全局策略可以设置aTrust策略,对所有用户生效。可在控制中心[业务管理/策略管理/全局策略]处进行全局策略的设置。
登陆安全策略处可以设置用户登陆的安全策略,例如防暴力破解,密码安全规则、密码修改策略、中间人策略、防会话劫持等。
以下是对各个选项的说明:
1.防爆破设置:
开启图形校验后,用户在输入完认证凭据如账号密码并点击<登录>时,需要输入正确的图形校验码方可(可以选中文或英文校验码)。
同IP防爆破原理:不限时间、用户,只要该IP连续校验密码错误的次数达到阈值即封锁该IP特定时长;
同用户名防爆破原理:不限时间、IP,只要该用户名连续校验密码错误的次数达到阈值即被封锁特定时长,需要管理员在[监控中心/用户监控/用户状态]处找到该用户解封方可再次进行认证和登录。
2.密码安全规则:
密码安全规则仅对本地用户目录账号生效,所有用户目录中的空密码用户均禁止登录,密码安全规则按需自定义配置,管理员可以自定义弱密码库,配置项如图。
密码修改策略仅对本地用户目录的账号生效。
4.防中间人:
开启防中间人攻击后,设备将会和客户端进行双向认证以确保没有中间人设备(如解密waf)进行代理,以确保数据安全,此功能依赖客户端。
5.防会话劫持:
开启防会话劫持后,在用户的终端发生会话劫持的情况下,使用异常终端通过SDP访问代理应用,会对访问进行阻断,从而保证用户资产的安全。零信任设备可通过客户端IP地址、签名和deviced是否准确来检查唯一性,如存在数据差异则认为存在劫持攻击,会被零信任设备拦截。
1.启用弱网加速
通过优化TCP协议,增强隧道抗丢包、抗抖动特性,实现弱网环境的访问加速
2.禁止浏览器接入
可以通过接入限制禁止用户通过浏览器登录(目前不支持linux操作系统)
注意:EDR客户端联动、AC客户端联动、SASE客户端联动选项需要在[系统管理/特性中心]开启[一体化终端]特性才能看到配置项。
PC端:
开启强制安装客户端功能后,用户打开web认证页面后会检测本地是否有安装客户端,如果没有安装则会弹框提示安装如下图所示。
①开启后,登录时检测到有新版本客户端将无法登录,需点击“立即更新”升级至最新版本后才能继续使用;
②当并发更新下载可能会超过300时,建议配合CDN使用,否则多并发可能会导致服务器过载;
③开启后,客户端灰度升级功能将自动关闭。
开启后用户首次下载安装客户端之后,客户端会默认设置好[开机默认自动启动客户端]和[登陆成功后最小化客户端],用户可在【客户端-设置】中进行个性化修改,修改后以客户端配置为准。
此功能主要用于用户数量较多时,为了减少因为大规模下载/更新客户端导致占用过多的设备性能,可以允许设置让用户从第三方平台下载客户端,从而减轻设备的压力。
第三方平台可选择深信服云平台或自有平台(自有平台需提前搭建http/https服务器,详情请联系400-630-6430获取相关安装支持),如果第三方平台网络异常时,用户会从本地控制中心获取客户端(兜底机制)。
设置相关功能只需要在全局策略中勾选相关选项填入地址即可。
在开启此选项之前,需要在[安全中心/深信服设备联动]中将aTrust联动EDR的相关配置设备好,联动成功后,即可在全局策略中开启EDR客户端联动,其实现的效果为:任何用户在登录后会自动访问EDR服务端,并静默下载和安装好EDR客户端,此外还可以通过EDR查询终端的评分,用于安全策略调用(如评分低于xx分时,不允许上线/访问应用)。
注意:联动EDR的配置,具体请参考章节7.3.2联动EDR
、
在开启此选项之前,需要在[安全中心/深信服设备联动]中将aTrust联动AC的相关配置设备好,联动成功后,即可在全局策略中开启AC客户端联动,其实现的效果为:任何用户在登录后会自动访问AC服务端,并静默下载和安装好AC客户端。
注意:联动AC的配置,具体请参考章节7.3.1联动AC
7.SASE 客户端联动
任何用户在登录后会自动访问设置好的客户端下载地址,自动下载SASE-BYOD组件。
移动端:
移动端的客户端选项可以配置开启应用锁,其效果为当用户离开应用特定时长后或关闭应用后再次进入时,需要验证手势图案、指纹或面容(仅iOS)。
适用于aTrust替换深信服SSL VPN的场景,.启用后,在EasyConnect输入当前aTrust设备接入地址时,将引导终端升级至aTrust客户端,仅支持Windows和Mac。
设置客户端工作台的应用默认显示模式,可选卡片模式或图标模式。
开启诊断工具时,在访问web资源时浏览器右上角将会出现一个诊断工具按钮,点击该按钮可以查看访问该网页的延时详情,并支持日志下载功能,用于遇到访问web资源故障或异常时,可以下载对应日志交给后台人员分析。
建议使用Chrome浏览器访问!
