¶ 一、介绍
研发一体化平台-安全接入模块,是整个研发一体化平台的核心组成部分之一。集成了零信任访问控制系统和VPN系统,旨在为用户构建更安全、体验更好的安全解决方案。其具体实现的内容包括:
- 访问控制能力:
- 安全接入模块通过强大的访问控制能力,确保只有授权用户能够访问系统资源。
- 提供灵活的身份验证和授权机制,以满足不同场景下的安全需求。
- VPN相关能力:
- 集成了先进的VPN(虚拟专用网络)技术,为用户提供安全、加密的远程访问通道。
- 通过VPN相关能力,用户可以在不同网络环境下安全地连接到平台,实现远程办公和资源访问。
- 安全性保障:
- 设计了多层次的安全防护机制,包括防火墙、入侵检测系统等,确保平台免受恶意攻击。
- 加密通信通道,防止敏感信息在传输过程中被窃取或篡改,提升数据的机密性和完整性。
- 用户体验优化:
- 通过智能化的用户界面和简化的操作流程,提高用户在安全接入模块上的使用体验。
- 支持多平台、多设备的接入,使用户能够随时随地安全地访问所需资源。
- 灵活性和可扩展性:
- 提供灵活的配置选项,以适应不同组织的安全策略和需求。
- 构建了可扩展的架构,使得安全接入模块可以方便地集成新的安全功能和升级。
¶ 二、安装与配置
本章节包含了:服务端安装,Windows、mac、安卓、鸿蒙、iOS系统下客户端的安装,用户登录、资源访问、故障排查的内容。
客户端安装前,需要先安装杀毒软件,如360杀毒、金山毒霸等。否则无法接入本平台。
¶ 2.1 客户端安装
¶ 2.1.1 电脑端安装
- 客户端下载:
打开浏览器(推荐谷歌、火狐、IE11、360安全浏览器),输入网址https://vpnlogin.ssdevops.com:8443
以谷歌浏览器为例,此时会提示网站连接非私密(这是https类型的网站使用了私有的网站证书导致的,但是对使用不会有其它影响),点开<高级>后,再点击<继续前往>。
打开页面后,点击右上角的<下载客户端>,选择相应的设备端,并点击<立即下载>。
- 客户端安装
在安装界面,点击<立即安装>,等待进度条结束后安装即完成,此时点击<关闭>即可。如安装失败,请尝试重新安装。如仍旧失败,请联系管理员处理。
(Windows系统下的固定安装路径为C:\Program Files (x86)\Sangfor\aTrust\,安装路径不可更改。)
¶ 2.2.2移动端安装
打开浏览器(推荐谷歌、火狐、IE11、360安全浏览器),输入网址https://vpnlogin.ssdevops.com:8443
以谷歌浏览器为例,此时会提示网站连接非私密(这是https类型的网站使用了私有的网站证书导致的,但是对使用不会有其它影响),点开<高级>后,再点击<继续前往>。
打开页面后,点击右上角的<下载客户端>,选择相应的设备端,并点击<立即下载>。
安卓端
IOS端
使用手机进行扫码,即可获取安装。
¶ 三、快速入门
¶ 3.1 客户端登录
¶ 3.1.1 电脑端用户登录
本章节将以本地账号密码认证为例,推荐以下两种登录方式:
- web方式登录
在浏览器输入网址https://vpnlogin.ssdevops.com:8443,输入账号密码,点击<登录>。
成功进入应用中心界面,代表登录完成。此时点击研发一体化平台,即可进入研发一体化注平台。
- 从客户端登录
双击桌面的软件图标
在软件的界面工作台-接入设置中可以配置接入的零信任的地址:https://vpnlogin.ssdevops.com:8443,点击确定接入
输入账号密码后点击<登录>,登录成功后会自动进入应用中心。
¶ 3.1.2 移动端登录
移动端APP安装完成后,打开客户端,输入服务器地址https://vpnlogin.ssdevops.com:8443,点击<链接>,然后输入账号密码,点击<登录>,当页面进入应用中心即代表登录完成。
¶ 3.2 资源访问
零信任登录成功后,就可以访问公司的业务系统了。
访问网站资源:点击应用图标,访问地址会被代填至浏览器,浏览器即对网站发起请求。
客户端/软件类资源:登录零信任客户端后,按照以前的习惯使用即可。
点击该资源后,即可打开资源的页面。
¶ 3.3 资源申请
对于没有权限访问的资源,可以通过申请获得。
申请方式:在应用中心的申请权限界面申请。
如何进入申请权限的界面:
方式1.点击web版应用中心左下角的用户图标,然后点击<申请权限>。
方式2.点击电脑桌面右下角的软件托盘,然后点击软件托盘右上角的扩展按钮,然后点击<应用申请>。
进入资源申请页面后,找到需要访问的资源,点击<申请权限>并填写申请理由后提交即可。
¶ 四、注意事项
注意:
- 使用安全接入模块需要提前安装杀毒软件,如360杀毒、金山毒霸等,否则在接入时,会禁止登录。
- VPN平台的账号由
河南省研发一体化平台进行统一管理和维护,不需要在零信任平台上单独进行开户。
¶ 五、常见问题
¶ 5.1 登录问题
- 登录时,提示
当前登录存在风险,登录已被注销!
