SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.1
{{sendMatomoQuery("SSL VPN","应用锁配置指导")}}

应用锁配置指导

更新时间:2022-01-06

功能概述

应用锁为管理员提供一种校验进入安全应用用户身份的方法,放心的让用户访问内网业务。应用锁支持手势锁、指纹认证、Face ID 认证(具体需手机支持)等生物认证方式。

准备工作

  • EMM 授权:EMM 标准版及以上授权
  • 对接封装平台:保证 EMM 设备能与 ea.sangfor.com 的 TCP 8800 端口通信,若有防火墙等安全设备,则需在其放通该地址和端口。
  • 保证互联网接入 EMM 设备:放通 HTTPS 的接入端口(默认 TCP443 端口),若有 HTTP 端口接入跳转 HTTPS 需求的,或者是分布式环境或者多线路环境的,则需要放通 HTTP 端口(默认 TCP80 端口)。若是单臂部署,则还需在出口设备上映射这些端口。
  • 证书相关:准备 iOS 企业开发证书、iOS 描述文件、Android 企业签名证书、授信 SSL 证书,并导入设备。
  • 准备 APP:准备待封装待 ipa、apk 文件。

配置步骤

配置思路:设备封装 ipa、apk 文件,APP 封装完成后,发布到应用商店,勾选离开应用后再进入,需要使用生物识别(指纹/面部或手势解锁)

在策略组中设置强制用户开启应用锁,用户启用应用锁后,离开安全域 X(0-1440) 分钟再次进入,需要验证应用锁将策略组关联给对应的用户

用户下载 aWork,下载封装后的 APP 使用

配置指导在 SSL 控制台【SSL VPN 设置】-【EMM】-【应用封装】中对所需的 APP 进行应用封装,封装类型选择增强沙箱的模式

在 SSL 控制台【SSL VPN 设置】-【EMM】-【应用商店】中发布封装后的 APP,勾选离开应用后再进入,需要使用生物识别(指纹/面部)或手势解锁

在 SSL 控制台【SSL VPN 设置】-【策略组管理】-【EMM】中设置强制用户启用应用锁,用户启用应用锁后,离开安全域 X 分钟再次进入,需要验证应用锁。

在 SSL 控制台【SSL VPN 设置】-【用户管理】中将策略组关联给对应用户

效果展示

iOS、Android 打开安全应用均需要验证应用锁

Android 系统:安全应用与 aWork 共用本地锁页面,当安全应用需要进行本地锁认证时,会拉起 aWork 来完成本地锁认证,认证成功后会跳转到安全应用;

iOS 系统:安全应用自带本地锁页面,当安全应用需要进行本地锁认证时,直接在安全应用上完成本地锁认证。

 

注意事项

1、若不选择强制用户启用应用锁,则终端用户可自主关闭应用锁,终端用户自主关闭应用 锁后,即使在应用商店开启了应用锁的开关,应用锁功能也不生效。

2、由于安全应用之间(包含 aWork)的数据同步依赖 aWork 进程,因此,下列情况可能会出现弹手势锁框不准确的情况:

  • aWork 进程不在(杀掉、未打开)安全应用进程在,此时服务端修改了应用锁配置(eg:从开到关),此时由于安全应用不能同步更新到这个状态,仍然会弹出手势 锁。
  • aWork 进程在,安全应用进程不在,此时如果修改了 aWork 本地锁的配置,安全应用无法同步更新本地锁的配置,仍然会按照上一次获取的配置进行手势锁的显示。
  • PS:只影响第一次,之后不修改配置就会正常,对安全能力没有影响。