网络基础及设备管理 3

ZeroTrustAccessControlSystemConfigurationandManagement教师xxxCybersecurity零信任访问控制系统

配置与管理ONE教学目标TeachingObjectives知识目标01了解零信任设备的产生背景02熟悉零信任设备的部署方式、核心功能和特性03熟悉零信任设备的关键技术及业务场景教学目标能够根据用户需求设计零信任设备的部署方案和配置策略，对业务系统进行安全接入，对终端环境安全进行检查，有效地控制网络安全风险。能够根据零信任设备业务逻辑进行故障排查，根据故障现象判断故障原因并采取相应的解决措施。能够通过Web界面配置认证管理、应用管理、终端管理、策略管理、安全基线、UEM等相关功能。能力目标教学目标素质目标引导学生树立持续发展的理念，主动学习新的网络安全设备和技术，为个人职业生涯发展做准备。培养学生面对突发网络状况的应变能力以及解决实际问题的综合能力。培养学生严谨细致、精益求精的职业精神和对企事业网络安全负责的态度。教学目标321TWO5.1零信任设备概述OverviewofZeroTrustDevices零信任的产生背景零信任设备概述VPN暴露面过大、静态访问控制失效以及内部威胁难以管控等问题日益突出，企业网络安全面临着严峻挑战。在这一背景下，零信任安全模型应运而生，其“永不信任，持续验证”的核心理念为企业安全架构带来了巨大的变革。随着全球数字化转型的深入发展，企业IT架构正经历前所未有的变革。云计算、移动办公、物联网和边缘计算等技术的广泛应用，使得传统基于边界防护的安全模型逐渐显露出其局限性。零信任的定义零信任设备概述零信任架构依靠三大核心要素：动态访问控制、最小权限原则和持续风险评估，构建起覆盖全局的安全防护体系。它特别注重以用户身份作为访问控制的基础，运用多种身份验证方式、设备安全检查和使用行为分析等技术，在每一次访问请求过程中都进行严格审查。零信任是近年来兴起的一种网络安全架构模式。它彻底改变了过去那种“内部网络可靠、外部网络危险”的简单划分方式，转而认为所有用户、设备和数据流都不可轻信，必须经过不断验证，并且只授予完成操作所必需的最低权限。深信服零信任设备介绍零信任设备概述深信服零信任访问控制系统（后文简称aTrust）是一款基于零信任安全理念的创新设备，以“流量身份化”和“动态自适应访问控制”为核心，旨在解决数字化转型中网络边界模糊、访问权限复杂等安全问题。该设备采用“被动防御+主动防御”全新SDP（SoftwareDefinedPerimiter，软件定义边界）架构，围绕“账号、终端、设备”构建三道纵深防线，包括单包授权（SinglePacketAuthorization，SPA）、多因素认证（Multi-FactorAuthentication，MFA）、终端环境持续检测等安全机制，有效防范钓鱼攻击、横向渗透等威胁。aTrust支持百万级并发接入，兼容信创环境（如飞腾CPU+银河麒麟OS），并提供远程办公、移动App安全访问、多云业务接入等全场景解决方案。其独特的安全雷达和威胁诱捕技术可实时追踪攻击链路，实现“鉴黑秒级阻断”，在攻防演练中表现出色。TWO5.2零信任设备的部署与组网方案Deploymentandnetworkingsolutionforzerotrustdevices零信任设备的部署与组网方案零信任设备部署分离式部署综合网关部署常见组网方案有旁路部署（居多）和网关部署。TWO5.3零信任的关键技术Thekeytechnologyofzerotrust单包授权技术零信任的关键技术单包授权（SPA）是SDP的核心功能。SPA会通过对连接服务器的所有数据包进行认证授权，数据包只有通过服务器认证后，服务器才会响应连接请求，从而实现企业业务的网络隐身。身份与访问管理技术零信任的关键技术传统的SSLVPN设备在远程办公接入场景中，没有信任评判机制，用户登录认证过程中不会判断所处的网络环境是否可信，终端是否有授信标志。用户登录都是统一的认证形式，认证单一且不灵活，不能根据终端和网络环境的变化给出不同的认证方式。aTrust则强调用户认证自适应，若用户在安全的环境下登录，则降低认证强度，提升用户体验；若用户在有风险的环境中登录，则提高认证强度，消除安全风险。aTrust可根据用户所处的网络环境动态自适应地调整用户登录方式，真正意义上做到了安全和体验的平衡微隔离技术零信任的关键技术微隔离技术通过精细化的访问控制和逻辑隔离，有效收敛业务暴露面，保证终端环境安全，并对终端上的数据实施多层次防泄密保护，防止敏感信息被违规下载、外发或恶意窃取。深信服推出的统一终端管理（UnifiedEndpointManagement，UEM），正是一款深度融合微隔离理念的全终端安全沙箱解决方案。它覆盖

