×

【天逸出品】【第一期】当AC、ATRUST、VDI碰撞到一起,高阶实施方案分享
  

常鸿 107497人觉得有帮助

{{ttag.title}}
本帖最后由 常鸿 于 2022-1-30 22:18 编辑

最近实施一个项目,由于客户正好和深信服签署了战略合作,所以我在实施的时候对项目进行了尽可能的优化。实施完成后,觉得案例比较经典,所以拿出来和大家分享一下。

网络拓扑如下:

部署的深信服设备有很多,重点说一下全网行为管理、零信任和桌面云之间的优化方案

客户要求1
公司员工上互联网时候,不需要认证,但是需要审计流量和内容。公司员工访问内网服务器时候,不允许直接访问,需要接入零信任,由零信任代理访问。

我推荐方案:
这个要求很简单,AC上不做认证,核心交换机上做一下ACL控制员工直接访问服务器区域,然后放行零信任能访问就可以了

客户要求2
除了本公司员工意外,客户还有其他分公司的员工以及出差员工,而且客户员工的IT基础有的会很一般,希望能在公司内外的时候,用一个地址来登录零信任

我推荐方案:
客户有自己的域名,外网直接通过域名加端口的形式来访问
重点是内网客户,如果不改变地址的话,只需要实现内网用户也用域名加端口的形式来登录就可以。那我就提议出口路由做一个双向地址转换,但是客户说出口的路由器本身性能就不高,内网数据也过路由,怕路由顶不住流量。双向地址转换的提议被否定了

最终实现了客户的需求:
上网行为管理上配置了一个DNS代理
配置DNS以后,内网访问登录域名的请求就会被转发到内网登录地址上



客户要求3
公司还有核心机密业务,这个很重要,需要严格控制访问权限,不允许任何数据从公司核心业务上被导出到个人手里。


我推荐方案:
这个需求结合了桌面云来使用,访问核心业务,只能是通过桌面云来访问。
同时我推荐将核心服务器,挂载到代理网关之下,这样以来公司所有员工没办法直接来访问,而且可以完全又零信任把控访问权限,不会出现网络端配置失误而导致服务器被越权访问
桌面云登录的权限,也由零信任来把控,未登录零信任的情况下是不允许登录桌面云的
所以访问核心业务的流程是

1登录零信任---2登录VDI---3云桌面内再登录零信任---4访问核心业务

这个流程带来了几个问题:
1 可以需要登录两次零信任,第一次登录的时候,只允许访问桌面云,第二次登录的时候才能登录业务
2 反复的登录会不会给使用者带来不好的使用体验

我做的配置如下:
首先,每个员工只有一个零信任账户,所以该用户第一次登录的时候,是不能访问核心业务的
所以配置一条应用防护策略
当访问地址为云桌面的地址的时候,该应用才允许被访问
这条策略,实现了让用户在首次登录零信任的时候,无法访问核心业务

同理,我配置了一条登录策略
当访问地址为桌面云地址时候,可以一键上线,免除了繁琐登录带来的不好的客户体验,配合开机自启动效果更佳

客户需求4
当需求3被满足以后,客户也比较认可这个方案。紧接着还没开始高兴,客户又说了,有一台核心服务器,需要访问互联网上一个网站的需求。

我推荐方案:
代理网关是没有路由功能的,该服务器也不允许装两块网卡进行上网。
经过思考后,我推荐了这样一个方案:

服务器直接访问网站是不可能的,唯一的方法就是通过代理网关去代理访问,但是服务器和控制中心也不通,没法进行装客户端来登录。恰巧零信任有一种应用,可以不登录就进行使用:

免认证的后端服务器,就写真实的服务器地址
前端访问地址写一个不存在的域名地址(前端地址也可以和后端地址填写的域名一致)

最后一步就是需要客户在服务器上添加一条HOSTS记录,将配置的前端域名,本地解析成代理网关的地址

测试有效

客户需求5
客户由于公司有无线网,会有访客和客户,所以无法开启上网认证,以至于在AC上看到的所有用户都是以IP地址上线的,这样就很不直观,客户想要员工以用户名的形式上线。

需求分析:
不认证同时需要绑定用户,只能用MAC地址来识别用户
1、AC开跨三层取MAC + 核心交换机配置snmp
2、AC上创建用户
3、收集用户的MAC手动绑定用户

我发现,如果AC上再创建用户,那么客户那边就有三套账号密码了,AC一套,零信任一套,桌面云又一套。
能不能做到一套账户密码就对接所有设备呢?
推荐了IDTRUST,但是客户不买。
不用IDTRUST的情况下,能不能实现呢?
能!

第一步、零信任用户全部删掉,桌面云用户全部删掉,然后把用户导入到AC里面去
第二步、AC开启LDAP接口(radius虽然能用,但是识别不了组织架构,亲测!!)
第三步、ATRUSTLDAP认证对接

服务器类型选择IDTRUST LDAP

管理员账号就这么写就对了

用户目录属性配置
AC上的LDAP是没有唯一值的,用户属性这里一定要这么配
没有为什么,这么配就对了

配置完成,AC上的用户,连着用户组就都可以导入零信任了

第四步、VDC对接LDAP

这个参考常规LDAP认证,没有坑点,不截图了

这样以来所有用户都可以通过AC上的用户来认证了,用户登录零信任以后
可以再零信任上看到用户的MAC和用户名
再登录到AC里面,就可以将用户和MAC进行绑定了,虽然免不了人力,但是总归是省事了不少


客户要求6
客户对只维护一套账号密码的效果很满意,那就剩下一个问题了。
现在所有用户都是导入的,所有用户都是一个密码,为了安全性,需要每个员工能更改自己的密码,换句话说,员工需要有改密码的途径

这个问题我想了一夜,主要难点在于如下:
一、用户是在AC上创建的,通过ATRUSTVDC虽然可以登录,但是没法通过ATRUSTVDC进行更改密码
二、更改密码只能通过AC来进行,但是用户在上网时候,AC是不做认证,无法识别具体是哪个用户的
三、本来计划是用户绑定MAC以后,再登录http://ACIP这个网址,就可以看到用户信息然后进行改密码,但是针对于分公司的员工,他们无法做用户和MAC的绑定。这就意味着无法在AC上让AC识别到底是哪个用户。


最终解决方案如下:

1、开启零信任的虚拟IP,让用户访问资源的时候是以虚拟IP地址去访问的,这个虚拟IP和内网所有网段IP都不重复
2、AC上做一条认证策略,认证的源地址就是零信任上配置的虚拟IP
3. 零信任发布一个资源 资源地址就是  http://ACIP


原理是,用户登录零信任以后,会分到一个虚拟的IP地址,用这个IP地址去访问AC的用户界面时候,正好AC需要你做认证,这时候就会弹出认证界面,就可以达到改密码的功能了

打赏鼓励作者,期待更多好文!

打赏
64人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人