原因: 接入环境(客户端环境)未安装杀毒软件。
解决办法:安装杀毒软件后,重新打开浏览器,登录即可。
¶ 5.2 资源访问问题
¶ 5.2.1 内网业务访问异常处理思路
- 当访问内网的业务异常时,可以按照以下思路进行处理:
步骤1.检查电脑网络是否正常,零信任是否已经登录,如已登录,则到应用中心查看是否有这个资源;
步骤2:使用零信任客户端的诊断工具扫描电脑环境是否正常;
步骤3.使用客户端自带的资源诊断功能检查资源是否正常;
诊断后,导出结果,并进行截图。
步骤4.收集故障现象截图,以及客户端日志给到信息中心管理员这边。
¶ 5.2.2 Web 应用
web应用是经过代理网关的nginx反向代理实现的,所以web应用出错,检查的重心应放置在代理网关上。Web应用访问异常,主要有三种情况,分别是资源发布问题,网络问题,用户系统问题。
1) 资源发布问题:确认应用是否在控制中心上做web应用发布,并授权给用户。
2) 用户系统问题:浏览器访问应用异常,查看浏览器版本是否过低。
3) 网络问题:检查网络是否正常,主要有如下步骤:
步骤1. 检查本地PC访问web应用前端访问地址域名,A记录解析是否为代理网关地址
(外网访问解析至代理网关公网地址,内网解析至代理网关内网地址),如解析不对更改域名解析至代理网关地址,解析正常进入下一步排查。
步骤2. 检查代理网关的web应用端口,是否做了一对一端口映射(如代理网关的443映射至公网的443端口),使用telnet/TCPing工具检查代理网关的公网IP地址和端口的网络是否正常通信。若网络不通则排查本地至代理网关的网络情况,网络正常通信进入下一步排查。
步骤3. 检查代理网关与业务系统的网络联通性,进入到代理网关的webconsole页面,使用telnet/wget工具检查代理网关到业务服务器的网络是否正常。
步骤4. 存在网络问题,可在设备的[系统管理/系统运维/webconsole]进行抓包,下载抓包文件查看业务数据流是否正常。可使用命令 TCPdump -i 接口 host 设备IP地址 and port 业务端口-w xx.pcap,具体如下:
进入[系统管理/系统运维/webconsole]-文件管理下载对应的抓包文件,使用wireshark抓包工具进行数据流分析。
¶ 5.2.3 隧道应用
隧道应用是用户登录aTrust客户端后,与代理网关建立隧道,实现数据的代理转发。所以隧道应用访问出错,检查的重心应放置在代理网关上。隧道应用访问异常,可配一些辅助工具进行排错,具体如下。
在atrust客户端,点击选择资源诊断。
用户登录aTrust客户端后,使用客户端的资源诊断工具进行诊断,诊断结果有如下。
1. 资源无法访问,无该资源的访问权限。导出检测报告,确认应用是否已发布,且授权给用户。
2. 资源联通性检查失败,表明本地网络与aTrust代理网关的网络正常通信,但代理网关与业务服务器存在网络异常,建议检查代理网关与业务系统的网络是否正常。详细信息可导出检测报告,进行查看。
3. 资源诊断正常,但业务访问不了。此时需确认一下业务服务器是否存在源IP地址限制没有将代理网关放通。
4. 访问FTP服务器,资源诊断正常,但访问不了。检查ftp服务器的模式是否为主动模块,若是则改为被动模式。
¶ 5.2.4 应用排错思路举例
某用户反馈web应用访问失败,排错思路如下:
步骤1. 先根据反馈,确认用户的访问流量走的是我们aTrust设备代理。确认手段有两不,如下。
1) 配置web应用时,开启web水印。
2) 本地PC电脑,使用ping或nslookup工具,解析域名是否解析到代理网关,如不是解析到代理网关,则流量未经过aTrust设备,建议排查一下业务系统本身。
3) 使用telnet或TCPing工具检测代理网关端口,是否正常通信。
步骤2. 访问web资源,如是经过我们代理网关无法访问的,会有比较明显的标识信息。如下图所示,应用的访问地址头部server字段值为Sangine,或页面直接限制Sangine。
步骤3. 登录到代理网关的控制台,进入[系统管理/系统运维/webconsole]查找相对应的报错日志,路径为tail -f /hislog/log/nginx/sdp-proxy/error.log
步骤4. 从步骤3的日志截图我们可以看到,用户访问应用ar1.cggc.cn时存在相关报错,可以看到访问的流量是http(80端口),但流量被重置为了https的流量,导致访问的 server与请求的地址不一致,引起访问失败。我们可以从这里看到,我们本来访问的 是http的业务流量,但从出口设备发送到代理网关后,流量变成了https业务流量,可 以判定是出口的端口映射存在,即代理网关的443端口映射到公网的80端口(代理网 关web应用必须要求一对一映射),导致请求的信息和返回的信息不一致,引起访问 失败。
