零信任 aTrust设备部署实施

一、aTrust硬件部署

零信任aTrust分为“分离式部署”和“综合网关部署”两种形式。

零信任aTrust分离式设备区分控制中心和代理网关两个部分组成，其中控制中心负责用户认证，资源鉴权和策略下发等功能，代理网关主要负责负责隧道建立、数据转发、策略执行。替换SSL VPN设备的过程中，我们需要将SSL VPN设备的配置文件进行导出，再通过装换工具将配置文件导入至零信任控制中心设备即可（在零信任aTrust控制中心设备上操作即可）。

零信任aTrust综合网关设备是将控制中心和代理网关功能进行了合成，一台设备就可实现用户认证、隧道建立、数据转发、策略管理。替换SSL VPN设备的过程中，我们需要将SSL VPN设备的配置文件进行导出，再通过装换工具将配置文件导入至零信任综合网关设备即可。

控制中心型号以C结尾，如aTrust-1000-B1080C

代理网关型号以G结尾，如aTrust-1000-B1080G

综合网关型号以M结尾，如aTrust-1000-B1080M

aTrust设备，控制中心和安全代理网关的默认的出厂IP均为MANAGE(ETHO):0254.254,254/24.如果电脑连接的是aTrust设备控制中心或安全代理网关的MANAGE (ETHO)口，需要先在电脑上配置一个10.254.254.0/24网段的地址，打开浏览器输入https://10.254.254.254:4433 登录设备网关控制台。控制中心或安全代理网关控制台管理端口是4433，默认用户名admin 密码SangforSDP@1220

硬件部署可以通过U盘恢复：（虚拟化部署不支持使用U盘恢复）

（1）U盘格式化，文件格式选择FAT32

（2）创建reset-password-cmd.txt文件（文件内容可以为空）

（3）插入U盘，等待2分钟

（4）拔出U盘，查看其中reset-password-success.txt文件中新密码

注：

（1） U盘恢复密码时，不会影响设备正常业务，只会重启重置密码的服务

（2） U盘恢复密码时，系统每两分钟检测一次脚本，所以U盘插入后，需要等待一段时间才能生效

二、aTrust软件部署

环境确认--虚拟化部署平台确认和服务器准备

支持虚拟化部署，支持平台有：

（1）深信服超融合平台（HCI V5.8.6及以上）

（2）VMware5.0及以上，使用KVM虚拟化技术，支持qcow2格式导入的虚拟化环境

（3）各种常见公有云平台，如阿里云、腾讯云、华为云、亚马逊云等

服务器配置参数要求：

零信任aTrust分为“控制中心”和“安全代理”两个部分

代理网关：隧道资源（441）、Web资源（自定义端口）；记得端口映射

控制中心：认证（443）

三、aTrust网络配置

1、网络部署--后台配置临时网络

（1）刚开始部署时，虑拟化环境可直接点击控制台配置网络，需要注意控制中心设备和代理网关设备不建议同时开启，因为其设备内置的IP为同一个 (10.254.24.254)，会产生冲突

（2）使用ssh工具登录到控制中心设备和代理网关后台，修改设备的IP地址

•  登录设备后台账号密码: quickstart/默认是SangforSDP@1220

• 使用ifconfig命令配置临时IP: ifconfig eth0 10.242.x.x/16

• 再使用route命令添加eth0的直连路由 (必做):route add -net 10.242.0.0/16eth0

• 最后再添加默认路由指向网关: route add default gw 10.242.x.x

• 检验方式:可在cmd中使用telnet +虚拟机IP+4433端口，检查网络连通性

注：

• 后台的网络配置为临时配置，重启后会失效。需配置完后登录web平台修改路由和网卡信息，使其永久生效，需先修改路由，在修改网卡；

• 如直接前台修改ip或后台修改IP后会导致路由全部丢失，使用route -n命令确认，然后根据需求添加路由。

2、网络部署--Web平台配置网络

通过web部署网络前，设备的管理口有默认内置一个IP地址(10.254.254.254)，可以通过直连访问该地址进行web配置，建议是先在后台配置临时网卡信息，再到控制台配置

1、登录aTrust控制中心的WEB UI [登录方式:https：//控制中心ip或域名:4433，默认用户名admin 密码SangforSDP@1220]

