零信任aTrust，控制中心+代理网关，外网通过客户端访问内网资源（分web资源+隧道资源）的数据流走向？

零信任aTrust，控制中心+代理网关，外网通过客户端访问内网资源（分web资源+隧道资源）的数据流走向？

在深信服的零信任访问控制系统中，控制中心和代理网关的架构设计使得外网用户可以通过客户端访问内网资源，包括Web资源和隧道资源。以下是数据流的具体走向：

用户认证：用户首先通过接入地址进入控制中心进行认证。控制中心负责用户的认证、鉴权和策略下发[2]。

策略下发：认证成功后，控制中心将相关的配置和访问策略下发给用户[2]。

建立连接：用户上线后，客户端与代理网关建立隧道链接，以便访问内网资源[2]。

资源访问：

Web资源：如果用户访问的是Web资源，数据流将通过代理网关进行转发。Web应用的前端域名解析的IP及对应端口需要映射到内网的代理网关[1]。
隧道资源：对于隧道资源，客户端会探测每个代理网关的441端口的时延，选择延时最低的代理网关进行连接
这种架构设计确保了用户在访问内网资源时，能够根据不同的资源类型（Web或隧道）通过相应的代理网关进行高效、安全的访问。

产品当前已发布版本支持用户同时访问多个代理网关下的资源；（适用版本区间：aTrust 2.1.1-2.5.10）//在此版本之前均不支持用户同时访问多个代理网关下的资源（适用版本区间：aTrust 2.0.1） 查看用户调度到哪个代理网关去访问资源可以通过访问日志查看代理网关源IP；具体原理：发布应用时选择了所属节点区域为A，必须由A区域内的代理网关代理访问资源，若是发布为web应用，则前端域名解析的IP以及对应端口必须需要映射到内网代理网关，该应用就由该业务IP以及端口映射的代理网关提供服务。若是隧道应用，访问时客户端会去探测每个代理网关的441端口的时延，作为新建连接选择代理网关的依据，延时越低，则优先选择，就会以对应的代理网关去访问内网具体详细如下：1、如果两个代理网关不属于同一个区域，可以在应用列表新增资源时选择对应的区域，则由对应区域的代理网关进行代理访问2、如果两个代理网关属于同一个区域，以标准版本aTrust 2.5.10版本为例：在控制中心设置的【系统管理】-【代理网关管理】-【代理网关列表】中编辑区域可以选择【选路模式】是【时延优先】或者【时延+负载】；（适用版本区间：aTrust 2.2.16-2.5.10）

分离式部署原理：
1.分离式部署在形态上区分为控制中心和代理网关；
2.其中控制中心是整个体系的大脑，设备所有的用户、资源和授权关系等配置都在此设备完成，实现用户的认证、鉴权和策略下发、指引代理网关的数据转发等能力；
3.代理网关是做为数据转发的能力存在，受到控制中心的转发指引；
综合网关部署原理：
1.用户在通过接入地址，进入控制中心认证，完成认证后。控制中心将相关的配置和策略下发给用户；
2.用户上线后，与代理网关建立隧道链接，进行内网资源的访问。
综上，分离式和综合网关的区别如下：
1、二合一的设备（综合网关）由一台设备负责用户接入和访问资源，硬件和软件上承接业务能力有限，适应与用户规模较小的场景 ；综合网关适用于用户小并发（建议不超过2000），单数据中心场景；
2、分离式设备中控制中心负责认证，代理网关负责访问资源，承接业务上可以达到更高的上限；分离式组网更加灵活，架构性能高，适用多数据中心，分布式部署，用户大并发场景（兼容小并发场景）

零信任aTrust中，控制中心与代理网关协同工作，通过客户端实现外网访问内网资源的安全管控。其数据流走向可分为Web资源和隧道资源两种场景。

Web资源访问流程

用户在外网环境启动aTrust客户端，输入控制中心接入地址（如域名或IP:443端口），进入认证界面。
输入账号密码或通过多因素认证（如短信、令牌）完成身份验证，控制中心验证用户合法性。

控制中心根据用户身份、角色及环境上下文（如终端安全状态、访问时间）动态生成访问策略，下发至客户端。
用户发起Web资源访问请求（如HTTP/HTTPS），客户端将请求转发至代理网关。

代理网关解析请求，向控制中心验证用户权限。若用户具备访问权限，代理网关作为反向代理，将请求转发至内网Web服务器。
Web服务器响应数据原路返回，经代理网关加密后传回客户端，最终呈现给用户。

端口映射：代理网关的443端口（HTTPS）需映射至公网，用于接收客户端请求。
域名解析：用户访问的Web域名需解析至代理网关公网IP，确保流量定向到设备。
透明代理模式：推荐前端（用户访问域名）与后端（内网Web服务器域名）地址一致，避免改写兼容性问题。

隧道资源访问流程
隧道建立
用户认证通过后，客户端与代理网关协商建立加密隧道（如IPsec或SSL VPN），隧道端口默认为441（可配置）。
控制中心下发临时路由策略，指定用户可访问的内网资源范围（如特定IP段或应用端口）。
数据转发与鉴权
用户访问隧道资源时，客户端将流量封装后通过隧道发送至代理网关。
代理网关解封装流量，向控制中心验证用户权限。若合法，代理网关将流量转发至内网目标服务器；否则阻断连接。
关键配置
端口映射：代理网关的441端口需映射至公网，用于隧道通信。
路由策略：控制中心需配置精细化的路由规则，确保仅授权用户可访问指定资源。
终端安全基线：客户端需满足安全要求（如安装EDR、防火墙），否则无法建立隧道。


部署建议
高可用性
控制中心和代理网关支持主主或主备集群部署，确保单点故障时业务不中断。
硬件选型需满足并发用户数需求（如1000并发以上推荐分离式部署）。
兼容性优化
对于非标准化Web应用，采用智能改写模式自动修复前端代码中的绝对路径问题。
隧道资源支持TCP/UDP协议，兼容各类C/S架构应用（如RDP、SSH）。
运维监控
通过SNMP协议集成至统一监控平台，实时跟踪设备CPU、内存、磁盘使用率及会话状态。