零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","隧道应用")}}

隧道应用

更新时间:2024-01-09

隧道应用,是基于终端C/S架构应用接入安全制定的一种访问内网资源的方式。

发布隧道应用需要在PC上安装客户端,通过客户端访问内网的B/S应用或C/S应用。

 基础配置

表32隧道应用操作说明表(应用属性与个性设置)

 

操作

说明

发布模式

选择创建的资源类型是隧道资源还是web资源,此处应选隧道资源。

名称

设置应用名称,例如:财务系统。

描述

给创建的应用添加描述,非必填项。

所属应用分类

选择应用所在的分类,在创建应用前,选择左边的应用分类,点击<添加>按钮创建应用会自动填写所属应用分类,也可以在创建应用的同时对其做修改。

所属节点区域

选择代理网关的节点。

协议

  1. TCP/UDP协议:此类型为常规的IP或域名资源,支持BSCS架构;
  2. HTTP/HTTPS协议:此类型仅支持BS架构资源,通过此类型发布的HTTP/HTTPS资源支持URL级别的日志审计。

服务器地址

设置需要代理的内网业务地址地址,支持单个IPIP范围、IP段及域名,域名支持通配符,例如:*.domain.com192.168.1.1192.168.1.1-192.168.1.10192.168.1.0/24。目前已支持TCPUDPICMP协议。

端口

支持端口号或端口范围,例如:单个端口号,35、端口范围,1-65535、多个端口,35,40-50,80

操作

点击<+>可以设置多个服务器地址及端口

排除部分服务器地址

若需限制以上所填服务器地址中的部分IP地址发布,可在此项填写需要排除的IP地址(暂不支持排除域名)。

应用访问入口

若是B/S类应用,配置应用访问入口后,可在应用中心点击直接访问,不配置则无法点击;

配置地址建议填写和服务器地址对应的URL,否则可能导致应用中心访问时出错。

工作台打开方式

针对B/S类应用,配置好应用访问入口后可以在此处配置打开方式,通过工作台点击访问此应用时会拉起配置好的浏览器进行访问。仅对Windows系统下已安装客户端的终端生效。

图标

设置隧道资源的图标,用于区分。

 

 

 

这里我们将举例说明如何配置一个TCP22端口的隧道资源。

 

步骤1.登录设备控制台[业务管理/应用管理/应用列表]处点击

 

步骤2.配置名称,应用分类、所属节点区域、服务器地址等信息。 

 

步骤3. 配置个性设置,由于此案例是C/S架构应用,无需配置访问入口和应用打开方式,保存应用完将应用关联给测试用户即可完成应用配置。

 

 

 

 

效果验证:

 

步骤1.登录拥有该资源访问权限的用户,在其应用中心可以看到该资源。

 

 

步骤2.使用ssh工具(如mobaxtermxshell等)可以成功连接该资源。

 

 

高级设置

1、隧道应用特性

 

隧道转Web:勾选将标准隧道改为HTTP/HTTPS隧道之后,相比标准隧道,HTTP/HTTPS隧道资源支持Web水印、审计到URL、单点登录-密码代填等能力,但仅对TCP协议的B/S应用生效。

 如果是https类型的应用,需要导入匹配应用地址的SSL证书。

 

2、隧道长连接

勾选后支持反连场景,如:sip语音、单点通讯、ALG反连、FTP主动模式和PC端互访等。

影响:开启隧道场景情况下,配置应用防护策略后,访问不符合策略时会直接阻断,不支持提示语显示和灰度处置。

3、未授权用户告警页面设置

 配置未授权用户告警页面设置,用户登录后访问该应用若未授权没有访问权限,可对其进行提示,并提供给申请访问权限窗口交由管理员审核。

安全设置

可配置隧道应用的访问控制策略,限制源地址的访问,只允许设定的网络地址或网络地址段进行访问该应用。