本帖最后由 常鸿 于 2022-1-30 22:18 编辑
最近实施一个项目,由于客户正好和深信服签署了战略合作,所以我在实施的时候对项目进行了尽可能的优化。实施完成后,觉得案例比较经典,所以拿出来和大家分享一下。
网络拓扑如下:
部署的深信服设备有很多,重点说一下全网行为管理、零信任和桌面云之间的优化方案
客户要求1公司员工上互联网时候,不需要认证,但是需要审计流量和内容。公司员工访问内网服务器时候,不允许直接访问,需要接入零信任,由零信任代理访问。
我推荐方案: 这个要求很简单,AC上不做认证,核心交换机上做一下ACL控制员工直接访问服务器区域,然后放行零信任能访问就可以了
客户要求2除了本公司员工意外,客户还有其他分公司的员工以及出差员工,而且客户员工的IT基础有的会很一般,希望能在公司内外的时候,用一个地址来登录零信任
我推荐方案: 客户有自己的域名,外网直接通过域名加端口的形式来访问 重点是内网客户,如果不改变地址的话,只需要实现内网用户也用域名加端口的形式来登录就可以。那我就提议出口路由做一个双向地址转换,但是客户说出口的路由器本身性能就不高,内网数据也过路由,怕路由顶不住流量。双向地址转换的提议被否定了
最终实现了客户的需求: 上网行为管理上配置了一个DNS代理 配置DNS以后,内网访问登录域名的请求就会被转发到内网登录地址上
客户要求3公司还有核心机密业务,这个很重要,需要严格控制访问权限,不允许任何数据从公司核心业务上被导出到个人手里。
我推荐方案: 这个需求结合了桌面云来使用,访问核心业务,只能是通过桌面云来访问。 同时我推荐将核心服务器,挂载到代理网关之下,这样以来公司所有员工没办法直接来访问,而且可以完全又零信任把控访问权限,不会出现网络端配置失误而导致服务器被越权访问 桌面云登录的权限,也由零信任来把控,未登录零信任的情况下是不允许登录桌面云的 所以访问核心业务的流程是
1登录零信任---2登录VDI---3云桌面内再登录零信任---4访问核心业务
这个流程带来了几个问题: 1 可以需要登录两次零信任,第一次登录的时候,只允许访问桌面云,第二次登录的时候才能登录业务 2 反复的登录会不会给使用者带来不好的使用体验
我做的配置如下: 首先,每个员工只有一个零信任账户,所以该用户第一次登录的时候,是不能访问核心业务的 所以配置一条应用防护策略 当访问地址为云桌面的地址的时候,该应用才允许被访问 这条策略,实现了让用户在首次登录零信任的时候,无法访问核心业务
同理,我配置了一条登录策略 当访问地址为桌面云地址时候,可以一键上线,免除了繁琐登录带来的不好的客户体验,配合开机自启动效果更佳
客户需求4当需求3被满足以后,客户也比较认可这个方案。紧接着还没开始高兴,客户又说了,有一台核心服务器,需要访问互联网上一个网站的需求。
我推荐方案: 代理网关是没有路由功能的,该服务器也不允许装两块网卡进行上网。 经过思考后,我推荐了这样一个方案:
服务器直接访问网站是不可能的,唯一的方法就是通过代理网关去代理访问,但是服务器和控制中心也不通,没法进行装客户端来登录。恰巧零信任有一种应用,可以不登录就进行使用:
免认证的后端服务器,就写真实的服务器地址 前端访问地址写一个不存在的域名地址(前端地址也可以和后端地址填写的域名一致)
最后一步就是需要客户在服务器上添加一条HOSTS记录,将配置的前端域名,本地解析成代理网关的地址
测试有效
客户需求5客户由于公司有无线网,会有访客和客户,所以无法开启上网认证,以至于在AC上看到的所有用户都是以IP地址上线的,这样就很不直观,客户想要员工以用户名的形式上线。
需求分析: 不认证同时需要绑定用户,只能用MAC地址来识别用户 1、AC开跨三层取MAC + 核心交换机配置snmp 2、AC上创建用户 3、收集用户的MAC手动绑定用户
我发现,如果AC上再创建用户,那么客户那边就有三套账号密码了,AC一套,零信任一套,桌面云又一套。 能不能做到一套账户密码就对接所有设备呢? 推荐了IDTRUST,但是客户不买。 不用IDTRUST的情况下,能不能实现呢? 能!
第一步、零信任用户全部删掉,桌面云用户全部删掉,然后把用户导入到AC里面去 第二步、AC开启LDAP接口(radius虽然能用,但是识别不了组织架构,亲测!!) 第三步、ATRUST用LDAP认证对接
服务器类型选择IDTRUST LDAP
管理员账号就这么写就对了
用户目录属性配置 AC上的LDAP是没有唯一值的,用户属性这里一定要这么配 没有为什么,这么配就对了
配置完成,AC上的用户,连着用户组就都可以导入零信任了
第四步、VDC对接LDAP
这个参考常规LDAP认证,没有坑点,不截图了
这样以来所有用户都可以通过AC上的用户来认证了,用户登录零信任以后 可以再零信任上看到用户的MAC和用户名 再登录到AC里面,就可以将用户和MAC进行绑定了,虽然免不了人力,但是总归是省事了不少
客户要求6客户对只维护一套账号密码的效果很满意,那就剩下一个问题了。 现在所有用户都是导入的,所有用户都是一个密码,为了安全性,需要每个员工能更改自己的密码,换句话说,员工需要有改密码的途径
这个问题我想了一夜,主要难点在于如下: 一、用户是在AC上创建的,通过ATRUST和VDC虽然可以登录,但是没法通过ATRUST和VDC进行更改密码 二、更改密码只能通过AC来进行,但是用户在上网时候,AC是不做认证,无法识别具体是哪个用户的 三、本来计划是用户绑定MAC以后,再登录http://ACIP这个网址,就可以看到用户信息然后进行改密码,但是针对于分公司的员工,他们无法做用户和MAC的绑定。这就意味着无法在AC上让AC识别到底是哪个用户。
最终解决方案如下:
1、开启零信任的虚拟IP,让用户访问资源的时候是以虚拟IP地址去访问的,这个虚拟IP和内网所有网段IP都不重复 2、AC上做一条认证策略,认证的源地址就是零信任上配置的虚拟IP
原理是,用户登录零信任以后,会分到一个虚拟的IP地址,用这个IP地址去访问AC的用户界面时候,正好AC需要你做认证,这时候就会弹出认证界面,就可以达到改密码的功能了
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-12-17 16:18
技术研究员2级 
