- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-可信訪問控製配置
本章節下載: 02-可信訪問控製配置 (165.41 KB)
CSAP可信訪問控製功能是指設備通過與CSAP可信訪問控製器(即安全威脅發現及運維管理平台)聯動,獲取CSAP可信訪問控製器對用戶風險狀況和資產風險狀況的評估信息。當用戶訪問指定資產時,設備結合配置的可信訪問策略,根據用戶和資產的風險狀況,執行相應的訪問動作。
在零信任場景中,通過配置本特性可對用戶訪問資產的權限進行集中控製。
本功能的支持情況與設備型號有關,請以設備實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-XI係列 |
F1000-D-XI、F1000-E-XI |
支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5 |
支持 |
|
F100-C-A係列 |
F100-C-A2、F100-C-A1 |
不支持 |
|
F100-X-XI係列 |
F100-A-XI |
不支持 |
|
F100-C-XI、F100-S-XI |
支持 |
CSAP可信訪問控製器即安全威脅發現及運維管理平台,設備通過與CSAP可信訪問控製器聯動,獲取CSAP可信訪問控製器對用戶風險狀況和資產風險狀況的評估信息,然後結合用戶配置的可信訪問策略,控製用戶對特定資產的訪問權限。
(1) 進入係統視圖。
system-view
(2) 進入CSAP可信訪問控製器視圖。
trusted-access controller csap
(3) 配置提供可信訪問控製服務的對端服務URL。
peer-service url service-url
缺省情況下,未配置提供可信訪問控製服務的對端服務URL。
(4) (可選)指定設備與可信訪問控製器之間建立SSL連接時所使用的SSL客戶端策略。
ssl-client-policy policy-name
缺省情況下,未指定設備與可信訪問控製器之間建立SSL連接時所使用的SSL客戶端策略。
若配置對端服務URL的協議類型為HTTPS,則必須配置本命令。
(5) (可選)配置可信訪問控製器所屬的VPN實例。
vpn-instance vpn-instance-name
缺省情況下,可信訪問控製器屬於公網。
CSAP可信訪問策略用來跟據用戶和用戶訪問資產的風險狀況,定義用戶對資產的訪問權限。
通過配置可信訪問規則,可以指定不同風險等級的用戶對不同風險等級資產的訪問動作。
設備預定義了16條可信訪問規則,僅支持對規則進行修改,不支持創建和刪除規則。
(1) 進入係統視圖。
system-view
(2) 進入CSAP可信訪問策略視圖。
trusted-access policy csap
(3) 配置可信訪問規則。
rule user-risk-level { fallen | high-risk | low-risk | trust } asset-risk-level { fallen | high-risk | low-risk | trust } action { allow | deny }
缺省情況下,用戶訪問資產的可信訪問規則如表1-1所示。
|
用戶風險等級 |
資產風險等級 |
動作 |
|
已失陷 |
已失陷 |
拒絕 |
|
已失陷 |
高危 |
拒絕 |
|
已失陷 |
低危 |
拒絕 |
|
已失陷 |
信任 |
拒絕 |
|
高危 |
已失陷 |
拒絕 |
|
高危 |
高危 |
拒絕 |
|
高危 |
低危 |
拒絕 |
|
高危 |
信任 |
拒絕 |
|
低危 |
已失陷 |
拒絕 |
|
低危 |
高危 |
拒絕 |
|
低危 |
低危 |
允許 |
|
低危 |
信任 |
允許 |
|
信任 |
已失陷 |
拒絕 |
|
信任 |
高危 |
拒絕 |
|
信任 |
低危 |
允許 |
|
信任 |
信任 |
允許 |
(4) 啟用CSAP可信訪問策略。
service enable
缺省情況下,CSAP可信訪問策略處於禁用狀態。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
