- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
Copyright © 2024 新华三技术有限公司及其许可者 版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其它原因,本手册内容有可能变更。H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
H3C SecCenter ZTNA系列零信任一体机设备集成了SDP网关和SDP控制器的功能,可对访问指定应用或API的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问。仅通过单台设备即可完成整个SDP零信任解决方案的落地,真正实现产品即方案。
其中,SDP网关和SDP控制器作为SDP零信任功能的必要组成部分,两者相互配合共同完成零信任方案的实现。
· SDP网关
SDP网关是负责为有权限的用户提供资源访问服务的设备。SDP网关不进行用户身份认证,仅对SDP控制器授权的用户提供资源访问服务。
· SDP控制器
SDP控制器是负责对用户进行身份认证和对用户访问权限进行鉴别的设备。SDP控制器有自己的身份和权限管理系统,管理员可以在SDP控制器中配置用户的身份信息以及对资源的访问权限。
本文档介绍零信任一体机典型部署方案。本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
H3C SecCenter ZTNA系列零信任一体机设备由F1000-ZTNA-AK8010防火墙设备和零信任业务卡组成。其中,防火墙设备作为SDP网关设备,零信任业务卡作为SDP控制器设备。典型部署组网方式如图2-1所示。
在该组网中,SDP网关连接公网用户和企业私有网络,用户首先通过SDP控制器进行身份认证,认证通过后,SDP控制器授权用户可以访问的资源,用户再通过SDP网关对授权访问的企业内网资源进行访问。
(1) 为管理PC配置IP地址,保证其能与SDP网关互通,将Host的IP地址设置为192.168.0.5/24,即与设备管理接口IP地址在同一个网段。
(2) 在管理PC上启动浏览器,在浏览器的地址栏中输入“https://192.168.0.1”,然后回车,进入SDP网关的Web登录页面。
(3) 在登录页面中输入用户名admin和密码admin,在下拉列表中选择登录语言,单击<登录>按钮,然后再弹出的修改密码窗口中,修改缺省用户登录密码。登录成功之后,即可通过Web页面对设备进行管理。
interface GigabitEthernet1/0/0
port link-mode route
ip address 186.190.32.7 255.255.255.0
security-zone name Trust
import interface GigabitEthernet1/0/0
需要在SDP网关上配置安全策略,使其能够放行用户主机访问SDP控制器和内网资源的报文。
security-policy ip
rule 0 name pass
action pass
rule 1 name sdp_rule
action pass
#
netconf soap http enable
netconf soap https enable
restful http enable
restful https enable
ip http enable
ip https enable
如果网关开启了SPA功能,此时用户无法telnet、ssh、web等登录设备,可通过如下命令放通(仅配置了如下命令的接口才可以访问)
interface M-GigabitEthernet1/0/0
ip address 186.19.4.107 255.255.0.0
manage http inbound
manage https inbound
manage ping inbound
manage ssh inbound
manage telnet inbound
ip host sdp.domain.com 186.190.32.9
域名固定为sdp.domain.com
cloud-management server domain sdp.domain.com port 19002
(1) 在管理PC上启动浏览器,在浏览器的地址栏中输入http://北向业务虚IP:30000,本例中使用186.190.32.9,然后回车,进入SDP网关的Web登录页面,如图4-1所示。
(2) 输入缺省用户名/密码:admin/Pwd@12345,然后单击<登录>按钮,即可进入SDP控制器零信任访问控制系统首页。
需要在SDP控制器零信任访问控制系统中添加区域
