¶ 解决方案概述
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iNrU5a3H-1650612487824)(../../图片/typora/1650606333478.png)]](https://img-blog.csdnimg.cn/dcabefb75edb4598aaf3102407bfeeff.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
¶ 架构设计
- 单臂代理部署使用 WAN(外部接口)来处理通过防火墙的传入和传出流量。它可以最大限度地减少对基础结构的更改。
- 双臂代理部署同时使用 WAN 和 LAN(外部和内部接口)。这需要更改基础结构,但提供最佳的安全性和吞吐量。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bfkxBjTX-1650612487826)(../../图片/typora/1650606567770.png)]](https://img-blog.csdnimg.cn/94f41551300746239a7c20601440b1ac.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
¶ 前置条件
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xsnM3lCP-1650612487826)(../../图片/typora/1650606776449.png)]](https://img-blog.csdnimg.cn/fd8368c6799d4dae88610b9bc6e853e2.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
¶ 公共 DNS 服务器
您需要一个可以解析以下记录的公共(外部)DNS 服务器:
- 指向 ZTNA 网关的“A 记录”。
- 指向 ZTNA 网关的域名 (FQDN) 的应用程序的“CNAME 记录”。如果您使用 Sophos ZTNA 代理访问这些 CNAME 记录,则应用程序不需要这些 CNAME 记录。
EAP 仅支持单个域。因此,应用程序的域名必须与网关的域名匹配。
¶ 私有 DNS 服务器
ZTNA 网关必须指向专用(内部)DNS 服务器,以便在身份验证和授权后将用户重定向到应用程序。
或者,当您将应用程序添加到 Sophos Central 中的 ZTNA 时,可以直接配置应用程序的内部 FQDN/IP。
¶ 身份提供程序
您需要一个身份提供程序来对用户进行身份验证。您可以使用以下任一方法:
- Azure AD
- Okta
本指南告诉您如何配置它们以与 ZTNA 一起使用。
¶ 允许的网站
如果网关位于防火墙后面,则必须授予对这些所需网站的访问权限(在端口 443 上,除非另有说明):
- sophos.jfrog.io
- *.amazonaws.com
- production.cloudflare.docker.com
- *.docker.io
- *.sophos.com
- login.microsoftonline.com
- graph.microsoft.com
- ztna.apu.sophos.com(端口 22)
- sentry.io
- *.okta.com(如果您使用 Okta 作为身份提供商)
¶ 支持的应用类型
ZTNA 可以控制对基于 Web 的应用程序和本地应用程序的访问。本地应用程序的控制需要 ZTNA 代理。
ZTNA 不支持依赖于动态端口分配或使用各种端口的应用,例如较旧的 VOIP 产品。
¶ 认证数据库
¶ 设置目录服务
您需要一个目录服务来管理您的用户组。
您可以使用Microsoft Azure AD或Active Directory。为了帮助您决定使用哪个,请考虑以下事项:
- 如果使用 Azure AD,还可以将其用作标识提供者。
- 如果您使用 Active Directory,则需要一个单独的身份提供程序,例如 Okta。
在我们的说明中,我们向您展示了如何设置Microsoft Azure AD。
若要使用 Azure AD 管理用户,需要创建 Azure AD 租户、注册 ZTNA 应用程序并设置用户组。
必须已具有 Azure AD 帐户。
¶ 安装网关
分两个阶段在 ESXi 上设置网关:
- 下载网关映像(OVA 文件)并将其部署在 ESXi 中。
- 在 Sophos Central 中添加网关设置以生成用于在 ESXi 中引导网关的 ISO 文件(“种子映像”)。
您可以设置网关群集以确保可用性。为此,请设置网关的其他实例,如此处所述。
¶ 下载并部署映像
-
在 Sophos Central 中,转到概述>保护设备。
-
查找零信任网络访问。
- 单击网关映像的下载链接。
- 接受许可协议和(如果出现提示)软件导出合规性表单。
- 网关映像已下载。这是用于 ESXi 服务器的 ZTNA 网关的通用 OVA 映像。您可以根据需要多次重复使用它。
3. 将 OVA 映像部署到 ESXi 主机。在 VMware vSphere 中,右键单击主机,然后选择部署 OVA 模板。这将运行一个助手来指导您完成部署。
警告
关闭自动开机选项(ESXi 上的默认选项)或阻止 ZTNA 网关在完成后启动。否则,网关将在没有 ISO 文件的情况下启动,您必须重新开始。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eHik2akE-1650612487827)(../../%E5%9B%BE%E7%89%87/typora/DeployOVA.png)]](https://img-blog.csdnimg.cn/64e4df23dcbe419aa6557439f45b4855.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
添加设置和启动网关 -
