零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","区域管理")}}

区域管理

更新时间:2023-06-15

aTrust分离式设备以区域的方式来管理代理网关和应用,即代理网关在加入到控制中心时,是需要选择对应的所属区域的,同样的,创建应用时,应用也需要配置其所归属的区域。然后aTrust用户在访问应用时,相关数据便会交给相关区域内的代理网关转发。

创建代理网关区域时,需要设置代理网关的访问地址和UDP敲门地址,以及选路模式,下面根据创建区域的步骤来具体说明:

步骤1、在控制中心[系统管理/代理网关管理]处点击加号“+”进行添加代理网关区域。

步骤2、配置节点名称、访问地址、选路模式。

表48新增代理网关区域说明表

操作

说明

区域名称

填写区域名称,支持中文、英文和数字。

局域网访问地址

  1. 此处配置设备的接口地址和隧道监听端口(设备默认使用441不可更改,但支持互联网场景下做非对称映射,即互联网端口可使用非441端口,然后映射给设备的441端口),用于客户端和区域内代理网关建立隧道用。
  2. 如果开启了SPAUDP敲门模式,则UDP敲门端口也是使用此处的端口号。
  3. 此处支持填写多个IP v4地址、IPv6地址和域名及其端口,如1.1.1.1:441sangfor.com:441[123::123]:411,如果不填写端口号,则会使用默认的441端口。
  4. 存在多个地址时,会根据下方的选择模式来选择连接的地址。
  5. 移动端和linux客户端不支持域名接入。
  6. aTrust客户端在和代理网关建立隧道时,会优先探测网关所属区域的局域网访问地址,只有全部访问不通时,才会探测区域的互联网访问地址。

互联网访问地址

此处填写映射给代理网关的互联网IP和端口,用于aTrust用户在互联网接入时,需要通过互联网IP+端口的方式来和代理网关建立隧道的场景。

选路模式

  1. 时延优先的适用场景:适用于部署单个代理网关设备,出口多运营商线路架构,能够帮助用户自动接入速度最快的线路。当部署了多个网关时,可能导致所有的连接都集中在一个网关上。其选路方式为:首次接入时,优先选择最小时延的线路进行接入,后续当线路恶化至切换条件时重新选路。
  2. 时延+负载的适用场景:适用于部署多个代理网关的架构,能够帮助用户自动接入相对速度较快的线路,同时进行流量的均衡分配,多个网关设备的流量负载相对均衡。其选路方式为:首次接入时,根据客户端到访问地址的最小时延(Base)及相对时延阈值(Threshold),随机选择阈值范围内(Base+Threshold)的线路进行接入。

高级设置-线路切换

本选项主要用于设置客户端在何种条件下切换连接的代理网关:

  1. 设置客户端探测网关网络质量的时间间隔。
  2. 设置线路恶化条件(延时达到多少秒即认为线路质量差)。
  3. 设置连续探测恶化的此处阈值,达到即切换线路。
  4. 设置进行线路切换时,旧的短连接是否保持在旧的设备上。

高级设置-启用智能DNS负载

当接入地址中包含域名,且依赖智能DNS解析时,如启用此处的智能DNS负载则根据智能DNS返回的第一个IP地址参与选路;若未启用,则智能DNS返回的所有地址都参与选路

步骤3、配置完成并保存配置后即可以看到新增的区域,点击区域名称右侧的···可以打开区域管理按钮,在下拉的菜单中可以进行以下操作:

1、点击<编辑>以进入区域的编辑界面,可修改区域的相关配置。

2、点击<设置为主区域>,则该区域会被设置为主区域(注意只能设置一个主区域),设置为主区域后,当aTrust用户拥有的任意长连接模式TCP资源UDP资源或ICMP资源且属于主区域时,用户登录后获取到的虚拟IP会被设置在aTrust虚拟网卡上,并且如果虚拟IP池功能也同时开启的时候,用户的应用中的服务器可以通过aTrust用户的虚拟IP反向访问到客户端。

3、删除区域,成功删除区域的前提条件:该区域未被任何应用关联,且没有代理网关在该区域中。