零信任 aTrust设备部署实施
2024-03-07 21:00:05
分类:后端
热度:88
评论: 0
一、aTrust硬件部署
零信任aTrust分为“分离式部署”和“综合网关部署”两种形式。
零信任aTrust分离式设备区分控制中心和代理网关两个部分组成,其中控制中心负责用户认证,资源鉴权和策略下发等功能,代理网关主要负责负责隧道建立、数据转发、策略执行。替换SSL VPN设备的过程中,我们需要将SSL VPN设备的配置文件进行导出,再通过装换工具将配置文件导入至零信任控制中心设备即可(在零信任aTrust控制中心设备上操作即可)。
零信任aTrust综合网关设备是将控制中心和代理网关功能进行了合成,一台设备就可实现用户认证、隧道建立、数据转发、策略管理。替换SSL VPN设备的过程中,我们需要将SSL VPN设备的配置文件进行导出,再通过装换工具将配置文件导入至零信任综合网关设备即可。
控制中心型号以C结尾,如aTrust-1000-B1080C
代理网关型号以G结尾,如aTrust-1000-B1080G
综合网关型号以M结尾,如aTrust-1000-B1080M
aTrust设备,控制中心和安全代理网关的默认的出厂IP均为MANAGE(ETHO):0254.254,254/24.如果电脑连接的是aTrust设备控制中心或安全代理网关的MANAGE (ETHO)口,需要先在电脑上配置一个10.254.254.0/24网段的地址,打开浏览器输入https://10.254.254.254:4433 登录设备网关控制台。控制中心或安全代理网关控制台管理端口是4433,默认用户名admin 密码SangforSDP@1220
硬件部署可以通过U盘恢复:(虚拟化部署不支持使用U盘恢复)
(1)U盘格式化,文件格式选择FAT32
(2)创建reset-password-cmd.txt文件(文件内容可以为空)
(3)插入U盘,等待2分钟
(4)拔出U盘,查看其中reset-password-su***ess.txt文件中新密码
注:
(1) U盘恢复密码时,不会影响设备正常业务,只会重启重置密码的服务
(2) U盘恢复密码时,系统每两分钟检测一次脚本,所以U盘插入后,需要等待一段时间才能生效
二、aTrust软件部署
环境确认--虚拟化部署平台确认和服务器准备
支持虚拟化部署,支持平台有:
(1)深信服超融合平台(HCI V5.8.6及以上)
(2)VMware5.0及以上,使用KVM虚拟化技术,支持qcow2格式导入的虚拟化环境
(3)各种常见公有云平台,如阿里云、腾讯云、华为云、亚马逊云等
服务器配置参数要求:
零信任aTrust分为“控制中心”和“安全代理”两个部分
代理网关:隧道资源(441)、Web资源(自定义端口);记得端口映射
控制中心:认证(443)
三、aTrust网络配置
1、网络部署--后台配置临时网络
(1)刚开始部署时,虑拟化环境可直接点击控制台配置网络,需要注意控制中心设备和代理网关设备不建议同时开启,因为其设备内置的IP为同一个 (10.254.24.254),会产生冲突
(2)使用ssh工具登录到控制中心设备和代理网关后台,修改设备的IP地址
-
登录设备后台账号密码: quickstart/默认是SangforSDP@1220
-
使用ifconfig命令配置临时IP: ifconfig eth0 10.242.x.x/16
-
再使用route命令添加eth0的直连路由 (必做):route add -*** 10.242.0.0/16eth0
-
最后再添加默认路由指向网关: route add default gw 10.242.x.x
-
检验方式:可在cmd中使用tel*** +虚拟机IP+4433端口,检查网络连通性
注:
-
后台的网络配置为临时配置,重启后会失效。需配置完后登录web平台修改路由和网卡信息,使其永久生效,需先修改路由,在修改网卡;
-
如直接前台修改ip或后台修改IP后会导致路由全部丢失,使用route -n命令确认,然后根据需求添加路由。
2、网络部署--Web平台配置网络
通过web部署网络前,设备的管理口有默认内置一个IP地址(10.254.254.254),可以通过直连访问该地址进行web配置,建议是先在后台配置临时网卡信息,再到控制台配置
1、登录aTrust控制中心的WEB UI [登录方式:https://控制中心ip或域名:4433,默认用户名admin 密码SangforSDP@1220]
2、配置aTrust控制中心的基本网络
进入[系统管理]-[网络部署]-[路由设置],点击按钮新增,添加默认路由
进入(系统管理]-(网络部署]-[网络接口],点击新增按钮或者直接修改已有网口,修改为指定IP地址
进入(系统管理]-(网络部署]-[网络接口],点击按钮修改,修改网络配置
进入(系统配置]-(通用配置]-[客户端接入设置],修改接入地址(公网地址)
进入(系统配置]-(通用配置]-[客户端接入设置],修改隧道接入地址
3.配置代理网关proxy的基本网络
登录代理网关proxy的web UI[登录方式:https://proxyip或域名:4433,默认用户名admin 密码SangforSDP@1220]
进入[系统管理]-[网络部署]-[路由设置],点击按钮新增,添加默认路由
进入(系统管理]-(网络部署]-[网络接口],点击新增按钮或者直接修改已有网口,修改为指定IP地址
进入(系统管理]-(网络部署]-[网络接口],点击按钮修改,修改网络配置
四、aTrust控制中心和代理网关联动
(1)登录代理网关proxy的web UI界面
(2)在[系统管理]-[本机管理]页面,点击“加入控制中心”
(3)登录控制中心,在[系统管理][代理网关管理]-[密设置] 中获取代理网关加入密钥
(4)填写本机名称和控制中心地址,协议为https,默认端口443(如控制中心地址URL的端口为SDPC上的客户端接入地址端口对应,如有修改需一致) ,加入密填写从SDPC上获取的密钥
(5)点击[确定]后,开始连接控制中心,连接成功,等待控制中心审批
(6)代理网关proxy激活
-
登录控制中心,进入[系统管理][代理网关管理]页面,点击“刷新”,显示待激活的代理网关节点设备
-
登录控制中心,进入[系统管理]-[代理网关管理] 页面,点击“+”添加区域
-
局域网访问地址:填写aTrust代理网关的内网接入地址,用于隧道应用接入。端口未填写时,使用默认端口441。格式:一行一个,如:192.168.1.1:441
-
互联网访问地址:填写aTrust代理网关的公网接入地址,用于隧道应用接入。端口未填写时,使用默认端口441。格式:一行一个,如:200.43.2.16:4431
-
配置完后,点击节点卡片上的“立即激活”,选择节点分区
-
配置完后,点击节点卡片上的“立即激活”,选择节点分区
-
切换到代理网关设备,刷新页面,显示已经加入控制中心
五、aTrust用户访问和客户端下载
1、进入控制中心[系统管理][通用配置][客户端接入设置] 配置访问地址(https://域名或控制中心地址:端口默认端口为443,可修改),也可使用http协议跳转
-
分离式aTrust设备需要把控制中心的TCP 443端口和代理网关的TCP 441和TCP 443端口映射到公网,保证用户能正常通信;
-
一体式aTrust设备需要把综合网关的TCP 443端口和TCP 441端口映射到公网,保证用户能正常通信;
2、浏览器登录客户端访问地址,显示用户登录页面
3、浏览器登录客户端访问地址,显示登录页面,点击下载客户端,即可按需下载客户端
六、案例
1、使用零信任创建一个web资源关联给ad域用户,且ad域用户需做动态令牌认证
公网用户访问-----121.165.68.46登录零信任--------跳转资源www.wskj.***:6666 ------ 零信任公网ip:6666-----内网零信任:6666------代理访问内网资源
(1)进入【业务管理】-【用户管理】,新增AD域用户组,手动导入用户
(2)进入【系统管理】-【特性中心】,查看动态令牌认证是否开启
(3)进入【业务管理】-【认证管理】-【认证服务器】,新增TOTP动态令牌认证
(4)进入【业务管理】-【认证管理】-【认证策略】,AD域用户做TOTP动态令牌认证
(5)进入【业务管理】-【应用管理】-【应用列表】,新增应用,选择WEB 模式
(6)进入【业务管理】-【认证管理】-【认证服务器】,新增LDAP/AD域认证
(7)进入【业务管理】-【用户管理】-【管理用户】
【编辑用户】-【授权设置】,添加个人应用(AD用户关联资源)
