按照如下步骤创建您团队的“飞网”。
企业管理员使用手册
1 准备工作
用户在使用飞网前需要先规划好接入飞网的团队网络、用户、设备。飞网将企业已有网络(含远程接入)的所有设备划分为一个或多个团队网络;每个团队网络,由不同的成员、成员管理的设备、设备间的访问控制策略组成;不同的团队网络间人员可能存在交叉,但同一时刻同一设备只能归属于某一个团队网络。团队网络、用户与设备三者之间的关系,如图3所示。
2.1 团队网络规划
一个企业中,可规划多个团队网络,团队网络是逻辑隔离的网络区域,团队网络之间不能直接访问。一个用户可创建多个团队网络,也可以加入多个团队网络。初期您可以只创建一个团队网络,并在后期按需增加。
在团队网络内部,您可以进一步配置微隔离的访问控制策略。我们不建议在不划分多个团队网络的情况下,通过微隔离策略实现多个团队网络的效果。
(选读)考虑到企业对网络隔离的需求,您可能需要规划多个团队网络,以下为多个团队网络规划的案例,供您参考。
1. 企业已经存在业务网、办公网等多张互相隔离的网络,使用飞网后可将原先的业务网、办公网等多张网络各自划分为一个团队网络。
2. 企业已经存在事实上互不通信的区域,如企业中部门间没有互联互通的需求,使用飞网后可以按照部门划分团队网络。
3. 根据风险可控的原则,将服务器和服务器的运维人员设备单独规划为一个团队网络,将边界服务器和系统用户规划为另一个团队网络。
4. 将团队网络升级为可信网络,获得增强的安全性能。
2.2 规划入网设备
各类设备需要安装飞网终端程序后接入飞网,或者通过各类网关快速扩展飞网的网络边界(如子网网关可以直接将一个网段或多个网段接入飞网)。飞网技术人员将协助您一起规划设备入网过程,以及各个阶段性目标。
总体来说,应分为如下几个阶段:
小范围试用阶段,完成您对飞网产品的功能验证;
两网并行阶段,借助网关功能和已经上线飞网的各个应用系统,用户可自行选择通过飞网线上访问业务系统或通过飞网线下访问业务系统;
全面上线阶段,按照既定目标已完成所有预定服务器和终端的飞网线上访问,并限制飞网线下访问;
微隔离策略阶段,逐步收紧访问控制策略,实现设备间访问的最小权限。
我们以使用飞网进行VPN替代为例,介绍入网设备的规划:仅在互联网侧设备中部署飞网终端程序以代替VPN访问,并在DMZ区部署飞网子网网关,并在飞网控制面板中配置访问控制策略。实现互联网侧终端的实名认证、准入控制、接入审计,对于未经批准的互联网侧终端程序需经管理员批准后方可接入。
2.2.1 入网服务器选择
我们可以将单个服务器或者服务器所在的网段加入飞网,如果为单个服务器,则在该服务器中安装并登录飞网终端即可。若需要将服务器所在的网段加入飞网,可以在该网段中新建或使用该网段已有的节点安装并登录飞网终端,并开启子网网关的功能。
(选读)如果您有远程访问内网资源的需求,我们建议优先选择具有远程访问需求的业务系统所在的服务器或者服务器网段,优先加入飞网。
注意:
- 您可能需要调整服务器监听网络的配置,一般来说,服务器监听网络的配置为监听所有网络/卡,此时无需调整。否则需要在服务器监听网络的配置中增加飞网网络的绑定,具体可参考附录B章节。
- 飞网中的业务系统同时支持在容器中启动、以SDK的形式启动,本节不再详细说明。
边界服务器是指业务系统直接暴露在用户侧的服务器,通常为Nginx服务器或各种Web服务器等,当用户访问业务系统时,最先访问到这些服务器。我们在规划入网设备时,可优先完成边界服务器的管控任务。此时应进一步压缩子网网关代理范围,并将边界服务器的服务接口绑定在飞网的网卡中(开始时可同时绑定在物理网卡和飞网网卡上,稳定运行后续陆续将物理网卡的绑定撤出)。运行在飞网中的服务程序具有隐身效果,且服务器与终端间的通讯完全加密。
除边界服务器外,终端设备无法直接与其他服务器建立直接连接,这类服务器可以通过访问控制策略,完全限制终端设备的访问,或者可以考虑加入一个新的团队网络,彻底阻断与终端的访问连接。
所有服务器及其运维终端应制定专门的访问控制策略,并限制其SSH和远程桌面的使用,该功能可以代替堡垒机(需同时部署飞网SSH录屏系统)。
