事项:新建用户时默认继承上级组的用户策略,若父组的策略也为空,则继续向上取最近上级组的策略。 当用户修改了用户策略时则以修改后的策略为准,不再继承父组策略。

表34用户策略操作说明表

操作

说明

名称

设置用户策略的名称。

描述

设置用户策略描述,非必填项。

适用用户

选择策略对哪个用户生效。

通过以下DNS服务器进行对应用域名进行解析

开启此选项后设备将会下发此处的dns作为登录终端的dns,如果该dns为内网地址,则还需要把相关地址发布成隧道资源并关联给该用户。

DNS服务器自动配置为隧道应用

启用此选项后,以上DNS服务器地址自动发布为隧道应用,授权用户在终端登录aTrust客户端后,可使用该地址进行域名解析。

由于将下发的dns服务器自动配置为隧道应用,因此配置此选项时,要求同步配置该应用所属的区域。

仅允许以下域名通过内网DNS解析

配置规则说明:

域名配置可以使用通配符*?,*能代表任意字符串,?能代表任意单个字符。示例:

1. *.com 规则表示所有以.com结尾的域名

2. b?s.dnsserver.com表示第二个字符为任意字符, :bbs.dnsserver.com

附加DNS后缀

适用于短域名的场景,浏览器输入内容后自动补充后缀域名解析,需客户端登录后生效(支持WindowsMac系统)

启用虚拟专线

接入后仅允许用户访问已发布应用,仅支持Windows系统。

白名单地址

可配置允许用户访问除已发布应用以外的其他IP地址,如特殊的互联网地址和未发布的局域网地址

一体化终端

1、此处可设置EDR客户端联动和AC客户端联动。

2、此处的设置场景为:a.仅部分用户才需要安装EDRAC终端,因此相关策略不能在全局策略中设置,需要在对应用户的个人策略中设置;b.不同用户之间需要从不同的EDRAC设备下载对应客户端。

同时在线设备上限

设置用户可以同时登录的个数,包括PC端与移动端;

PC端包括:Mac OSWindows客户端、电脑浏览器、移动端浏览器;

移动端包括:iOS的手机/平板APP、安卓的手机/平板APP

可设置范围为0-10000代表不允许登录。

支持区分平台单独设置终端登录数量,也支持不区分平台设置终端登录数量。

允许用户记住二次认证凭证,下次免辅助认证

勾选后,用户在使用二次认证时可选择勾选是否记住二次认证凭证,下次免二次认证。

账号安全-超时注销

用户无流量超时,在设置时间内均无流量经过设备将会自动注销用户,默认为10分钟,PC和移动端可分别设置。

终端着陆页设置

可以选择用户登录后加载界面是aTrust应用中心或指定的url(如用户官网)。

桌面云联动

用于设备联动了桌面云,且用户登录aTrust后需要访问桌面云应用的场景,可以实现在登录即自动跳转到桌面云应用(此功能需同步在个人策略的终端着陆页中设置跳转的地址为桌面云应用中心)。