山石防火墙-零信任网络访问（ZTNA）典型场景

以下文章来源于网络运维刘师傅，作者网络运维刘师傅

本篇来介绍下山石网科的零信任访问（ZTNA）的典型应用场景，主要包含远程访问及内网接入两种。

一、远程访问

随着移动办公的普及，远程访问内网资源的需求日益增长。为了满足这种需求，同时确保内网资源的安全，Hillstone提供ZTNA远程访问方案。该方案支持基于远程用户身份、终端设备的状态、访问时间等维度对访问流量进行管控，通过细粒度控制策略使之只能访问特定的授权应用，并持续监控终端状态变化，灵活调整用户可访问的授权应用范围。

ZTNA远程访问方案的用户登录流程如下：

1.ZTNA用户在客户端输入服务器地址、端口、认证方式（用户名/密码、用户名/密码+数字证书、仅数字证书和第三方应用登录）等，请求验证。如果配置了二次认证，则需要完成二次认证。

2.认证通过后，设备端向客户端下发终端信息收集的命令，为客户端分配私网IP，设备端和客户端建立安全隧道。

3.客户端执行命令，收集主机信息，例如操作系统版本、是否安装防火墙、防病毒软件、IE浏览器安全级别、是否运行某些进程等等，并上报给设备端。

4.设备端解析主机信息，获取终端标签，将用户名和终端标签发送给认证模块，请求创建认证用户。

5.认证模块创建认证用户，关联终端标签，获取用户组信息。

6.设备端根据用户名、用户组和终端标签等信息匹配ZTNA策略，确定允许客户端访问的应用资源列表。

7.ZTNA客户端弹出Portal页面，展示用户有权限和无权限访问的应用资源，并展示应用资源名称和URL地址。

二、内网接入

传统的网络安全观念认为企业内网一般是安全的，安全威胁主要来自外界。但是，许多重大安全威胁往往发生在内网中，例如内网员工在上网过程中可能无意间下载恶意软件，给整个内网带来严重安全风险。此外，内网中的非法接入和非授权访问，可能导致业务受损和信息泄露。针对该问题，Hillstone提供ZTNA内网接入方案。该方案支持基于内网用户身份、终端设备的状态、访问时间等维度对访问流量进行管控，通过细粒度控制策略使之只能访问特定的授权应用，并持续监控终端状态变化，灵活调整用户可访问的授权应用范围。

与远程访问方案相比，ZTNA内网接入方案中设备不用进行流量的加密和解密，因此无需建立隧道。ZTNA内网接入方案的用户登录流程如下：

1.ZTNA用户在客户端输入服务器地址、端口、认证方式（用户名/密码、用户名/密码+数字证书、仅数字证书和第三方应用登录）等，请求验证。如果配置了二次认证，则需要完成二次认证。

2.认证通过后，设备端向客户端下发终端信息收集的命令。

3.客户端执行命令，收集主机信息，例如操作系统版本、是否安装防火墙、防病毒软件、IE浏览器安全级别、是否运行某些进程等等，并上报给设备端。

4.设备端解析主机信息，获取终端标签，将用户名和终端标签发送给认证模块，请求创建认证用户。

5.认证模块创建认证用户，关联终端标签，获取用户组信息。

6.设备端根据用户名、用户组和终端标签等信息匹配ZTNA策略，确定允许客户端访问的应用资源列表。

7.ZTNA客户端弹出Portal页面，展示用户有权限和无权限访问的应用资源，并展示应用资源名称和URL地址。

--End--