(1) 选择“资源管理 > 设备管理 > 区域管理”,进入区域管理页面
(2) 单击<编辑>按钮,修改默认区域的参数
(3) <访问类型>参数,内网必选,外网可选
(4) <内网访问地址>参数为网关的实际地址
(5) <外网访问地址>参数为网关的实际地址映射出去的公网地址(如果有,再进行配置)
SDP控制器开启SPA后,需要在零信任访问控制系统中添加白名单,才能访问控制器页面
选择“认证管理 > 用户终端设置 > SPA认证配置”中进行添加
需要在SDP控制器零信任访问控制系统中添加SDP网关,从而由SDP控制器向SDP网关下发配置及认证信息等。
(1) 选择“资源管理 > 设备管理 > 网关管理”,进入网关管理页面。
(2) 单击<增加>按钮,在弹出的增加网关配置页面中配置SDP网关参数
(3) 网关序列号可在网关web页面 “系统 > 维护 > 关于 > 本设备”中查看或者后台通过命令查看
(4) 单击<确定>按钮,完成增加网关操作,网关状态为在线
配置认证服务器中的短信服务器作为二次认证。
(1) 首先登录https://ip:8443页面,选择“部署 > 集群 > 集群参数 > 修改”页面,配置外置DNS服务器。
(2) 登录控制器页面http://北向ip:30000,选择“认证管理 > 策略管理 > 认证服务器 > 新增”页面进行配置相关参数
(3) 认证策略中开启二次认证即可启用短信认证,选择“认证管理 > 策略管理 > 认证策略 ”,选择 用户所关联的策略 进行编辑
配置认证策略中的登录模式,使得用户可通过iNode客户端完成登录和认证。
(1) 选择“认证管理 > 策略管理 > 认证策略”,进入认证策略页面。
(2) 选择“全局策略”页签,配置登录模式为“PC端/移动端”
(3) 单击<保存>按钮,完成认证策略登录模式配置。
应用即零信任认证用户可访问的资源,通过将应用信息录入SDP控制器中,并授权给指定用户,认证成功后的用户就可以访问相应的应用资源。
(1) 选择“资源管理 > 应用资源 > 应用管理”,进入应用列表页面。
(2) 单击<新增>按钮,配置应用参数,首先增加“WEB模式”的应用,其中访问配置中的“应用地址”参数为Web服务器的真实地址,“访问地址”参数为对用户呈现的虚拟地址,附加的10443端口要与网关的sslvpn gateway代理端口保持一致,一般默认为10443。
(3) 单击<保存>按钮,完成增加“WEB模式”类型的应用。
(4) 该资源的“应用地址”配置使用的域名方式,还需要在终端PC和网关上增加域名解析如下
终端PC的hosts文件 :186.190.32.7 F100web.sdp.com (地址为网关地址)
网关上增加解析:ip host F100web.sdp.com 186.190.33.254 (地址为资源真实地址)
(5) “WEB模式”资源的访问,如果使用inode登录进行访问,inode的控制器信息必须填写为域名形式
(1) 选择“资源管理 > 应用资源 > 应用管理”,进入应用列表页面。
(2) 单击<新增>按钮,增加“隧道模式”类型的应用,本例为Telnet服务应用。其中访问配置中的“服务器地址”参数和“服务器端口”参数为Telnet服务的真实IP地址及端口号。
(3) 单击<保存>按钮,完成增加“隧道模式”类型的应用。
(4) “隧道模式”应用用户如果需要在登录后的portal页面点击图标访问,需要配置访问地址
(5) 访问地址使用地址或域名方式都可以,如果采用域名方式,终端PC需要增加域名解析
终端PC的hosts文件 :186.190.33.254 f100.sdp.com (地址为资源真实地址)
(1) 选择“资源管理 > 应用资源 > 应用管理”,进入应用列表页面。
(2) 单击<新增>按钮,增加“TCP模式”类型的应用,一般是用来对接云桌面网关使用。“应用地址”参数即为云桌面网关地址;“应用端口”参数我司云桌面一般为8860;“网关代理端口”参数可以自定义,常用为5000端口,该参数会下发给网关进行配置,控制器要与网关保持一致;“用户令牌位置”为固定值2000。
(3) 终端还需要安装配套的workspace客户端才能访问云桌面里的虚机
组织管理功能是按照每个企业或者公司进行结构划分,如某个公司可以分为研发部、市场部等等。可通过对组织授权应用实现组织内所有用户的授权,便于对用户进行批量管理。同时还支持通过角色、用户组对用户进行批量管理和授权。
(1) 选择“认证管理 > 身份管理 > 组织管理”,进入组织管理页面。
(2) 单击<增加>按钮,配置组织参数
(3) 单击<应用授权---添加应用>按钮,选择该组织用户可访问的应用资源。
(4) 单击<确定>按钮,完成增加组织可访问的应用资源
(5) 单击<保存>按钮,完成增加组织操作。
用户信息是用于零信任登录和认证,注册用户完成后,用户可根据账号和密码完成接入认证。