2.2.2 入网终端选择
终端设备作为访问业务系统的发起方,同样需要加入飞网,以保证通信安全。终端设备需要安装飞网终端程序,该程序支持大部分常见的操作系统,如Windows、Linux、统信、麒麟、Android等。
在所有可以访问飞网控制中心的网络位置中,飞网可以通过多种技术手段确保终端设备与服务器的连接,这些位置的终端设备都可以考虑加入到飞网中。例如您可以在出差或者居家办公时,通过您的终端设备(已加入飞网)访问处于公司内网的服务器中的业务系统(已加入飞网)。
2.2.3 选择出口网关(选读)
部署在飞网中的终端设备可以通过统一的出口访问飞网的外部资源,此时统一的出口为安装飞网终端程序并开启“出口网关”功能的特殊节点。例如:飞网网络内的设备需要通过出口网关访问互联网时,需要在飞网中选择一台作为出口网关的节点,该节点可以为飞网中的已有节点或者新增节点,同时开启出口网关的功能,且能访问互联网。
通常我们在出口网关的节点上安装SWG(安全Web网关)、邮件过滤等安全应用,从而避免外部风险。
2.2.4 选择入口网关(选读)
对于需要直接暴露在飞网外部的应用系统(如企业的官方网站,互联网邮箱),可以选择使用飞网官方的“入口网关”,外部用户的访问请求通过入口网关进入您的团队网络。入口网关仅支持TLS协议的应用,并根据TLS协议中的SNI字段进行数据转发,该过程全程加密,您无需担心敏感信息泄露。
2.2.5 设备选择时的注意事项
- 在操作系统中启动飞网终端程序默认需要管理员权限,否则您需要参考用户网络空间的启动方案。
- 加入飞网的终端设备应有明确的设备责任人,建议使用设备责任人的账号登录飞网终端程序。
- 服务器加入飞网时,可以使用设备责任人账号登录飞网,或者使用密钥登录的方式。
2.3 防火墙策略调整
一般来说,企业不会对外出的流量进行限制,但如果需要对访问飞网进行限制,您需要调整防火墙策略。为了连接部署在远程的飞网控制中心,您需要在边界防火墙放行如下访问:
目的地址 | 目的端口 | 协议类型 | 备注 |
---|---|---|---|
connector.gmzta.com | 44390 | TCP | 飞网身份连接器 |
auth.gmzta.com | 44300 | TCP | 飞网控制中心 |
iam.gmzta.com | 44390 | TCP | 飞网身份认证服务 |
nac.gmzta.com | 44390 | TCP | 飞网控制面板 |
api.gmzta.com | 44390 | TCP | 飞网应用接口服务 |
log.gmzta.com | 44390 | TCP | 飞网控制日志服务器 |
icehb.gmzta.com icebj.gmzta.com | 44380 | TCP | 飞网交互式连接控制 |
- | 44381 | TCP | 飞网交互式连接升级协议 |
- | 43478 | UDP | 飞网网络分析子系统 |
- | - | ICMP | 飞网终端连通性测试 |
2.4 人员规划
企业用户需要为每一个团队网络进行人员规划。
2.4.1 管理员规划
每个团队网络中至少应规划一名管理员角色,管理员可以在飞网的控制面板中执行所有操作,包括创建团队网络,查看设备和用户,配置访问控制策略等。飞网内置的其他角色包括:网络管理员、IT资产管理员、审计员和普通用户。
2.4.2 普通用户规划
您至少还需要规划团队网络中的普通用户(即每台入网设备的责任人)。
2.4.3 系统的内置角色(选读)
普通用户被管理员邀请加入团队网络后,管理员可以修改普通用户的角色,系统内置的角色以及各个角色对应的权限如下表所示:
角色 | 权限 |
---|---|
所有者(特殊的管理员) | 可以查看管理控制面板,管理网络、计算机和用户设置,创建与注销团队网络。 |
管理员 | 可以查看管理控制面板,管理网络、计算机和用户设置。 |
网络管理员 | 可以查看管理控制面板并管理ACL和网络设置,无法管理计算机或用户。 |
IT管理员 | 可以查看管理控制面板并管理计算机和用户,无法管理ACL或网络设置。 |