返回 Sophos Central,然后转到 ZTNA > Gateways。单击添加网关。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eCyYrESI-1650612487828)(../../%E5%9B%BE%E7%89%87/typora/GatewaysList.png)]](https://img-blog.csdnimg.cn/1681894f50b349d0bd646bd0cfb7cda1.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
-
在**“添加网关”**中,执行以下操作:
-
输入网关名称和网关 FQDN。
-
输入资源(应用)的域。
-
在**“平台类型”中**,选择“VMware ESXi”。
-
选择部署模式。
- 单臂使用外部接口处理传入和传出流量。
- 双臂同时使用外部和内部接口。
-
输入接口设置。
-
如果选择 DHCP,请在 DHCP 服务器上设置预留。
警告
网关无法处理其 IP 地址中的更改。必须设置预留以确保它始终保留 DHCP 分配的初始 IP 地址。
-
如果选择“静态 IP”,请指定 IP 地址、子网和 DNS 服务器设置。
在双臂部署中,如果应用托管在多个内部网络上,则必须指定静态路由。
-
-
上传您之前创建的证书。
-
单击保存并生成文件。
注意
此版本仅支持单个通配符证书。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JyHWTHxj-1650612487828)(../../%E5%9B%BE%E7%89%87/typora/gateway-add.png)]](https://img-blog.csdnimg.cn/9eff93cd388045a48153afcba023f6a9.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
-
-
在**“网关**”页上,网关的状态为“正在等待部署”。
种子映像 ISO 已准备好下载。你将需要它来启动网关并完成注册过程。ISO 对于每个网关都是唯一的。您不能重复使用它。
注意
在下载映像之前,建议您创建网关集群。如果不需要群集,请跳到步骤 9。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1zKQAXF5-1650612487829)(../../%E5%9B%BE%E7%89%87/typora/WaitingDeployment.png)].](https://img-blog.csdnimg.cn/02092bf192834f8299183a81989d2250.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
-
单击新网关以打开其详细信息页面。单击添加/编辑实例。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7WcVle24-1650612487829)(../../%E5%9B%BE%E7%89%87/typora/gateway-waiting-deployment-3.png)]](https://img-blog.csdnimg.cn/981e302769384681a1281fae1fa3bea7.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
-
在**“添加/编辑实例”中**,执行以下操作:
-
单击添加其他实例。群集将自动打开。
-
输入群集虚拟 IP。这用于群集管理和负载平衡。它必须与网关实例位于同一 IP 范围内。
在双臂部署中,外部群集 VIP 仅用于负载平衡。如果使用外部负载均衡器,请将其留空。
- 输入新实例的 VM 名称和接口 IP。
在双臂部署中,输入内部和外部接口 IP。
- 重复该过程以添加另一个实例。
-
一个集群必须至少有三个实例。您最多可以有九个实例,但必须始终具有奇数。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iKmAlhmI-1650612487829)(../../%E5%9B%BE%E7%89%87/typora/gateway-add-instances-3.png)]](https://img-blog.csdnimg.cn/15aaf20ab0f6489d8081883b48a11e54.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_18,color_FFFFFF,t_70,g_se,x_16)
-
下载每个 ISO 文件并将其挂载到主机上。然后将其附加到网关,如下所示:
- 转到 VMware vSphere。
- 右键单击网关 VM,然后选择**“编辑设置”**。
- 在“硬件”选项卡上的 CD/DVD 驱动器中,确保显示 ISO 文件,然后选择“连接”。
- 在**“状态”中**,选择“开机时连接”。
- 点击保存。
如果虚拟硬件中列出了串行设备,则可以安全地将其删除。
当网关使用 ISO 文件启动时,它将联系 Sophos Central 进行注册。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6ExS3Ncz-1650612487830)(../../%E5%9B%BE%E7%89%87/typora/GatewayEditSettings.png)]](https://img-blog.csdnimg.cn/0229a8eeebea4084b74d3c3a289f0b2b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
-
回到索福斯中心。在**“网关**”页上,网关状态将更改为**“正在等待批准”**。
出现提示时,请批准网关注册。
批准最长可能需要十分钟才能生效。然后,网关状态将更改为**“已连接”**。如果需要,您将看到一个用于创建密码的选项。
注意