(1) 选择“认证管理 > 身份管理 > 用户管理”,点击 本地默认空间 进入本地默认空间用户管理页面。
(2) 单击<新增>按钮,配置用户信息参数。
图4-3 配置用户密码
配置用户权限
(3) 单击<保存>按钮,完成增加用户操作
(1) SDP控制器自动下发的访问实例配置
sslvpn context default
gateway sdp_gateway
ip-tunnel interface SSLVPN-AC0
log user-login enable
log resource-access enable
service enable
#
(2) SDP控制器自动下发的网关配置
sslvpn gateway sdp_gateway
ip address 0.0.0.0 port 10443
service enable
#
(3) SDP控制器自动下发的可信访问控制器配置
trusted-access controller sdp
sdp enable
spa enable
#
(4) SDP控制器自动下发的IP接入接口配置
interface SSLVPN-AC0
ip address 10.1.0.1 255.255.0.0
manage http inbound
manage http outbound
manage https inbound
manage https outbound
manage netconf-http inbound
manage netconf-https inbound
manage telnet inbound
manage telnet outbound
#
(5) SDP控制器自动下发的接口安全域配置
security-zone name Trust
import interface SSLVPN-AC0
#
(6) SDP控制器自动下发的kafka配置
ip host kafka-svc-0.service-software.svc 186.190.32.10
(7) SDP控制器自动下发的安全策略配置
security-policy ip
rule 1 name sdp_rule
action pass
#
需要确保应用资源服务器与IP接入接口的IP地址网段路由可达,用户才能正常访问应用资源。
(1) 首先打开iNode管理中心如下图
(2) 在网络接入组件中勾选零信任,功能组件勾选EAD。
(3) 点击高级定制,默认情况不需要做任何勾选。也可以勾选如下图中的的功能,在用户上线过程中可以有详细的信息,增加了可维护性。
(4) 在零信任配置项中可以定制控制器的默认域名和认证端口,零信任一体机默认业务端口为443。不要勾选定时查询用户在线状态
(5) 首先点击完成按钮会弹出“完成客户端定制”界面,然后勾选生成定制的客户端安装程序点击场景设置,在客户端场景设置界面中点击增加场景,在场景属性中勾选SSLVPN,连接类型选择零信任连接,场景名可以根据客户要求自行填写。
(6) 场景设置完后,点击确定,然后定义客户端定制页面的确定按钮
(7) iNode管理中心会自动生成零信任客户端
(8) 最后点击查找目录,可以在对应的目录中找到零信任客户端
(1) 苹果IOS端在应用商店搜索 iNode Connect
(2) 安卓手机端安装包在用服FTP目录里获取,可以找当地技服同事帮忙获取
(1) 首先将定制好的软件先找一台终端进行验证,没问题后再上传
(2) 登录C3000插卡后台(就是linux系统,默认账号密码root/123456),将定制好的软件拷贝到后台/home/admin/目录下
(3) 在linux后台命令行中执行如下命令进行上传(手工敲,别复制粘贴)
kubectl -c sdp-master cp /home/admin/**.exe sdp-uc/sdp-ops-0:/opt/sdp/upload/client/windows ------windows软件上传命令
kubectl -c sdp-master cp /home/admin/***** sdp-uc/sdp-ops-0:/opt/sdp/upload/client/macos ------macos软件上传命令
kubectl -c sdp-master cp /home/admin/***** sdp-uc/sdp-ops-0:/opt/sdp/upload/client/linux ------linux软件上传命令
kubectl -c sdp-master cp /home/admin/***** sdp-uc/sdp-ops-0:/opt/sdp/upload/client/android ------android软件上传命令
(1) 后台进行删除
