【零信任产品】【资源业务】代理模式配置

强裕校发表于:2021年04月02日 17:06:10更新于:2021年04月15日 17:24:11

1    简介

本文档介绍奇安信零信任产品,可信访问控制台(简称:TAC)、可信应用代理(简称:TAP),通过零信任TAC控制台发布代理应用的配置举例。

2    配置前提

    本文档适用于零信任产品(TAC、TAP),如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

    本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

    本文档假设您已对零信任原理有基础了解,对TAC、TAP设备有基础配置能力。

3    配置举例

3.1    组网需求

         如下图所示,客户端、TAC、TAP和服务器部署在内网,客户端通过防火墙访问TAC、TAP和服务器。防火墙有两个网段,10.0.0.0/24连接到交换机,10.0.1.0/24连接到客户端。

image.png

3.2    配置思路

1)   访问TAC、TAP控制台,完成基础网络环境、设备接口地址、路由配置;

2)   访问TAC、TAP控制台,完成TAC、TAP验证服务配置;

3)   访问TAC控制台,完成多线路配置、上传TrustAgent组件、代理应用配置;

4)   完成相关配置,进行后续功能验证。

3.3    使用版本

    本举例TAC版本:1.11P1;TAP版本:1.11P1;TrustAgent版本:V0.9.3.1430;基于以上版本进行配置和验证。

3.4    配置步骤

3.4.1     网络环境

本环境TAC、TAP使用接口FE0连接到交换机,TAC配置IP地址为:10.0.0.244, TAP配置IP地址为:10.0.0.245;应用服务器IP地址为:10.0.0.10,客户端地址为:10.0.1.18。

1)   TAC设备配置:

网络接口配置:【系统配置】-【网络配置】-【网络接口】

image.png

默认路由配置:【系统配置】-【网络配置】-【网络路由】

image.png

2)   TAP设备配置:

网络接口配置,地址配置:【系统配置】-【网络配置】-【网络接口】

image.png

默认路由配置:【系统配置】-【网络配置】-【网络路由】

image.png

3.4.2     验证服务

1)   TAC设备配置:

验证服务配置:【身份访问管理】-【身份管理】-【服务管理】

image.png

*  注意: TAC控制台上面的AppID和AppKey和TAP验证服务AppID和AppKey保持一致;

可信代理管理配置:【身份访问管理】-【高级选项】-【可信代理管理】

image.png

*  注意:配置完毕后记得启用

2)   TAP设备配置:

验证服务配置:【可信应用代理】-【可信访问控制台】

image.png

3.4.3     代理应用

1)   多线路接入配置:【身份访问管理】-【高级选项】-【身份令牌服务高级选项】-【多线路接入】

image.png

*  注意:隧道服务器端口号,需要和TAP控制台里面的SSL监听端口保持一致,相关检查需要登录到TAP控制台【可信应用代理】-【高级选项】-【系统参数】

2)   上传TrustAgent客户端文件:【身份访问管理】-【高级选项】-【客户端管理】

image.png

3)   代理应用配置:【身份访问管理】-【资源管理】-【代理应用】

image.png

授权策略配置:【身份访问管理】-【权限管理】-【授权策略】

image.png

4    验证配置

1)   登录到TAC控制台,确保TAC和TAP数据状态正常:

image.png

2)   客户端使用telnet,telnet测试的代理应用IP地址:

image.png

*  注意:telnet端口不通,请检查TAP控制台上面的SSL监听端口,和TAC控制台上面的多线路配置隧道服务地址是否正确;端口号和TAP上面是否一致

3)   访问代理业务:

打开TrustAgent客户端访问TAC门户地址,输入用户密码进行认证:

image.png

认证通过后,直接通过浏览器访问:

image.png

5    注意事项

1)   内网防火墙需要放行客户端到TAC、TAP的端口号443的流量;

2)   代理应用只支持TCP协议。