×

aTrust的SPA功能案例
  

张尔祥12189 353426人觉得有帮助

{{ttag.title}}
本帖最后由 张尔祥12189 于 2020-10-31 13:27 编辑

一、拓扑


二、背景
客户DCN网运行着大量的网络及应用运维系统,内部和外部用户的接入身份和访问权限模糊不清,导致业务系统暴露给部分非法用户,外部的VPN的接入用户,无法保证其终端和身份安全性,同时在DCN内网中,各个业务系统均有对应的访问地址,增加了非法用户的攻击暴露面,严重影响了DCN网中的业务系统的安全,因此,不管是对外的攻击暴露面和对内的信息暴露面都过大。

三、功能概述
SPA即单包授权,是aTrust的核心功能。通过对连接服务器的所有数据包进行认证授权,服务器认证通过之后,才会响应连接请求。以此实现企业业务的网络隐身,从网络上无法连接、无法扫描。

SPA为受SPA保护的服务器提供以下安全作用:
1、保护服务器:再提供真正的SPA之前,服务器不会响应来自任何客户端的任何连接;
2、缓解对TLS的拒绝服务攻击:面向互联网的运行HTTPS协议的服务器极易受到拒绝服务(DoS)攻击。SPA可以缓解这些攻击,因为它允许服务器在进入TLS之前放弃TLS DoS尝试;

四、使用场景
1、互联网环境接入时,防止非法人员接入
当企业业务可以在互联网环境接入时,会面临着互联网带来的威胁,例如:非法人员盗用账号密码接入业务系统,盗取商业机密;非法人员对业务服务器进行DoS攻击,使服务瘫痪。开启业务隐身之后,管理员可以设置:当用户从互联网接入业务系统时,必须经过SPA单包授权,认证通过之后服务器才会予以响应。
企业用户接入业务时,场景如下:
1)用户在内网登录,服务器对其数据包不做SPA单包授权校验,可正常访问;
2)用户有互联网接入业务的需求,需要安装客户端,并且经过管理员授权。当用户在内网登录成功后,客户端会获取SPA授权码,作为互联网环境接入时的认证“钥匙”;
3)非法用户尝试在互联网接入时,因为没有管理员下发的SPA授权码,无法接入(访问不到aTrust对外映射的地址,也就是无法找到接入口)。


2企业有大量分公司员工在内网环境接入,希望可以增强内网接入安全
当企业分公司员工远程接入时,因为终端环境不可控,希望可以增强接入安全。开启业务隐身之后,管理员可以设置:当用户从内网接入业务系统时,必须经过SPA单包授权,认证通过之后服务器才会予以响应。
企业用户接入业务时,场景如下:
1)企业所有员工在未获取客户端授权的情况下,无法接入;
2)管理员需下发SPA企业专属客户端,用户安装成功后即可接入成功。

五、配置步骤
1、配置开启SPA功能
第一步:
访问aTrust控制器https://172.20.133.1:4433

第二步:
登录进入之后,点击业务管理-点击策略管理中的全局策略,勾选开启业务隐身功能

2、配置SPA功能
1. 配置代理网关隐身(配置代理网关需要隐身地址和端口

2. 配置控制器SDPC隐身功能(配置SDPC需要隐身地址和端口

3. 配置源地址白名单功能(SPA功能会失效

3、配置SPA专属客户端
1. 打开SPA专属客户端

2.配置SPA专属客户端使用有效期

3. 配置SPA专属客户端接入地址(客户端接入地址只能配置域名

4 .点击电脑端进行SPA专属客户端下载

六、验证效果1、未安装SPA企业专属客户端效果
Ø 直接通过浏览器访问aTrust用户接入地址:

2、已安装SPA企业专属客户端效果
Ø 直接通过浏览器访问aTrust用户接入地址:

七、注意事项
Ø SPA专属客户端必须要使用域名才能下载
Ø 不需要的SPA功能的区域,把源地址填写入源IP白名单
Ø 需要把端口隐身的功能填入对应配置框里面,就能对该地址进行隐身
Ø SPA客户端解压时的密码在下载客户端的地方,可以直接复制
Ø SPA是对7层数据包进行改包,因此4430端口还是能够telnet通端口
Ø 代理网关地址和控制器地址需要填入到,否则控制器与代理网关之间流量不通,对接出现问题

打赏鼓励作者,期待更多好文!

打赏
30人已打赏

新手781833 发表于 2020-11-4 19:20
  
SPA专属客户端必须要使用域名才能下载不需要的SPA功能的区域,把源地址填写入源IP白名单
Ø 需要把端口隐身的功能填入对应配置框里面,就能对该地址进行隐身SPA客户端解压时的密码在下载客户端的地方,可以直接复制 SPA是对7层数据包进行改包,因此4430端口还是能够telnet通端口代理网关地址和控制器地址需要填入到,否则控制器与代理网关之间流量不通,对接出现问题
新手517842 发表于 2020-11-2 16:28
  
感谢分享
新手899116 发表于 2020-11-2 16:43
  
打卡学习
司马缸砸了光 发表于 2020-11-3 10:47
  
感谢分享
新手456962 发表于 2020-11-3 15:10
  
感谢 分享
水之蓝色 发表于 2020-11-3 15:14
  
打卡学习
新手385855 发表于 2020-11-3 17:32
  
感谢分享 学习了
胡亚运 发表于 2020-11-3 19:50
  
感谢分享
Jean_Zhj 发表于 2020-11-4 09:11
  
介绍很详细,值得学习。
新手819559 发表于 2020-11-4 09:18
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人