[root@h3linux /]# kubectl exec -it sdp-ops-0 -n sdp-uc -c sdp-master -- rm /opt/sdp/upload/client/windows/****.exe (windows举例,其他类似)
(2) 进容器进行删除
[root@h3linux /]# docker ps | grep sdp-master
9e89617ad104 2af943fcaf77 "/bin/sh ./startup.s…" 22 hours ago Up 22 hours k8s_sdp-master_sdp-ops-0_sdp-uc_21f7459f-b32b-426d-bd06-4803724eab10_5
[root@h3linux /]#
[root@h3linux /]# docker exec -it 9e89617ad104 /bin/sh (选择第一个进入)
/ # cd /opt/sdp/
/opt/sdp # ls (容器里的查看命令是ls)
upload
/opt/sdp # cd /opt/sdp/upload/client/ (目录举例)
android/ linux/ macos/ windows/
/opt/sdp # rm /opt/sdp/upload/client/windows/****.exe (删除操作)
在安装好IMC和零信任控制器组件之后,需要把要访问License server的终端PC地址加入到零信任控制器的白名单列表中。在浏览器中输入底座的物理网卡地址+端口28443,例如https://187.16.111.200:28443/,可以打开license server页面,输入管理员的用户名和密码(缺省用户名为admin,密码为admin@123)
登录之后进度客户端管理-客户端配置页面,点击增加按钮
在增加客户端界面中输入客户端名称、客户端密码随便填,之后点击确定
在系统管理-系统配置页面中确定授权服务端口号,如下图为5555
打开控制器系统配置-License管理-License信息页面,输入上文中配置的License server信息
点击连接之后可以看到连接成功,
返回到License server界面,在客户端管理-客户端连接界面中看到sdp客户端已经上线,
授权状态为未授权
|
ITEM编码 |
产品代码 |
产品描述 |
|
3130A3A9 |
LIS-SecCenter ZTPM-500 |
H3C SecCenter CSAP零信任策略管理系统授权函,最大接入500用户数 |
|
3130A3B2 |
LIS-SecCenter ZTPM-5000 |
H3C SecCenter CSAP零信任策略管理系统授权函,最大接入5000用户数 |
|
3130A3B5 |
LIS-SecCenter ZTPM-10000 |
H3C SecCenter CSAP零信任策略管理系统授权函,最大接入10000用户数 |
|
3130A3B8 |
LIS-SecCenter ZTPM-1000 |
H3C SecCenter CSAP零信任策略管理系统授权函,最大接入1000用户数 |
|
3130A66Q |
LIS-SecCenter ZTPM-200 |
H3C SecCenter CSAP零信任策略管理系统授权函,最大接入200用户数 |
|
3130A66R |
LIS-SecCenter ZTPM-100 |
H3C SecCenter CSAP零信任策略管理系统授权函,最大接入100用户数 |
涉及的IMC组件的license编码如下。
|
BOM编码 * |
产品代码 * |
对外中文描述 |
对外英文描述 |
对内中文描述 |
|
3130A6J7 |
LIS-ZTNA-B-100 |
H3C 零信任接入基础版-100节点授权函 |
H3C Zero Trust Network Access Basic Edition 100-Node License |
License授权函-H3C 零信任接入基础版-SWEM2ZTNAB1-100节点-国内海外合一版 |
|
3130A6J6 |
LIS-ZTNA-B-200 |
H3C 零信任接入基础版-200节点授权函 |
H3C Zero Trust Network Access Basic Edition 200-Node License |
License授权函-H3C 零信任接入基础版-SWEM2ZTNAB2-200节点-国内海外合一版 |
|
3130A6J8 |
LIS-ZTNA-B-500 |
H3C 零信任接入基础版-500节点授权函 |
H3C Zero Trust Network Access Basic Edition 500-Node License |
License授权函-H3C 零信任接入基础版-SWEM2ZTNAB5-500节点-国内海外合一版 |
|