ISO 文件必须保持与网关的连接。在网关启动后,无法将其卸载。
¶ 安装代理
¶ 安装 ZTNA 代理
ZTNA 代理在您的设备上运行,并允许您执行以下操作:
- 控制对本地应用的访问。如果不使用代理,ZTNA 只能控制对基于 Web 的应用程序的访问。
- 设置策略,在允许访问之前检查设备的安全运行状况。
安装过程取决于您是现有客户(您已经拥有我们的端点保护)还是新客户。
¶ 新终端
如果您是新客户,则必须安装 Sophos 端点保护代理和 ZTNA 代理,如下所示:
-
转到概述>保护设备。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bdHLcgLx-1650612487830)(../../%E5%9B%BE%E7%89%87/typora/overview-protect-devices-1650612064320.png)]](https://img-blog.csdnimg.cn/e12892b5fc5c486aab3da1c1f8375b45.png)
-
在**“终结点保护”**部分,单击“下载完整的 Windows 安装程序”。此安装程序将安装你获得许可的所有终结点产品。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ePVCo3wA-1650612487830)(../../%E5%9B%BE%E7%89%87/typora/protect-devices-installer-1650612064146.png)]](https://img-blog.csdnimg.cn/aa9a3aa263c841d2910a37456eb1c6dd.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_11,color_FFFFFF,t_70,g_se,x_16)
-
在设备上运行安装程序。
有关不同类型的安装(包括脚本式安装)的帮助,请参阅端点保护部署方法
-
若要检查是否已安装代理,请转到**“概述****”>设备“**。“**保护”**和“ZTNA”列显示安装了代理的设备的勾选标记。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yHzobl0b-1650612487831)(../../%E5%9B%BE%E7%89%87/typora/devices-agent-installed-1650612064589.png)]](https://img-blog.csdnimg.cn/37c554f154fd4c90a1aba82b58665422.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
-
转到其中一个设备,然后双击任务栏中的 Sophos 图标。在**“状态”**页上,可以看到 ZTNA 已列出。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yiFOrWkA-1650612487831)(../../%E5%9B%BE%E7%89%87/typora/endpoint-ui-ztna.png)]](https://img-blog.csdnimg.cn/b94924c5f26444febfa0190a1a50832b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_19,color_FFFFFF,t_70,g_se,x_16)
注意
安装 ZTNA 代理会更改默认的 TAP 适配器。如果您用于执行 DNS 查找,它现在默认使用 ZTNA TAP 适配器。查找不在 ZTNA 网关后面的应用将失败。您需要将正确的适配器添加到命令中。例如:nslookup``nslookup
nslookup <FQDN-to-be-resolved><DNS-Server>
¶ 用户如何访问应用
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7egvCnoH-1650612487831)(../../图片/typora/1650606850833.png)]](https://img-blog.csdnimg.cn/d436411b1ab64acfb04b9d68c5ea883e.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
用户可以执行以下操作:
- 登录以访问应用。
- 通过 ZTNA 用户门户访问应用程序。
- 注销 ZTNA。
¶ 登录以访问应用
系统会要求首次尝试访问应用的新用户登录。
首次登录后,用户可以访问你授予他们访问权限的所有应用。他们不必每次都登录。
注意
如果用户在 7 天内未访问网关后面的任何应用,则必须重新登录。
¶ 通过 ZTNA 用户门户访问应用程序
用户可以通过零信任用户门户访问应用,该门户向他们显示可以使用的应用。
为用户提供门户的 Web 地址(这是添加网关时输入的 FQDN),并告诉他们在浏览器中输入该地址。
注意
目前,门户不显示通过 ZTNA 代理访问的应用。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7xDg4Agk-1650612487832)(../../图片/typora/ZTUserPortal.png)]](https://img-blog.csdnimg.cn/371cc5bd13774e1085ef2070b1ee98b3.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5pyf5b6F5pyq5p2l55qE55S35a2p,size_20,color_FFFFFF,t_70,g_se,x_16)
¶ 注销 ZTNA
用户将保持登录到 ZTNA,除非他们在 7 天内处于非活动状态。
您可能需要用户注销,例如,如果他们使用的是共享设备,或者存在可以通过重新身份验证来修复的问题。
目前,只有管理员才能将用户注销。