零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","配置步骤")}}

配置步骤

更新时间:2023-06-15

步骤1、在[系统管理/特性中心]中开启特性“一体化终端”。

步骤2、在[安全中心/深信服联动设备]中,点击<联动码设置>,然后输入本机名称和本设备IP地址后,点击<立即生成>,然后将联动码复制下来。

aTrust设备上生成联动码时,填写“本设备IP地址”有以下几个方面需要注意:

7、深信服EDR设备可以通过aTrust的联动码读取出aTrust设备的通讯地址和端口。

8、aTrust用户接入地址使用443端口时,在联动码设置处填写“本设备IP地址”时,可以不带端口号。

9、如果aTrust用户接入地址使用的是非443端口,例如当用户接入地址的URLhttps://1.1.1.1:1443时,则“本设备IP地址”处应填1.1.1.1:1443

10、如果EDR设备使用公网IP为源的方式访问aTrust的时(即EDRaTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),在生成联动码时,应填写aTrust设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:1443

11、一个联动码仅能使用一次。

12、如果aTrust控制中心组建了集群,则“本设备IP地址”应填写集群IP

步骤3、在EDR设备控制台[系统管理/联动管理]处,点击<接入联动设备>,并输入联动码,点击<下一步>

检查各项信息是否正确,尤其是“本机IP”,如确认无误,则点击<确定>

EDR设备的“本机IP”填写规范,和步骤2中所述的注意事项一致(重点关注第3点)。

即:如果EDR的接入地址使用的是非443端口,例如当用户接入地址的URLhttps://1.1.1.1:4431时,则“本设备IP地址”处应填1.1.1.1:4431

如果EDR设备使用公网IP为源的方式访问aTrust的时(即EDRaTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),在生成联动码时,应填写EDR设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:4431

步骤4、等待约半分钟后,设备联动即可成功,可以在EDR设备的[系统管理/联动管理]中看到已经接入的aTrust设备,点击<连通性测试>,可以测试成功即代表联动正常。

aTrust控制台[安全中心/深信服联动设备]处也可以看到已经联动成功的EDR设备。

步骤5、在EDR[终端管理/策略中心/本级中心/环境感知]勾选<开启环境感知>,为方便后面测试功能(EDR其它功能的使用方法请参考EDR用户手册),此处勾选最下方的“开启Windows防火墙监控”,设置未开启时扣分40。最后点击<应用到下级分组>,确保接入到该EDR的终端都会按照此标准进行环境检测。

步骤6、在[业务管理/策略管理]中启用EDR客户端联动,这里有两种方式开启联动:

1)在全局策略中启用EDR联动并选择对应的已联动设备;

2)在个人策略中启用EDR联动并选择对应的已联动设备。

关于在策略管理中开启EDR联动的说明:

1、如果在全局策略中开启,则对所有用户都生效,所有用户都会在登录后自动安装EDR客户端,此方式适用于全局推广EDR且无外部用户(即不需要安装EDR的用户)的场景。

2、如果全局策略不开启,仅在个人策略中开启EDR客户端联动,则只有该策略中的对应用户再登录后才会自动安装EDR

3、注意:当前版本支持对接多个EDR,但仅支持使用其中的一个:

a.如果全局策略中关联的是EDR1,用户策略中关联的是EDR2,此时将以全局策略为准;

b.如果全局策略未开启联动EDR,但是用户A关联的是EDR1,用户B关联的是EDR2,则可能会产生不可预期的故障,请勿这样配置。

1)全局策略开启方式:

2)个人策略开启方式:

步骤7、在aTrust控制台[安全中心/安全基线/应用防护策略]中,点击<新增>以新增一条应用防护策略,适用用户选择测试用户。

Windows系统条件中,设置EDR终端检测评分大于80分时,才允许访问应用,否则将被处置,处置动作选择“阻止访问”。

至此,服务端的配置完成。