登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter SDP零信任访问控制系统 内网访问典型配置-5W100

手册下载

H3C SecCenter SDP零信任访问控制系统 内网访问典型配置-5W100-整本手册.pdf  (6.23 MB)

  • 发布时间:2023/7/25 22:13:57
  • 浏览量:
  • 下载量:

H3C SecCenter SDP零信任访问控制系统

内网访问典型配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 

1 简介··· 1

2 配置前提··· 1

3 配置举例··· 1

3.1 组网需求·· 1

3.2 配置思路·· 2

3.3 使用版本·· 2

3.4 配置注意事项·· 2

3.5 态势感知部署配置·· 2

3.6 IMC用户以及安全策略配置·· 3

3.7 SDP控制器配置·· 8

3.8 SDP网关配置·· 14

3.9 WEB端访问配置·· 18

3.10 WEB端访问验证配置·· 20

 

简介

本文档介绍SDP零信任访问控制系统平台(以下简称SDP平台),内网访问案例。

WEB应用资源访问,终端PCSDP控制器建立HTTPS连接并且进行身份认证,认证成功后将用户信息、token和资源发送给网关,并且将cookie和资源列表返回给终端,用户认证后的web页面会显示终端可以访问的资源。终端PC访问资源时,通过cookie带上用户的token发送到网关,网关通过token来判断用户身份,token匹配成功再判断是否有权限去访问应用资源,实现SDP平台对应用资源访问。

配置前提 

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突即可。

本文档假设您已了解SDP平台的功能特性。

配置举例

3.1  组网需求

如下图所示组网,部署了SDP平台、态势感知服务器、IMC服务器等。在SDP平台上配置区域信息和网关设备,实现SDP平台与网关设备接入。在SDP平台上配置EAD信息完成IMC系统接入,实现imc系统动态监控用户风险等级以及应用资源访问。

   

      

3.2  配置思路

·     SDP平台完成区域管理配置。

·     SDP平台完成网关管理配置。

·     SDP平台完成应用资源配置。

·     SDP平台完成角色管理配置。

·     SDP平台完成态势感知配置。

·     SDP平台完成IMC系统配置

·     网关设备完成SDP平台WEB接入模式。

3.3  使用版本

本举例是在SDP平台E111450322版本上进行配置验证。

3.4  配置注意事项

·     在配置前确保SDP平台与网关地址间网络互通。

·     在配置前确保SDP平台与态势感知地址间网络互通。

·     配置前确保应用资源可访问。

·     应用资源确保下发网关设备正确。

·     SDP平台域名解析,终端PC有对应的DNS服务器则在DNS服务器上加上对应的映射,如果终端PC没有DNS服务器则需要在C:\Windows\System32\drivers\etc目录中的hosts文件,在文件最后一行增加一条映射“10.123.53.229  229.h3c.com” SDP平台 域名为229.h3c.comIP地址为10.123.53.229

3.5  态势感知部署配置

当态势感知安装完毕之后还需要进行一些修改如下,如下修改主要是让态势感知连接到控制器的打分接口上。注意

进入到态势感知后台进入 /opt/cloudops/cloudops/config目录,vi编辑application.yml文件。

添加或者覆盖如下内容,如下的地址187.16.0.230替换成部署的控制器的IP地址

##零信任SDP发送数据接口地址,注意SendSDPUrl:https之间有空格

SendSDPUrl: https://187.16.0.230:18003/v1/terminal/grade-info/setRiskScore

##零信任认证中心baseurl,注意IAMServerUrl:https之间有空格

IAMServerUrl: https://187.16.0.230:18003/v1/terminal/grade-info

如下图所示:

3.6  IMC用户以及安全策略配置

(1)     增加接入设备

首线需要把控制器作为一个接入设备添加到IMC中,如下图中在对应的IMC登录界面的路径中添加接入设备,接入配置中需要输入共享密钥和确认共享密钥。这里的共享密钥要与控制器中配置的radius的密钥一致。在设备列表中点击手工添加,设备IP地址框中输入控制器的IP地址,其他参数可以选择性添加,点击确定之后控制器就添加上了

(2)     添加安全策略

 由于IMC上的EAD有环境感知功能,需要通过安全策略来对终端安全认证进行控制,如下图中公共配置中在安全策略名中输入名称。

PC标签中可以添加如下图中所有的策略,这些策略可以对终端进行安全监测

(3)     创建接入策略

在如下页面中创建接入策略,只需要在接入策略名中输入要创建的策略名称,其他的参数暂时不需要填写

(4)     创建接入服务

在如下页面中创建接入服务。首先输入服务名,在缺省接入策略中选择刚才创建的接入策略,在缺省安全策略中选项刚才创建的安全策略,点击确定即可

如下可以看到创建的接入服务test-接入服务

(5)     创建IMC接入用户

在如下界面中创建接入用户,输入用户名和密码并且一定要选择对应的接入服务。

 

(6)     配置零信任接口

IMC上安装EAD环境感知组件之后需要将用户的分数信息上传到态势感知系统,那么需要在IMC服务器上配置对应的接口信息,这样IMC才能将信息上传给态势感知,需要修改安装IMC目录下的/iMC/ead/conf/ safeAssess.properties文件,修改内容如下:

# 配置态势感知地址,配置域名+端口和后边的公共路径变量

com.imc.eadserver.cloudops.address = 89.h3c.com:443/api/terminal/risk/

# 登录授权接口

com.imc.eadserver.cloudops.interface.login = eadLogin

# 发送评分接口

com.imc.eadserver.cloudops.interface.setscore = eadScore

# cloudops接口身份信息-用戶名

com.imc.eadserver.cloudops.auth.username = admin

# cloudops接口身份信息-密碼

com.imc.eadserver.cloudops.auth.password = admin

# 登录授权的loginId

com.imc.eadserver.cloudops.loginId = SDP

# 登录授权的密钥

com.imc.eadserver.cloudops.secretKey = SDP@admin

# 重试次数,如果不配置,默认不重试

com.imc.eadserver.cloudops.retrytimes = 2

截图如下:

#进入[用户>安全策略管理>业务参数配置>终端安全评估配置]页面,“是否允许安全评估”选“是”,然后修改各个评估项的权重,单击<确定>按钮,如下图。

 

3.7  SDP控制器配置

(1)     控制器EAD服务器配置

在登录页面系统配置>系统设置>零信任融合平台>平台设置,选择EAD配置,配置EAD参数(注意EAD 登录ID和密码需要和EAD服务器保持一致)

(2)     控制器认证服务器配置

在用户终端>认证管理>认证服务器页面配置Radius认证服务器:

(3)     控制器风险分数配置

在系统配置>风险配置页面,可以配置低风险、中风险、高风险分数范围,下面是默认配置的分数范围:

 

(4)     控制器资源管理配置

radius服务器作为C/S资源,UDP协议类型,端口号分别为90189019,访问类型为隧道模式,增加两条资源:

(5)     控制器将资源授权给角色

在登录页面用户终端>用户配置>角色管理,编辑角色,将上面增加的两条radius资源勾选上:

(6)     控制器新增Radius认证用户

在用户终端>用户配置>用户管理页面,新增用户,认证方式选择增加的名称为radius的认证方式:

 

(7)     Inode端用户登录

如下iNode用户登录终端评分为85分,为低风险用户,可以访问所有资源:

调整用户风险分数范围,如下,用户登录为中风险,仅有权限访问低、中敏感度资源:

 

 

3.8  SDP网关配置

(1)     连接网关设备进入视图模式。

在网关的系统视图下开启restfulnetconfhttphttps协议。

[H3C]restful http enable

[H3C]restful https enable

[H3C]netconf soap http enable

[H3C]netconf soap https enable

[H3C]ip http enable

[H3C]·ip https enable

(2)     在网关上配置SDP平台接入方式为WEB模式。

[H3C-tac-SDP] SDP access-method web-access

(3)     在网关上配置SDP平台云管道接入,进入视图模式。

[H3C]ip host 247.h3c.com 10.123.53.247

[H3C]cloud-management server domain 247.h3c.com

[H3C]cloud-management server port 19002

(4)     在网关上配置SSLVPN网关,地址为与控制器连接的接口地址或者全0,端口可以自行设定。

[H3C-sslvpn-gateway-gw]ip address 10.123.53.247 port 10441

[H3C-sslvpn-gateway-gw]service enable

网关页面配置如下:

打开网关的web登录页面,选择网络->SSLVPN-网关,点击新建网关按钮,输入对应的信息点击确定即可

(5)     在网关上配置SSLVPN实例,引用SSLVPV网关gw,并且配置WEB模式所访问的资源映射。

[H3C]sslvpn context default

[H3C-sslvpn-context-default]gateway gw

[H3C-sslvpn-context-default] url-item rdmirrors

[H3C-sslvpn-context-default-url-item-rdmirrors]url http://rdmirrors.h3c.com

H3C-sslvpn-context-default-url-item-rdmirrors]url-mapping domain-mapping rdmirrors.h3c.com

[H3C-sslvpn-context-default-url-item-rdmirrors]quit

[H3C-sslvpn-context-default]service enable

Web页面配置如下:

打开网关的web登录页面,选择【网络->SSLVPN->访问实例】,访问实例的名称必须是default,关联刚才创建的网关gw,勾选开启访问实例,点击下一步

勾选Web业务

Web业务页面中新建URL表项,在表项中输入对应的URL和域名

点击确定按钮生成URL表项

最后点击完成按钮

 

3.9  WEB端访问配置

(1)     登录SDP平台,默认登录用户名admin,密码:SDP@admin@12345,进入【设备管理>代理网关-区域管理】页面,新增区域信息。

(2)     进入【设备管理>代理网关-网关管理】页面,新增网关信息,SDP平台与网关设备接入,以在线状态判定接入成功。

        

(3)     进入【资源管理-应用管理】页面,新增web访问的应用资源类型。

(4)     在【用户终端>身份管理-角色管理】页面,新增角色关联应用资源。

(5)     在【用户终端>身份管理-用户管理】页面,新增用户关联角色。

(6)     在【认证管理>认证策略-全局策略】页面,登录模式这是web模式

(7)     在终端的浏览器中输入用户控制器部署的域名例如SDP.h3c.com,浏览器会自动跳转到应用导航平台页面,输入步骤(5)中创建的用户名和密码,点击确定。

3.10  WEB端访问验证配置

(1)     应用导航平台页面会进入用户登录后的界面,显示当前用户可以访问的资源列表如下图:

 

(2)     rdmirros图标的链接跳转页面到如下,然后点击高级,点击继续前往就会打开资源对应的页面(这个资源对应的网站是rdmirrors.h3c.com)

如图打开了对应的网站,可以访问网站中所有的链接和目录并且可以下载对应的文件。

 

新华三官网
联系我们