零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","WEB全网资源")}}

WEB全网资源

更新时间:2023-06-15

WEB全网资源主要是针对高校场景,用于代理访问知网,图书馆等资源。使用该功能后,可实现如下场景:

1) 全网资源开启后,可实现高校学生和老师访问知网、图书馆和万方等资源。

2) 可实现所有资源由aTrust代理访问(B/S应用),且不影响本地网络正常上外网访问互联网资源。

3) 实现配置全网资源的前提下,客户有单个应用,如财务系统,需要授权给指定的用户做精细化授权。

准备工作:

1、准备一个公网地址和泛域名,同时将泛域名的A记录解析指向代理网关(或综合网关)对外的公网地址。具体信息,请参考下表。

设备

说明

代理网关

将代理网关的内网地址和端口(默认443,可改),使用NAT技术映射至公网地址和端口(需做一对一映射)。

申请一个泛域名和泛域名证书,并将泛域名的A记录解析指向代理网关的公网地址。

控制中心

将控制中心的内网地址和端口(默认443,可改),映射至公网地址。并提供域名和证书

注:若客户选择HTTP模式,只需要提供泛域名即可。代理网关映射HTTP端口(默认80),一对一映射至外网

高校场景内,客户的出口IP地址是固定,知网会根据公网出口地址识别是哪个高校用户,以此来实现权限的分配。故需要将控制中心和代理网关的内网地址,映射至知网,万方,图书馆等应用识别的公网地址和端口。

2、控制中心和代理网关,需要在设备的网络接口配置正确的DNS,以解析访问的域名资源。同时代理网关自身需要能访问知网,万方和图书馆等资源信息。

配置步骤:

步骤1.管理员登录控制中心(或综合网关),进入[系统管理/特性中心],选择[WEB全网资源]点击<启用>开启WEB全网资源功能。

步骤2.此时原先配置的WEB资源将会被隐藏,只有一个全网WEB资源显示在应用列表里面。

步骤3.点击<WEB全网资源>,进入全网资源配置页面。将客户提供的泛域名地址,证书和公网映射的端口进行配置。

也可选择HTTP模式,只需要提供泛域名即可。代理网关映射HTTP端口(默认80),一对一映射至外网

步骤4.点击<保存>完成全网资源的配置。

步骤5.将该资源授权给组织,群组或用户。

效果演示:

完成上述全网资源配置后,可实现如下效果:

  1. 用户登录aTrust进入应用中心页面,在输入框内访问相应的知网、图书馆或万方等资源,aTurst改写后即可代理网关访问。
  2. 本地浏览器直接输入需要访问的互联网资源,可不经过aTrust代理,直接访问。

aTrust全网资源代理访问”效果演示:

步骤1.用户在浏览器输入客户端接入地址,登录用户,进入用户应用中心页面。

全网资源不会在应用中心显示,若要使用全网资源代理访问,此时可在页面的右上角输入框内,输入你需要访问的资源。

步骤2.在右上角的输入框内,输入知网或其它资源,回车访问。

步骤3.回车后,资源被代理,访问的地址为改写后的地址。

“本地浏览器访问互联网不受影响”效果演示:

aTrust开启了全网资源,用户登录后,也可访问互联网资源。具体如下,所示。

步骤1. 终端用户在浏览器上直接输入需要访问的资源,如直接输入知网,不会被改写。

步骤2. 访问百度资源,可直接访问不需要aTrust代理。

注意事项:

1、用户应用中心不支持申请“WEB全网资源的应用权限。

2、WEB全网资源不可删除,WEB全网资源所在分组无法删除。

3、已在WEB全网资源配置泛域名(例:*.sangfor.com),当访问应用已符合泛域名条件(例:res.sangfor.com)时,不会作为WEB全网资源代理。若希望改写此类应用,配置WEB全网资源时需要将泛域名加一级(例:*.atrust.sangfor.com),使原应用不符合其泛域名,则会被WEB全网资源代理。

4、配置了WEB全网资源后,若客户想做单个应用的精细化授权,可新增配置泛域名资源,授权给指定的用户。用户授权该应用才可访问,为授权的用户不可访问。