审计员 | 可以查看管理控制面板。 |
普通用户 | 无法查看管理控制面板。 |
2.5 了解网络访问控制策略
每个用户登录飞网控制面板后有自己唯一的用户标识,用户标识可使用中文字符(如员工姓名),支持自定义编辑或仅管理员编辑。为了方便配置和查看访问控制策略,我们建议您将其修改为员工的真实姓名。
飞网管理员在使用飞网前建议了解并提前规划网络访问控制策略(Network Acess Control Policy,NACP,以下简称NACP),NACP用于控制飞网内部节点间的访问关系。飞网支持配置微隔离策略,飞网中每个节点建议配置为其最小权限。飞网使用前期可以使用飞网的默认策略(基于快速上手的原因,团队网络默认允许所有入网设备之间可以互相访问),后期再调整该策略,该策略可以精确到设备端口级。后续您可参考“4.4.2修改访问控制策略”进行配置。
举例如下:现有server1与server2两个应用系统节点,a、b两个用户组,访问控制策略需求为:a用户组能访问server1系统节点,a、b两个用户组能访问server2系统节点。
用户组 | 包含的用户 | 包含的设备 | 允许访问的系统 |
---|---|---|---|
a | 张三@networkname 李四@networkname | zhangsan-PC-1、lisi-PC-1、lisi-PC-2 | server1:443,server2:443 |
b | 王五@networkname | wangwu-PC-1、wangwu-PC-2 | server2:443 |
3 使用飞网
3.1 操作流程图
企业用户的操作流程:
每个账户注册成功后,默认为该账号创建一个个人网络,直至该账号加入团队网络后,个人网络自动注销。您可以将多个设备加入您的个人网络,并试用飞网的各项功能。个人网络用户的操作流程如下:3.2 登录飞网控制面板
3.2.1 选择登录飞网控制面板的方式
用户可以选择使用飞网IAM(飞网身份和访问管理系统)登录或者使用第三方扩展登录(微信、支付宝等)。
登录飞网控制面板的地址:https://connector.gmzta.com:44390/auth?
3.2.2 使用飞网IAM登录飞网控制面板
飞网IAM是飞网内置的身份认证和访问管理系统。
为了方便管理以及配置访问控制策略,建议对企业员工的用户名进行限制。如果某个企业员工只需加入一个团队网络,或者所要加入的团队网络为企业的默认网络,我们建议该用户使用姓名的拼音注册飞网账号;如果该员工需要加入多个团队网络,我们建议使用姓名的拼音+团队网络名称的形式注册飞网账号。如果是同名用户,建议在拼音后面增加数字作为区别。
注:使用姓名的拼音作为账户名,增加了暴力破解的风险,同时如果用户在多个系统使用相同密码时增加了密码泄露的风险(该风险与邮件系统类似,企业一般要求员工使用姓名的拼音作为邮件地址),飞网控制中心可以识别并阻断暴力破解,但仍建议每个账户开启多因素身份认证功能。
飞网账号注册地址:https://iam.gmzta.com:44390/master/Home/Profile#Account/Register
用户使用注册成功的飞网账号登录飞网控制面板。
同一个账号可登录该账号所有者管理的所有设备;同一个设备,通过不同的飞网账号可以进入不同的团队网络。不建议在同一个设备中使用不同设备责任人的账号登录。
用户可以使用扩展登录的方式访问飞网控制系统,飞网目前仅支持微信扫码的方式进行扩展登录。使用微信扫码的方式登录飞网可有一次修改用户名的机会。
对于服务器设备,也可以使用管理员申请的Auth密钥代替账号进行登录。
飞网控制面板地址:https://nac.gmzta.com:44390/
3.2.3 使用第三方扩展登录
用户可以使用其他第三方扩展登录扫码授权直接登录进入飞网控制面板,注意:此处的使用微信登录与使用飞网IAM的微信登录不同,此处的使用微信登录是直接将微信授权于飞网的访问控制管理系统,上述中飞网IAM的微信登录是将微信授权于飞网的身份认证和系统。
3.2.4 选择加入的网络
用户初次登录控制面板时,只有个人网络可选。待加入团队网络之后才可选择团队网络。
3.2.5 绑定用户信息
用户初次登录飞网控制面板,需要先绑定个人信息。用户标识由英文字母和数字组成,是该网络空间的唯一识别信息。建议使用“姓名拼音”,或者常用的“用户名”作为用户标识。并进行手机号和电子邮箱验证。取消验证或验证未通过将导致当前账号无法登录飞网客户端和加入团队网络。
3.3 开启多因素身份验证(选读)
我们强烈建议您在登录飞网控制面板后开启多因素身份验证MFA,多因素身份验证要求用户在登录飞网时提供多个不同类型的身份验证因素,为账号提供了更高级别的安全性。开启多因素身份验证的步骤如下:
- 在飞网用户中心页面的右上角>点击“设置”>点击“多因素身份验证”。
- 用户可以选择“添加身份验证器应用”与“设置FIDO2密钥”其中的一种应用进行开启。
1) 如果选择“添加身份验证器应用”可按以下步骤操作。
2) 若选择“设置Fido2密钥”,选择“新增FIDO密钥”。
- 开启之后生成的恢复码请妥善保存,恢复码用于无法进行多因素身份认证时的应急登录。
3.4 管理员创建团队网络
在人员规划时,规划为某个团队网络管理员的用户,负责创建该团队网络,步骤如下:
- 管理员成功登录飞网控制面板后进入“用户网络”页面,在该页面的右上方点击“创建网络”,在弹出的对话框中点击“申请邀请码”。
- 管理员输入相关信息,然后点击“提交申请”,后台人工审核后,我们会以手机短信或电子邮件的方式为您发送邀请码。
- 管理员收到“邀请码”后,在“创建团队网络”的对话框中输入自定义的“团队网络名称”和飞网提供的“邀请码”,然后点击“创建”。
注:团队网络名称建议使用公司邮箱的域名(如:公司邮箱为zhangsan@abc.com,则团队网络名称建议为abc,该名称不能为QQ、163等公共邮箱)。使用邮箱域名可以方便后续开启“团队成员自动加入团队网络”的功能,企业员工使用经验证过的邮箱地址可以自动加入该团队网络。
- 每个管理员最多可创建四个团队网络,用户可通过在控制面板页面,点击用户头像,切换不同的网络。管理员每次创建团队网络时,需切换为个人网络然后重复步骤3即可,邀请码可供您多次使用。
3.5 管理员编辑网络访问控制策略NACP
管理员和网络管理员需要在控制面板中,编辑NACP。您可以现在或者以后随时编辑和调整您的NACP(强烈建议您在刚接触飞网时,优先使用默认的NACP,该策略允许任意节点间互相访问)。
注:控制面板中的NACP,仅包含允许的策略,其余均被禁止。
飞网NACP中配置的每一条规则,都会被转化为一条条的微隔离策略并动态下发。
假设有一个100人的团队X,每个人有2台在线设备,每台在线设备可以访问5个办公系统,而且我们需要为每个访问(源地址和目的地址)下发2条微隔离策略,此时:网络访问控制策略NACP为:
源: 团队X;目的: 办公系统;端口: 443;策略: 允许
此时该条网络访问控制策略会转换为100x2x5x2=2000条微隔离策略,并分别下发至所有的源地址和目的地址,即:
1条网络访问控制策略NACP=2000条微隔离策略
3.6 管理员开启统一域名解析功能(选读)
为了方便通过飞网访问公司内部资源,建议管理员开启“统一域名解析(UniDNS)”(该功能可与自动下发TLS证书功能配合使用),开启后飞网控制中心自动为每台飞网终端自动配置域名,以及域名搜索域。飞网的各个节点可以通过设备完整域名或者设备名互相访问。
管理员在控制面板中,“DNS设置”>“统一域名解析”,点击“统一域名解析”左面的开关即可开启该功能。
3.7 管理员邀请普通用户加入团队网络
可邀请普通用户加入团队网络的角色包括管理员、IT管理员。
1. 管理员登录飞网控制面板后,选择相应的团队网络,进入“用户网络”页面,点击右上角的“邀请成员”按钮会出现“邀请链接”对话框。
2. 在“邀请链接”对话框中的输入框内输入被邀请用户的飞网用户名并按下回车键,邀请多人请重复第2步操作,每次邀请上限为8人。
3. 完成以上操作后,点击“生成邀请链接”按钮。
4. 生成成功后会显示二维码和邀请链接。