3130A6JD |
LIS-ZTNA-B-1000 |
H3C 零信任接入基础版-1000节点授权函 |
H3C Zero Trust Network Access Basic Edition 1000-Node License |
License授权函-H3C 零信任接入基础版-SWEM2ZTNAB1K-1000节点-国内海外合一版 |
|
3130A6JH |
LIS-ZTNA-B-2000 |
H3C 零信任接入基础版-2000节点授权函 |
H3C Zero Trust Network Access Basic Edition 2000-Node License |
License授权函-H3C 零信任接入基础版-SWEM2ZTNAB2K-2000节点-国内海外合一版 |
|
3130A6JE |
LIS-ZTNA-B-5000 |
H3C 零信任接入基础版-5000节点授权函 |
H3C Zero Trust Network Access Basic Edition 5000-Node License |
License授权函-H3C 零信任接入基础版-SWEM2ZTNAB5K-5000节点-国内海外合一版 |
|
3130A6JB |
LIS-ZTNA-B-10000 |
H3C 零信任接入基础版-10000节点授权函 |
H3C Zero Trust Network Access Basic Edition 10000-Node License |
License授权函-H3C 零信任接入基础版-SWEM2ZTNAB10K-10000节点-国内海外合一版 |
|
3130A6J9 |
LIS-ZTNA-A-100 |
H3C 零信任接入高级版-100节点授权函 |
H3C Zero Trust Network Access Advanced Edition 100-Node License |
License授权函-H3C 零信任接入高级版-SWEM2ZTNAA1-100节点-国内海外合一版 |
|
3130A6JJ |
LIS-ZTNA-A-200 |
H3C 零信任接入高级版-200节点授权函 |
H3C Zero Trust Network Access Advanced Edition 200-Node License |
License授权函-H3C 零信任接入高级版-SWEM2ZTNAA2-200节点-国内海外合一版 |
|
3130A6JF |
LIS-ZTNA-A-500 |
H3C 零信任接入高级版-500节点授权函 |
H3C Zero Trust Network Access Advanced Edition 500-Node License |
License授权函-H3C 零信任接入高级版-SWEM2ZTNAA5-500节点-国内海外合一版 |
|
3130A6JA |
LIS-ZTNA-A-1000 |
H3C 零信任接入高级版-1000节点授权函 |
H3C Zero Trust Network Access Advanced Edition 1000-Node License |
License授权函-H3C 零信任接入高级版-SWEM2ZTNAA1K-1000节点-国内海外合一版 |
|
3130A6J5 |
LIS-ZTNA-A-2000 |
H3C 零信任接入高级版-2000节点授权函 |
H3C Zero Trust Network Access Advanced Edition 2000-Node License |
License授权函-H3C 零信任接入高级版-SWEM2ZTNAA2K-2000节点-国内海外合一版 |
|
3130A6JG |
LIS-ZTNA-A-5000 |
H3C 零信任接入高级版-5000节点授权函 |
H3C Zero Trust Network Access Advanced Edition 5000-Node License |
License授权函-H3C 零信任接入高级版-SWEM2ZTNAA5K-5000节点-国内海外合一版 |
|
3130A6JC |
LIS-ZTNA-A-10000 |
H3C 零信任接入高级版-10000节点授权函 |
H3C Zero Trust Network Access Advanced Edition 10000-Node License |
License授权函-H3C 零信任接入高级版-SWEM2ZTNAA10K-10000节点-国内海外合一版 |
其中基础版的license对应的组EIA、EAD和EMO,EADEMO共用,举例申请基础的1000,那么EIA授权是1000、EAD\EMO公用授权数量1000。举例申请高级的1000,那么EBM就是1000授权数量。页面中EMO移动办公节点授权跟零信任方案没有关系。如下图