步骤5. 根据步骤4的结论,在出口网关设备将代理网关的映射做一对一映射,解决问题。
¶ 5.2.5 常见错误码说明
1) 400 Bad Request
一般是应用请求错误,如代理网关映射错误(比如内网443端口映射到公网80端口),或请求头部过大导致的(cookie过大,或者url过长)。
2) 403 Forbidden
一般为配置问题,访问鉴权失败,有可能是用户未登录,或者未关联相关资源。
3) 404 Not Found
一般为配置问题,如前端访问地址没有通过我们aTrust发布出来,但是这个前端地址又直接解析到了代理网关上。
4) 500 Internal Server Error
该错误一般是由lua断言或执行出错所导致的,需要通过
/hislog/log/nginx/sdp-proxy/error.log日志文件中找到错误日志信息。
5) 502 Bad GateWay
一般代理网关到业务服务器网络不通或者握手失败。如果是握手失败,一般业务服务器问题。如果是代理网关到业务服务器不通,则检查路由或者防火墙等配置。可通过/hislog/log/nginxsdp-proxy/error.log日志文件找到错误日志信息。
6) 503 Service Temporarily Unavailable
代理网关域名dns解析失败,检查代理网关中的dns服务器是否正确。可通过/hislog/log/nginx/sdp-proxy/error.log日志文件找到错误日志信息。
7) 504 Gate Time-out
代理网关到后端服务器请求超时,可能的情况为上游服务器异常,或者网络异常。可通过/hislog/log/sdp-proxy/error.log日志文件找到错误日志信息。
8) web应用日志查看
/hislog/log/nginx/ngx_proxy.log 日志可根据 时间和访问url 找到对应的错误信息。
/hislog/log/nginx/sdp-proxy/error.log日志可根据 时间、用户、访问URL、上游服务器返回状态码 找到对应的错误信息。
¶ 5.3 客户端问题
¶ 5.3.1 检测不到客户端
(一) 问题现象
客户反馈本地电脑已经安装了客户端, 但是使用浏览器访问aTurst登录页面提示未检测到客户端。排查步骤如下:
步骤1. 确认aTrustAgent进程是否正常启动,打开系统任务管理器,查看进程列表中是否有aTrustAgent.exe,若未找到aTrustAgent.exe进程,则说明aTrustAgent.exe进程未启动。
步骤2. 任务管理器查看服务列表,检查aTurstService服务进程是否正在运行。
 |
步骤3. 如果未看到aTrustService进程在运行,则说明aTrust服务未安装或被停止或被优化。
步骤4. 进入服务管理页面确认aTrustService的状态,如果启动方式为手动,则说明服务可能已经被优化。
(二) 解决办法
步骤1. 目前遇到较多的是腾讯电脑管家将aTrustService服务进行了优化,将服务启动方式从自动启动修改为手动启动,导致每次重启电脑之后,aTrust服务将不会自动运行,使用浏览器打开登录页面提示未检查到客户端。
步骤2. 若是被杀毒软件优化,则不能简单的在服务管理器里面启动和将服务启动方式设置为自动解决。 因为安全软件会有监控和守护,再下一次关机的时候会重新进行优化操作。所以一定需要杀毒软件设置里面取消优化。
¶ 5.3.2 虚拟网卡安装失败
(一) 问题现象
用户登录客户端,访问隧道应用显示失败
(二) 排查步骤
检查本地是否安装了aTrust虚拟网卡,在cmd里面输入ipconfig /all查看本地网卡信息,其中aTurst网卡描述为Sangfor aTrust VNIC。
(三) 解决办法
可尝试手动添加设备硬件方式安装虚拟网卡,安装步骤
(1) 系统开始任务栏中找到设备管理器
(2) 选择网络适配器,点击操作,选择添加过时硬件
(3) 选择aTurst安装目录下的虚拟网卡安装文件
若已按照此方案执行,也无法正常安装虚拟,则说明该系统环境出现了异常,导致虚拟网卡安装失败,此时安装所有网卡设备都会失败。
¶ 5.3.3. 客户端日志收集
在托盘上面板菜单栏上点击搜集日志,用于研发分析定位问题。
