- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
29-可信访问控制配置
本章节下载: 29-可信访问控制配置 (156.95 KB)
CSAP可信访问控制功能是指设备通过与CSAP可信访问控制器(即安全威胁发现及运维管理平台)联动,获取CSAP可信访问控制器对用户风险状况和资产风险状况的评估信息。当用户访问指定资产时,设备结合配置的可信访问策略,根据用户和资产的风险状况,执行相应的访问动作。
在零信任场景中,通过配置本特性可对用户访问资产的权限进行集中控制。
CSAP可信访问控制器即安全威胁发现及运维管理平台,设备通过与CSAP可信访问控制器联动,获取CSAP可信访问控制器对用户风险状况和资产风险状况的评估信息,然后结合用户配置的可信访问策略,控制用户对特定资产的访问权限。
(1) 进入系统视图。
system-view
(2) 进入CSAP可信访问控制器视图。
trusted-access controller csap
(3) 配置提供可信访问控制服务的对端服务URL。
peer-service url service-url
缺省情况下,未配置提供可信访问控制服务的对端服务URL。
(4) (可选)指定设备与可信访问控制器之间建立SSL连接时所使用的SSL客户端策略。
ssl-client-policy policy-name
缺省情况下,未指定设备与可信访问控制器之间建立SSL连接时所使用的SSL客户端策略。
若配置对端服务URL的协议类型为HTTPS,则必需配置本命令。
(5) (可选)配置可信访问控制器所属的VPN实例。
vpn-instance vpn-instance-name
缺省情况下,可信访问控制器属于公网。
CSAP可信访问策略用来跟据用户和用户访问资产的风险状况,定义用户对资产的访问权限。
通过配置可信访问规则,可以指定不同风险等级的用户对不同风险等级资产的访问动作。
设备预定义了16条可信访问规则,仅支持对规则进行修改,不支持创建和删除规则。
(1) 进入系统视图。
system-view
(2) 进入CSAP可信访问策略视图。
trusted-access policy csap
(3) 配置可信访问规则。
rule user-risk-level { fallen | high-risk | low-risk | trust } asset-risk-level { fallen | high-risk | low-risk | trust } action { allow | deny }
缺省情况下,用户访问资产的可信访问规则如表1-1所示。
|
用户风险等级 |
资产风险等级 |
动作 |
|
已失陷 |
已失陷 |
拒绝 |
|
已失陷 |
高危 |
拒绝 |
|
已失陷 |
低危 |
拒绝 |
|
已失陷 |
信任 |
拒绝 |
|
高危 |
已失陷 |
拒绝 |
|
高危 |
高危 |
拒绝 |
|
高危 |
低危 |
拒绝 |
|
高危 |
信任 |
拒绝 |
|
低危 |
已失陷 |
拒绝 |
|
低危 |
高危 |
拒绝 |
|
低危 |
低危 |
允许 |
|
低危 |
信任 |
允许 |
|
信任 |
已失陷 |
拒绝 |
|
信任 |
高危 |
拒绝 |
|
信任 |
低危 |
允许 |
|
信任 |
信任 |
允许 |
(4) 启用CSAP可信访问策略。
service enable
缺省情况下,CSAP可信访问策略处于禁用状态。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