2、配置aTrust控制中心的基本网络
进入[系统管理]-[网络部署]-[路由设置]，点击按钮新增，添加默认路由

进入(系统管理]-(网络部署]-[网络接口]，点击新增按钮或者直接修改已有网口，修改为指定IP地址

进入(系统管理]-(网络部署]-[网络接口]，点击按钮修改，修改网络配置

进入(系统配置]-(通用配置]-[客户端接入设置]，修改接入地址（公网地址）

进入(系统配置]-(通用配置]-[客户端接入设置]，修改隧道接入地址

3.配置代理网关proxy的基本网络
登录代理网关proxy的web UI[登录方式:https://proxyip或域名:4433，默认用户名admin 密码SangforSDP@1220]

进入[系统管理]-[网络部署]-[路由设置]，点击按钮新增，添加默认路由

进入(系统管理]-(网络部署]-[网络接口]，点击新增按钮或者直接修改已有网口，修改为指定IP地址

进入(系统管理]-(网络部署]-[网络接口]，点击按钮修改，修改网络配置

四、aTrust控制中心和代理网关联动

（1）登录代理网关proxy的web UI界面

（2）在[系统管理]-[本机管理]页面，点击“加入控制中心”

（3）登录控制中心，在[系统管理][代理网关管理]-[密设置] 中获取代理网关加入密钥

（4）填写本机名称和控制中心地址，协议为https，默认端口443(如控制中心地址URL的端口为SDPC上的客户端接入地址端口对应，如有修改需一致) ，加入密填写从SDPC上获取的密钥

（5）点击[确定]后，开始连接控制中心，连接成功，等待控制中心审批

（6）代理网关proxy激活

• 登录控制中心，进入[系统管理][代理网关管理]页面，点击“刷新”，显示待激活的代理网关节点设备

• 登录控制中心，进入[系统管理]-[代理网关管理] 页面，点击“+”添加区域

• 局域网访问地址:填写aTrust代理网关的内网接入地址，用于隧道应用接入。端口未填写时，使用默认端口441。格式:一行一个，如:192.168.1.1:441

• 互联网访问地址:填写aTrust代理网关的公网接入地址，用于隧道应用接入。端口未填写时，使用默认端口441。格式:一行一个，如:200.43.2.16:4431

• 配置完后，点击节点卡片上的“立即激活”，选择节点分区

• 配置完后，点击节点卡片上的“立即激活”，选择节点分区

• 切换到代理网关设备，刷新页面，显示已经加入控制中心

五、aTrust用户访问和客户端下载

1、进入控制中心[系统管理][通用配置][客户端接入设置] 配置访问地址(https://域名或控制中心地址:端口默认端口为443，可修改)，也可使用http协议跳转

• 分离式aTrust设备需要把控制中心的TCP 443端口和代理网关的TCP 441和TCP 443端口映射到公网，保证用户能正常通信；

• 一体式aTrust设备需要把综合网关的TCP 443端口和TCP 441端口映射到公网，保证用户能正常通信；

2、浏览器登录客户端访问地址，显示用户登录页面

3、浏览器登录客户端访问地址，显示登录页面，点击下载客户端，即可按需下载客户端

六、案例

1、使用零信任创建一个web资源关联给ad域用户，且ad域用户需做动态令牌认证

公网用户访问-----121.165.68.46登录零信任--------跳转资源www.wskj.com:6666 ------ 零信任公网ip:6666-----内网零信任:6666------代理访问内网资源

（1）进入【业务管理】-【用户管理】，新增AD域用户组,手动导入用户

（2）进入【系统管理】-【特性中心】，查看动态令牌认证是否开启

（3）进入【业务管理】-【认证管理】-【认证服务器】，新增TOTP动态令牌认证

（4）进入【业务管理】-【认证管理】-【认证策略】，AD域用户做TOTP动态令牌认证

（5）进入【业务管理】-【应用管理】-【应用列表】，新增应用，选择WEB 模式

（6）进入【业务管理】-【认证管理】-【认证服务器】，新增LDAP/AD域认证

（7）进入【业务管理】-【用户管理】-【管理用户】

【编辑用户】-【授权设置】，添加个人应用（AD用户关联资源）