零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
零信任访问控制系统aTrust 文档 运维管理 aTrust替换SSL VPN场景专题
{{sendMatomoQuery("零信任访问控制系统aTrust","aTrust替换SSL VPN场景专题")}}

aTrust替换SSL VPN场景专题

更新时间:2023-12-06

SSL VPN详细数据前置说明:

ssl vpn配置导入零信任aTrust详细数据说明指引文档_v1.1.pptx ( 3.33M  )

 

一、场景概述

SSL VPN设备作为远程办公接入的典型产品,可实现用户不受办公地点的约束,随时随地实现远程接入内网安全接入办公。SSL VPN设备已经迭代了二三十年,技术架构存在老化等问题,随着时代的发展难以满足企业的发展需求。特别是在用户大并发场景和终端安全等场景上,存在技术老化等问题。

二、场景解读

深信服推出了零信任aTrust设备用于替换SSL VPN设备,实现用户远程安全接入办公场景,同时新架构在企业大并发场景和终端数据安全等场景上有了更好的体验。零信任aTrust支持对终端安全的基线检查,支持对终端环境进行周期性的基线检查,更贴切的满足客户需求。



工作原理:零信任aTrust替换SSL VPN设备,主要的工作原理在于设备相关资源和权限的配置导入,根据零信任aTrust产品形态的不同,在操作对象上有所不同

 1、分离式部署,有控制中心和代理网关两台设备,其中控制中心实现用户认证,资源鉴权和策略下发等功能,代理网关实现用户的隧道建立,资源数据转发,执行控制中心下发的策略等。所以根据分离式的产品形态上,我们将SSL VPN的配置文件导入是,需要操作的对象是零信任控制中心设备。
2、综合网关部署,二合一设备,集成了控制中心和代理网关两台设备的功能。一台设备就可实现用户认证、资源鉴权和数据转发等功能。所以我们将SSL VPN的配置文件导入操作,操作对象是零信任综合网关设备。
注意:SSL VPN配置导入零信任aTrust设备,导入的配置范围是:用户、用户组、角色、应用和应用组五元素之间的关联关系。


2.2.10+SP3及以上版本中支持SSL客户端平滑升级aTrust客户端,详情如下:
1. SSL客户端升级至aTrust客户端仅支持Windows和Mac平台;
    windows支持VPN版本:7.5及以上版本
    mac支持VPN版本:7.6.2及以上的版本
2. M7.6.7之前版本,SSLVPN上必须实施了PW补丁包(安全必打包,平滑升级依赖),并确保客户端都已更新。否则会导致EC客户端卸载异常且无法打包修复,必须手动处理。
3. 开启SPA,EasyConnect 客户端无法连接 aTrust设备,将导致无法正常升级;
4. 启用第三方平台下载/更新客户端,不支持升级完成卸载VPN;
5. aTrust接入地址必须要配置域名对应的ip,如果对应多个,则需要都写上;
举例说明:EC客户端接入地址是 https://vpn.com(对应的ip是1.1.1.1),aTrust接入地址需要配置 https://vpn.com 和 https://1.1.1.1
6. 如果接入端口非443,则接入地址配置需要包含带端口的和不带端口的;
举例说明:EC客户端接入地址是 https://1.1.1.1:3456,则aTrust接入地址需要配置 https://1.1.1.1:3456 和 https://1.1.1.1
7. SDP控制台必须勾选TLS1.2协议,IE浏览器必须勾选TLS1.2;
举例说明:控制台需要开启TLS1.2协议(且不能勾选TLS1.0,TLS1.1),VPN客户端才能正常连接
8. Windows系统场景下,账户必须要有管理员权限,否则会EC卸载异常;
举例说明:若当前用户对C:\Program Files (x86)\Sangfor\SSL\SangforUpdate无目录操作权限,则每次都会重复下载一次sangforUD.exe
9. 平滑升级异常时,低版本VPN客户端(<M7.6.7版本)不支持弹出浏览器让用户自行下载;
10. 不支持连接HTTP地址进行平滑升级。 

三、场景实战装备

(1)场景介绍和配置指导:

 
 

(2)最佳实践实施指导&闭坑指南: