零信任 aTrust设备部署实施

一、aTrust硬件部署

零信任aTrust分为“分离式部署”和“综合网关部署”两种形式。

零信任aTrust分离式设备区分控制中心和代理网关两个部分组成,其中控制中心负责用户认证,资源鉴权和策略下发等功能,代理网关主要负责负责隧道建立、数据转发、策略执行。替换SSL VPN设备的过程中,我们需要将SSL VPN设备的配置文件进行导出,再通过装换工具将配置文件导入至零信任控制中心设备即可(在零信任aTrust控制中心设备上操作即可)。

零信任aTrust综合网关设备是将控制中心和代理网关功能进行了合成,一台设备就可实现用户认证、隧道建立、数据转发、策略管理。替换SSL VPN设备的过程中,我们需要将SSL VPN设备的配置文件进行导出,再通过装换工具将配置文件导入至零信任综合网关设备即可。

控制中心型号以C结尾,如aTrust-1000-B1080C

代理网关型号以G结尾,如aTrust-1000-B1080G

综合网关型号以M结尾,如aTrust-1000-B1080M

aTrust设备,控制中心和安全代理网关的默认的出厂IP均为MANAGE(ETHO):0254.254,254/24.如果电脑连接的是aTrust设备控制中心或安全代理网关的MANAGE (ETHO)口,需要先在电脑上配置一个10.254.254.0/24网段的地址,打开浏览器输入https://10.254.254.254:4433 登录设备网关控制台。控制中心或安全代理网关控制台管理端口是4433,默认用户名admin 密码SangforSDP@1220

硬件部署可以通过U盘恢复:(虚拟化部署不支持使用U盘恢复)

(1)U盘格式化,文件格式选择FAT32

(2)创建reset-password-cmd.txt文件(文件内容可以为空)

(3)插入U盘,等待2分钟

(4)拔出U盘,查看其中reset-password-su***ess.txt文件中新密码

注:

(1) U盘恢复密码时,不会影响设备正常业务,只会重启重置密码的服务

(2) U盘恢复密码时,系统每两分钟检测一次脚本,所以U盘插入后,需要等待一段时间才能生效

二、aTrust软件部署

环境确认--虚拟化部署平台确认和服务器准备

支持虚拟化部署,支持平台有:

(1)深信服超融合平台(HCI V5.8.6及以上)

(2)VMware5.0及以上,使用KVM虚拟化技术,支持qcow2格式导入的虚拟化环境

(3)各种常见公有云平台,如阿里云、腾讯云、华为云、亚马逊云等

服务器配置参数要求:

零信任aTrust分为“控制中心”和“安全代理”两个部分

代理网关:隧道资源(441)、Web资源(自定义端口);记得端口映射

控制中心:认证(443)

三、aTrust网络配置

1、网络部署--后台配置临时网络

(1)刚开始部署时,虑拟化环境可直接点击控制台配置网络,需要注意控制中心设备和代理网关设备不建议同时开启,因为其设备内置的IP为同一个 (10.254.24.254),会产生冲突

(2)使用ssh工具登录到控制中心设备和代理网关后台,修改设备的IP地址

  •  登录设备后台账号密码: quickstart/默认是SangforSDP@1220

  • 使用ifconfig命令配置临时IP: ifconfig eth0 10.242.x.x/16

  • 再使用route命令添加eth0的直连路由 (必做):route add -*** 10.242.0.0/16eth0

  • 最后再添加默认路由指向网关: route add default gw 10.242.x.x

  • 检验方式:可在cmd中使用tel*** +虚拟机IP+4433端口,检查网络连通性

注:

  • 后台的网络配置为临时配置,重启后会失效。需配置完后登录web平台修改路由和网卡信息,使其永久生效,需先修改路由,在修改网卡;

  • 如直接前台修改ip或后台修改IP后会导致路由全部丢失,使用route -n命令确认,然后根据需求添加路由。

2、网络部署--Web平台配置网络

通过web部署网络前,设备的管理口有默认内置一个IP地址(10.254.254.254),可以通过直连访问该地址进行web配置,建议是先在后台配置临时网卡信息,再到控制台配置

1、登录aTrust控制中心的WEB UI [登录方式:https://控制中心ip或域名:4433,默认用户名admin 密码SangforSDP@1220]

2、配置aTrust控制中心的基本网络
进入[系统管理]-[网络部署]-[路由设置],点击按钮新增,添加默认路由

进入(系统管理]-(网络部署]-[网络接口],点击新增按钮或者直接修改已有网口,修改为指定IP地址

进入(系统管理]-(网络部署]-[网络接口],点击按钮修改,修改网络配置

进入(系统配置]-(通用配置]-[客户端接入设置],修改接入地址(公网地址)

进入(系统配置]-(通用配置]-[客户端接入设置],修改隧道接入地址

3.配置代理网关proxy的基本网络
登录代理网关proxy的web UI[登录方式:https://proxyip或域名:4433,默认用户名admin 密码SangforSDP@1220]

进入[系统管理]-[网络部署]-[路由设置],点击按钮新增,添加默认路由

进入(系统管理]-(网络部署]-[网络接口],点击新增按钮或者直接修改已有网口,修改为指定IP地址

进入(系统管理]-(网络部署]-[网络接口],点击按钮修改,修改网络配置

四、aTrust控制中心和代理网关联动

(1)登录代理网关proxy的web UI界面

(2)在[系统管理]-[本机管理]页面,点击“加入控制中心”

(3)登录控制中心,在[系统管理][代理网关管理]-[密设置] 中获取代理网关加入密钥

(4)填写本机名称和控制中心地址,协议为https,默认端口443(如控制中心地址URL的端口为SDPC上的客户端接入地址端口对应,如有修改需一致) ,加入密填写从SDPC上获取的密钥

(5)点击[确定]后,开始连接控制中心,连接成功,等待控制中心审批

(6)代理网关proxy激活

  • 登录控制中心,进入[系统管理][代理网关管理]页面,点击“刷新”,显示待激活的代理网关节点设备

  • 登录控制中心,进入[系统管理]-[代理网关管理] 页面,点击“+”添加区域

  • 局域网访问地址:填写aTrust代理网关的内网接入地址,用于隧道应用接入。端口未填写时,使用默认端口441。格式:一行一个,如:192.168.1.1:441

  • 互联网访问地址:填写aTrust代理网关的公网接入地址,用于隧道应用接入。端口未填写时,使用默认端口441。格式:一行一个,如:200.43.2.16:4431

  • 配置完后,点击节点卡片上的“立即激活”,选择节点分区

  • 配置完后,点击节点卡片上的“立即激活”,选择节点分区

  • 切换到代理网关设备,刷新页面,显示已经加入控制中心

五、aTrust用户访问和客户端下载

1、进入控制中心[系统管理][通用配置][客户端接入设置] 配置访问地址(https://域名或控制中心地址:端口默认端口为443,可修改),也可使用http协议跳转

  • 分离式aTrust设备需要把控制中心的TCP 443端口和代理网关的TCP 441和TCP 443端口映射到公网,保证用户能正常通信;

  • 一体式aTrust设备需要把综合网关的TCP 443端口和TCP 441端口映射到公网,保证用户能正常通信;

2、浏览器登录客户端访问地址,显示用户登录页面

3、浏览器登录客户端访问地址,显示登录页面,点击下载客户端,即可按需下载客户端

六、案例

1、使用零信任创建一个web资源关联给ad域用户,且ad域用户需做动态令牌认证

公网用户访问-----121.165.68.46登录零信任--------跳转资源www.wskj.***:6666 ------ 零信任公网ip:6666-----内网零信任:6666------代理访问内网资源

(1)进入【业务管理】-【用户管理】,新增AD域用户组,手动导入用户

(2)进入【系统管理】-【特性中心】,查看动态令牌认证是否开启

(3)进入【业务管理】-【认证管理】-【认证服务器】,新增TOTP动态令牌认证

(4)进入【业务管理】-【认证管理】-【认证策略】,AD域用户做TOTP动态令牌认证

(5)进入【业务管理】-【应用管理】-【应用列表】,新增应用,选择WEB 模式

(6)进入【业务管理】-【认证管理】-【认证服务器】,新增LDAP/AD域认证

(7)进入【业务管理】-【用户管理】-【管理用户】

【编辑用户】-【授权设置】,添加个人应用(AD用户关联资源)

转载请说明出处内容投诉
CSS教程_站长资源网 » 零信任 aTrust设备部署实施

发表评论

欢迎 访客 发表评论

一个令你着迷的主题!

查看演示 官网购买