5. 将邀请链接发送给被邀请的普通用户。
3.8 用户下载安装飞网终端
1. 飞网终端程序下载地址https://www.gmzta.com/download/fwclient.html使用飞网通信的设备需要下载安装飞网终端,管理员有访问需求也可以下载安装飞网终端。
2. 以windows为例,安装过程如下:
其他操作系统安装飞网终端的过程可参考:
https://www.gmzta.com/download/fwclient.html
3.9 用户登录飞网终端
下载安装之后需要运行并登录飞网终端程序,下面以windows为例。
1. 在桌面上双击飞网图标
2. 用户可以在系统桌面右下方托盘处右击飞网图标,点击“登录飞网”。或者通过命令行的方式登录飞网,登录的命令为“gmzta login”。注意:Windows中,执行“gmzta login”需要同时运行飞网终端程序,其他操作系统无此要求。
3. 在弹出的飞网控制面板上选择登录方式,登录,选择要连接的网络,连接设备。
至此,您已经完成飞网终端程序的登录动作,管理员为当前设备配置的访问控制策略将实时、动态地下发至该设备。
其他操作系统登录使用飞网终端程序可查看:https://www.gmzta.com/download/fwclient.html
3.10 简单的网络测试
现在,您的设备已经加入飞网,您可以借助允许访问的两台设备,来进行简单的网络测试。注:查看飞网IP可参考附录A.1章节,查看飞网域名可参考附录A.2章节。
3.10.1 使用ping命令测试
加入飞网的每个设备都将获得一个100.64.0.0/10网段的IPV4地址(100.64.0.0到100.127.255.255区间,IPV6为fd7a:115c:a1e0::/48),允许访问的设备间可以使用Ping命令测试网络联通性。您可以使用ping 100.x.x.x(飞网IP)或ping xxx(飞网域名/设备名,需开启统一域名解析的功能)的方式验证飞网的连接,如下图所示。其中,设备的完整域名为“ceshishebei.aila.gmzta.net”,该格式为“设备名.团队名.gmzta.net”。
飞网将自动添加“团队名.gmzta.net”为自动搜索域,所有您可以直接“ping 设备名”。
3.10.2 访问web示例应用
您可以部署一个简单的web应用来测试飞网的连接,本文使用HFS模拟被访问的网站系统。HFS为绿色软件,下载地址为 https://www.rejetto.com/hfs/?f=dl
在飞网的节点A中,双击打开“hfs.exe”,设置HFS监听飞网IP(格式为100.x.x.x),无需其他配置。
在允许访问节点A的8080端口的另一台设备中,访问该HFS应用,使用http://100.x.x.x:xx:8080(节点A的飞网IP地址+端口),
或http://xxx:8080(节点A在飞网中的域名+端口,开启统一域名解析的功能后才能使用域名访问),看到以下界面表示成功通过飞网访问该服务
4 配置案例
4.1 通过飞网访问快测系统
在部署快测的操作系统上下载安装飞网终端,使用设备责任人的飞网账号登录飞网终端。该操作系统的IIS管理器的配置:参考该文的附录B.1章节。
绑定飞网网络之后,在飞网的同一个网络的其他设备可通过快测系统的飞网IP或飞网域名进行访问。在过渡期间,您可以我们将快测系统绑定所有网络,后期可以只绑定飞网(即只能通过飞网访问快测系统)。
4.2 通过飞网访问公司内网资源
对于某些无法部署飞网终端的设备或网段,或者在使用飞网初期,通过在“相同网段且安装飞网终端的设备”上开启“子网网关”的功能可将该设备或网段快速接入飞网。注:子网中的设备无法主动访问飞网内部资源。
以公司中的某些内网资源为例,如果这些资源中可以安装飞网终端,则可以像“访问快测系统”那样访问这些内网资源;如果这些资源暂时无法安装飞网终端程序,可在该网段中某台安装飞网终端的设备中开启“子网网关”的功能。
假设在互联网中的B设备需要通过开启“子网网关”功能的A设备访问与A设备在同一网络的资源C,其操作步骤如下所示:
4.2.1 在A设备中开启子网网关
在确定开启子网网关的设备A(开启子网网关的设备可以为windows系统或者Linux系统),以及子网网段后,在A设备命令行中执行如下命令:
// windows中
gmzta on --subnetnode=192.168.1.0/24,10.10.8.0/24
//将上面示例中的子网替换为自己的网段,可以是IPV4或者IPV6。
//Linux中,需要先启用IP转发
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf
//开启子网网关的功能,将局域网所在内网网段暴露给飞网
sudo gmzta on --subnetnode=192.168.1.0/24,10.10.8.0/24
//将上面示例中的子网替换为自己的网段,可以是IPV4或者IPV6。
4.2.2 管理员通过控制面板授权
上述命令执行完后,需要管理员批准该子网网关的功能,方可生效。管理员在控制面板中打开“设备详情”,找到设备A,点击“编辑”。
在“子网网关”位置将允许的网段打开开关,点击“保存”。
4.2.3 管理员设置子网访问控制策略(选读)
如果使用默认“全部允许”的访问控制规则,则不再需要执行本步骤。否则,您可以进一步配置针对子网的访问控制策略。详细配置可访问飞网官网https://www.gmzta.com查看。
4.2.4 允许B设备使用子网网关
在需要访问子网的B设备上,您需要该设备“允许使用子网网关”功能。该功能在Windows、macOS和 Android 上默认允许。
在Linux中,您需要手动开启,通过--subnet命令启用此功能。 sudo gmzta on --subnet=true
此时,B设备可通过开启子网网关的A设备访问“192.168.1.0/24","10.10.8.0/24"这两个网段里的资源C。
4.3 通过飞网进行远程连接
零信任“永不信任、持续验证、最小权限”的理念,需要我们在任何的访问之前提供明确的身份认证信息,并将可以访问的资源限定在最小的范围内。在飞网中,所有的通信过程都在明确身份的条件下进行的,飞网的访问控制策略可以实现最小权限的要求,所以我们建议您将所有的通信限制在飞网中。
以远程连接为例,我们使用SSH或MSTSC远程连接Linux或Windows服务器。过去我们通过堡垒机的方式进行身份鉴别,访问控制以及安全审计,但堡垒机作为连接中转的设备,本身赋予了过大的权力,不符合最小权限的要求,由于堡垒机自身的漏洞带来的安全风险,也是我们不能承受的。本节将为您介绍如何在飞网中安全地远程连接。
4.3.1 远程连接Linux服务器
常见的SSH认证方式为密码认证和密钥认证,密码认证方式比较简单,且每次登录都需要输入用户名和密码,密钥认证可以实现安全性更高的免密登录。在飞网中,使用SSH连接将是一种全新的体验。飞网将密钥认证和身份认证进行统一,并且可以通过访问控制策略进一步限定SSH的访问,具体包括:
可以连接和使用SSH功能的用户或设备;
SSH时是否需要额外的一次身份认证;
SSH时额外身份认证的时间间隔;
SSH时是否可以Root身份登录;
SSH时可以使用的用户名;
是否开启SSH录屏功能并可以自定义录屏设备;
另外,使用飞网SSH时,无需安装SSH服务端,无需开启22端口。使用录屏功能时,需要单独部署录屏服务端。
下面是配置使用gmzta ssh的示例:
有两台加入同一个团队网络的A设备与B设备(Linux),A设备通过gmzta ssh的方式连接到B设备。
1. 在被连接的B设备上运行命令 sudo gmzta on -–ssh
2. 在访问控制策略上需添加以下规则以允许gmzta ssh连接。
"Ssh": [
{
"Action": "check",
"Src": [
"autogroup:members"
],
"Dst": [
"autogroup:self"
],
"Users": [
"autogroup:nonroot"
]
}
],
SSH规则说明: 允许用户通过SSH访问本人名下的设备禁止Root账户,但允许使用其他账户登录。