SDP网关和SDP控制器配置完成后,用户就可以进行登录认证操作,认证成功后即可访问当前用户可访问的应用资源。
用户主机在进行登录操作前需要完成如下准备操作。
(1) 配置主机IP地址及路由,确保主机和SDP控制器、SDP网关路由可达。
(2) 修改C:\Windows\System32\drivers\etc\路径下的hosts文件,在文件内容最后添加域名映射,也可将域名发布到内网或外网DNS服务器上
186.190.32.9 sdp101.h3c.com
(3) 然后保存关闭该文件即可。
iNode客户端用于用户进行接入认证操作,需要在用户主机上进行下载并安装。
(1) 在用户主机上启动浏览器,在浏览器的地址栏中输入“https://186.190.32.9/#/portal/login”,然后回车,进入应用导航平台页面
(2) 单击页面右上角<下载客户端>按钮下载iNode客户端
https://sdp172.h3c.com/
- /portal/login
(3) 单击<Windows客户端>按钮下载Windows系统的iNode客户端安装包。
(4) 下载完成后,运行iNode客户端安装包完成安装过程。
(1) 安装完成后,打开iNode客户端,输入SDP控制器域名或者地址、用户名及密码
(2) 单击<连接>按钮完成登录认证,认证成功。
(3) 登录认证成功后,系统会自动打开应用导航平台页面,应用导航平台页面展示了用户可访问的资源。
在“资源管理>服务管理>服务列表”中,EAD服务后面点击编辑,进入编辑页面,选择“启用”确认,如图6-1所示。
图8-1 EAD服务配置页面
(1) 在“安全管理>PC终端管理>安全策略>配置检查项”页面,选择要进行安全检查的项进行配置,比如在PC安全软件页面,可以选择配置防病毒软件策略、防间谍软件策略、防火墙软件策略、防钓鱼软件策略、硬盘加密软件策略;在PC可控软件页面,配置软件和进程管理;其他还包括访问控制、补丁管理、操作系统、水印策略、IPsec策略、流量监控策略。如下图是防病毒策略,防钓鱼策略,PC可控软件。
图8-3 防钓鱼策略页面
图8-4 PC可控软件配置页面
(2) 在“安全管理>PC终端管理>安全策略”页面,增加安全策略,配置安全策略名称,安全级别,开启实时监控,处理前等待时间,并选择上面配置的检查项,如下图所示。
图8-5 安全策略配置页面
图8-6 安全策略配置页面
图8-7 安全策略配置页面
图8-8 安全策略配置页面
(3) 在“安全策略>PC终端管理>安全策略>接入策略”页面,增加接入策略,输入接入策略名称,点击确认,如下图所示。
图8-9 接入策略配置页面
(4) 在“安全策略>PC终端管理>安全策略>接入服务”页面,点击增加,配置服务名,缺省接入策略和缺省安全策略分别选择上面配置的名称,点击确定,如下图所示。
图8-10 接入服务配置页面
(5) 在“安全策略>PC终端管理>安全策略>用户授权”页面,如下图所示;勾选用户后点击申请服务,可以看到可选择接入服务,如下图所示,在服务后面点击选择;可以看到用户申请服务成功,如下图所示。
图8-11 用户授权页面
图8-12 选择接入服务页面
图8-13 用户申请服务成功页面
(1) 在“认证管理>网络参数>风险配置>PC终端安全评估配置”页面,是否允许安全评估选择“是”,如下图所示。
图8-14
(2) 设置自定义用户分数等级范围,PC终端安全评估配置页面配置的分数是iNode用户登录后看到的风险级别,如下图所示,自定义用户风险分数等级;或者设置前面风险配置页面自定义风险等级分数范围,这个是控制器用来评判用户风险等级,并调整用户权限,如下图所示,使两者保持一致(默认值不一致)
图8-15 自定义用户风险分数等级页面
图8-16 自定义风险等级分数范围页面
(1) 配置中高敏感度资源,如下图中WEB7、WEB8 。
图8-17 不同敏感度资源页面
(2) 将资源授权给角色,如下图所示。
图8-18 将中高敏感度资源授权给角色
(1) 用户通过iNode登录,会进行环境安全检查,并进行评分,评分结果如下图所示,评分结果为50分,高风险;在应用导航平台查看用户可访问资源,可以看到中高敏感度资源WEB7、WEB8没有访问权限;在控制器页面查看用户风险等级为高风险,点击权限查询,可以看到来自角色的应用中WEB7、WEB8被限制。
图8-19 客户端查看安全检查结果
图8-20 用户查看资源权限
图8-21 管理员查看用户风险等级
图8-22 管理员查看用户权限
(2) 用户在线情况下,修改终端环境,比如开启屏保,约1分钟后,查看检查结果,变为中风险;查看资源权限,WEB8权限被放开;管理员查看用户风险等级;管理员查看用户权限。
图8-23 用户查看安全检查结果
图8-24 用户查看资源权限
图8-25 管理员查看用户风险等级
图8-26 管理员查看用户权限