Windows、macOS、UOS、麒麟

OS、iOS、Android、鸿蒙等主流操作系统，也被称为“安全工作空间”。该设备由客户端（集成于aTrust客户端）与安全网关两大部分组成，在终端上构建一个与个人桌面完全逻辑隔离的安全运行环境。TWO5.4零信任系统的行业应用解决方案Industryapplicationsolutionforzerotrustsystem零信任系统的行业应用解决方案运营商场景1教育场景2政府场景3在电信运营商环境中，零信任解决方案主要用于应对内网过度授权和横向移动风险。通过构建以零信任系统为核心的“139”安全运营体系，实现对核心业务系统、用户数据、网络资源等的精细化访问控制。系统基于多因素认证与动态权限策略，对运维人员、合作方人员、内部用户等不同身份进行持续验证，结合终端合规性检查与行为分析，防止未授权访问和内部威胁，强化运营商纵深防御体系，保障5G网络、运行支撑系统、用户个人信息等关键资产的安全。教育行业面临的主要挑战是用户身份复杂、接入终端多样、教育资源敏感度高。零信任解决方案通过身份可信验证与权限动态管控，实现对教师、学生、行政人员等不同身份的最小权限访问控制。系统可对校内应用、科研数据、管理平台等进行细粒度隔离与保护，结合终端安全检测机制，确保只有合规设备可访问敏感数据，有效防止数据泄露和内部越权行为，尤其适用于远程教学、校园信息化平台、科研数据管理等典型场景。政府机构对数据安全、身份真实性和权限控制具有极高要求。零信任解决方案通过对访问主体实施持续身份核验与环境感知，实现对敏感信息系统、政务云平台、内部数据库等的严格保护。系统支持根据人员角色、终端状态、网络位置等多维参数进行动态授权，从源头阻断未授权访问和数据泄露路径，尤其适用于移动办公、跨部门协作、政务外网接入等高危场景，显著提升政务系统整体安全性。FIVE5-1实战/aTrust用户认证和安全策略实战拓扑1.配置基础网络aTrust用户认证和安全策略配置接口地址1.配置基础网络aTrust用户认证和安全策略配置路由信息2．设置通用配置aTrust用户认证和安全策略配置客户端接入地址。在“系统管理”→“系统配置”+“通用配置”+“客户端接入设置”界面下,将“接入地址”设置为“8”,如图511所示。2．设置通用配置aTrust用户认证和安全策略设置隧道接入地址。在同一界面下，将“局域网访问地址”修改为“0:441”，将“互联网访问地址”修改为“8:441”，单击“保存”按钮,如图5-12所示。3．配置本地用户认证aTrust用户认证和安全策略4．配置域用户认证aTrust用户认证和安全策略在组织单位“test”中添加域用户“testad”,如图5-18所示。4．配置域用户认证aTrust用户认证和安全策略4．配置域用户认证aTrust用户认证和安全策略5．同步AD域用户aTrust用户认证和安全策略6．启用TOTP动态令牌aTrust用户认证和安全策略7．配置认证策略aTrust用户认证和安全策略8．测试效果aTrust用户认证和安全策略本地用户登录8．测试效果aTrust用户认证和安全策略域用户登录FIVE5-2实战aTrust应用发布/实战拓扑1．发布Web应用aTrust应用发布1．发布Web应用aTrust应用发布1．发布Web应用aTrust应用发布2．发布隧道应用aTrust应用发布2．发布隧道应用aTrust应用发布2．发布隧道应用aTrust应用发布URL路径规则3．安全配置aTrust应用发布限制接入IP3．安全配置aTrust应用发布FIVE5-3实战aTrustUEM沙箱配置场景/实战拓扑1．配置工作空间aTrustUEM沙箱配置场景1．配置工作空间aTrustUEM沙箱配置场景1．配置工作空间aTrustUEM沙箱配置场景2．工作空间安全配置aTrustUEM沙箱配置场景2．工作空间安全配置aTrustUEM沙箱配置场景2．工作