单包授权(SPA)是SDP(软件定义边界)的核心功能。开启SPA功能后,终端在和设备建立TLS连接时,需要在hello包中携带spa种子方可以建立连接成功。
如开启UDP敲门功能,则能够实现端口完全隐藏(端口无法被扫描到),客户端需要向设备的UDP敲门端口发送敲门包(包中携带了spa种子)后,方可临时打开被隐藏的TCP端口(因此客户端需要周期性的持续敲门方可保证访问连通性正常)。
SPA目前支持二代、三代、四代SPA功能,各代际使用场景和区别如下,推荐使用一次一码;
SPA代际 | 防护模式 | 认证模式 | 防护模式自定义 | 自定义选项场景 |
第一代SPA | UDP | 专属客户端 | \ | 新版本已不支持该模式 |
第二代SPA | TCP | 全局一码 | UDP+TCP | 客户希望安全码分发足够简单(全局一码),但又希望完全隐藏服务端口 |
第三代SPA | UDP+TCP | 一人一码 | TCP | 客户希望使用可审计、防泄露的认证模式,但是希望避免互联网运营商随机小概率丢弃UDP敲门包的异常,并接受TCP端口暴露 |
第四代SPA | (UDP+TCP)Sec | 一次一码 | TCP | 客户希望使用可审计、防泄露的认证模式,但是希望避免互联网运营商随机小概率丢弃UDP敲门包的异常,并接受TCP端口暴露 |
选择代际之后,需要配置激活码/安全码发送用的短信网关,在[系统管理/系统配置/短信网关]处配置好,然后在此界面选择所需短信网关即可。
操作 | 说明 |
防护模式 | 防护模式分为: UDP端口敲门+TCP服务隐身:UDP端口敲门+TCP服务隐身模式下,设备将默认隐藏所有需保护的端口,仅开放UDP敲门端口;UDP敲门校验通过后,再开放TCP保护端口,并进行SPA校验。 TCP服务隐身:TCP服务隐身模式下,设备将对保护端口的TCP连接进行SPA数据包校验,校验通过则连接成功。 |
控制器保护端口 | 该端口需要选择控制中心/代理网关使用到的端口,分别如下: 所有端口类型如下: 1. 用户接入端口: 用户认证接入端口:443,管理员可配置; 2. 设备通信端口: 本地集群端口:112(keepalive通信端口)、442(数据同步端口)、4434(集群核心服务监听端口); 证书认证服务器端口:无默认值,需管理员配置; 核心服务端口:58、50004; 3. 自定义端口: 管理员可自定义端口及端口范围。 |
代理网关保护端口 |
完成配置后,若客户为远程办公的场景需求,则需要将对应保护的端口映射到公网上,映射的内容包括TCP和UDP协议,具体如下参考,具体的根据项目实际确定即可。
启用SPA后效果说明:
1) 用户客户端未填入SPA安全码/激活码进行敲门,无法接入零信任aTrust,端口无法扫描;
2) 用户安装了专属客户端,填入SPA安全码/激活码进行敲门后,可正常接入零信任aTrust,端口可扫描;
建议使用Chrome浏览器访问!