SDP零信任方案部署一般是把SDP控制器和SDP网关部署在内网来保护内网的资源。那么从互联网通过SDP零信任场景如何去访问内网保护的资源,那么本章就来介绍外网访问的场景。
如下组网图举例,SDP控制器和SDP网关部署在局域网内,服务器资源部署在SDP网关下行网络中,通过边界防火墙来区分局域网和互联网。
需要将控制器内网地址和SDP网关业务地址映射到公网,并且控制器公网地址需要开放TCP协议443端口;需要把控制器的域名sdp101.h3c.com,在公网通过DNS服务器发布对应的地址是控制器的公网地址。
(1) 配置外网访问地址
在资源管理>设备管理>网关管理中,在已添加网关后点击编辑:
配置外网访问地址和端口,外网访问地址为控制器sdp101.h3c.com映射的外网地址,端口与内网访问端口保持一致:
(2) 开启内网地址识别
在认证管理>用户终端设置>地址池配置中,选择网络地址池,点击配置,开启内网地址识别:
(3) 配置内网、外网地址池地址
地址池地址可以以子网、IP地址范围进行配置,可以标识地址池为内网或外网,对应无法匹配地址池的地址,识别为外网地址。
(4) SDP控制器及网关外网映射
需要在整体网络边界设备上做地址及端口映射,以便外网设备访问
|
控制器 |
端口 |
控制器映射 |
端口 |
|
私网地址 |
TCP 443 |
公网地址 |
TCP 443 |
|
UDP 9019 |
UDP 9019 |
||
|
UDP 60001 |
UDP 60001 |
||
|
网关 |
端口 |
网关映射 |
端口 |
|
私网地址 |
TCP 10443 |
公网地址 |
TCP 10443 |
|
UDP 8000 |
UDP 8000 |
(5) 客户端通过公网地址访问
客户端登录控制器时域名sdp101.h3c.com解析地址为控制器对应的外网地址;
当客户端地址被控制器识别为外网地址时,下发外网访问地址和端口给客户端,客户端和该地址端口建立VPN隧道,如下所示:
(1) 通过执行vi /etc/sysconfig/network-scripts/ifcfg-enp11s0f0 修改IP地址,如下图,修改IP地址、掩码、网关,保存文件。
(2) 退出vi视图,并先执行ifdown enp11s0f0 在执行ifup enp11s0f0 。
(1) 用修改后的IP地址登录matrix页面 ,地址为https://ip:8443/matrix/ui ,用默认用户名、密码为admin、Pwd@12345 登录
(2) 登录后在部署>集群>集群参数页面,点击修改;
(3) 勾选高级;
(4) 修改集群内部虚IP和北向业务虚IP地址,节点IP为步骤(1)中修改的地址,要保证这两个地址和节点地址在同一网段并且未被占用,其中北向业务虚IP为零信任业务使用的IP地址;
(5) 改为之后点击右上角应用保存配置。
在执行IP修改过程中,请注意以下事项,否则会导致修改IP失败或无法执行IP修改。
· 修改前,检查新IP地址在当前网络中没有被使用,否则会导致修改IP失败。
· 新IP和当前网络必须是互通的,否则会因网络不通导致修改IP失败。
· 集群节点新IP与旧IP必须在同一网卡,不支持跨网卡修改。
· 进行IP修改前,请务必保证旧IP地址已经被删除,再在Web页面进行修改操作,否则会导致IP修改失败或集群异常。
· 删除旧IP后,在Web页面执行IP修改前,建议不要重启Matrix服务,否则会导致IP修改修改失败或无法执行IP修改,如果不小心重启了Matrix服务,请参考“特殊说明”的操作。
· 删除旧IP后,在Web页面执行IP修改前,建议不要重启服务器,否则会导致IP修改失败或无法执行IP修改,如果不小心重启了服务器,请参考“特殊说明”的操作。
· 在整个IP修改过程中,禁止执行重启Matrix服务、重启服务器、断网等各种异常操作。
在IP地址修改过程 ,如果出现修改失败或因误操作无法执行IP地址修改等情况,请参考此处说明进行操作,未列出的异常情况请联系研发修复。
删除节点的旧IP后,如果重启了Matrix服务,会由于旧IP不存在,造成Matrix启动失败或启动成功后集群/单机无主、按钮置灰、无法进行IP修改的情况。在这种场景下,可以添加节点的旧IP,再启动Matrix,待Matrix启动完成,登录Matrix页面,查看集群状态正常后,再重新执行IP地址修改。
原因和恢复方法同“删除节点旧IP后重启Matrix服务”
如果IP修改失败且集群参数页面显示旧的IP地址,可以在集群参数页面再次执行高级IP修改操作。
如果IP修改失败且集群参数页面显示新的IP地址,需要先执行一次IP修改操作,将IP改回旧的IP地址,操作步骤和本文档一致,然后再执行一次IP修改操作,将IP改到新的IP地址。
检查终端与控制器页面“资源管理>设备管理>区域管理”中的内网(外网)访问地址是否能通信,可使用ping工具。
支持