3. 在A设备上,您需要使用命令gmzta ssh 用户名@<被连接设备的飞网IP|域名>(使用域名需开启统一域名解析的功能)连接到指定设备的指定用户。
4.3.2 远程连接Windows服务器
使用Windows远程桌面连接时,只需在防火墙策略中限定使用飞网的地址访问即可。飞网本身已经完成了身份认证,并且可以限定只能通过飞网连接Windows远程桌面,具体配置过程如下图所示。
4.4 网络访问控制策略NACP示例
网络访问控制策略NACP用于控制飞网内部节点间的访问关系。本节以示例的方式简单介绍访问该策略的内容。
4.4.1 默认的网络访问控制策略NACP
默认的NACP允许加入飞网的所有设备之间互相访问。
{
"Acls": [
{
"Action": "accept",
"Src": [
"*"
],
"Dst": [
"*:*"
]
}
],
"DisableIPv4": false,
"RandomizeClientPort": false
}
4.4.2 修改网络访问控制策略NACP
示例:“网络中存在server1与server2两个应用系统,a、b两个用户组,NACP策略为a用户组能访问server1系统,a、b两个用户组能访问server2系统”,其对应的NACP应配置为(“zhangsan@example”中zhangsan为用户名,example为团队网络名称):
{
"groups": {
"group:a": ["zhangsan@example"," lisi@example"],
"group:b": ["wangwu@example"]
},
"hosts": {
"server1": "100.1.2.3",
"server2": "100.2.3.4"
},
"Acls": [
{
"Action": "accept",
"Src": ["group:a"],
"Dst": ["server1:443"]
},
{
"Action": "accept",
"Src": ["group:a","group:b"],
"Dst": ["server2:443"]
}
],
"DisableIPv4": false,
"RandomizeClientPort": false
}
了解更详细的访问控制策略,您可以访问https://www.gmzta.com/acl/format.html
4.5 申请指定飞网域名的服务器证书
应用系统部署时,通常需要指定服务器域名对应的服务器证书。在飞网中,每个设备都有各自的域名,每个设备都可以通过命令行一键申请该域名的服务器证书。本节将介绍如何开启证书功能并申请服务器证书。
4.5.1 生成飞网域名证书
1. 前提条件:管理员已经开启统一域名解析功能。
2. 管理员用户需要在控制面板中的“DNS设置”页面>点击“开启HTTPS证书”。
3. 飞网中各个节点的用户,可以在命令行中输入:gmzta cert <设备完整域名>
(查看设备完整域名的方式可参考附录A.2章节),则该域名证书将自动下载到对应目录中。
4. Windows中,生成的证书与私钥的默认存放位置为C:\ProgramData\Gmzta\certs;Linux中,该路径为:/var/lib/gmzta/certs
4.5.2 生成pfx证书文件
1. 部分场景需要使用pfx格式的域名证书,推荐使用openssl命令生成:
openssl pkcs12 -export -out <pfx证书名称> -inkey <密钥文件名.key> -in <证书文件名.crt>
使用以上命令可将crt与key文件合并为pfx文件,具体如下图所示:
2. 或者您可以在线生成pfx文件:https://www.myssl.cn/tools/merge-pfx-cert.html 3. Windows中,您可以双击打开并安装pfx文件。附录A 查看设备飞网的相关信息
A.1 查看设备飞网IP的方式
以Windows为例,可以右击桌面右下角托盘处的飞网图标,点击“设备地址”即可复制飞网IP,也可通过命令提示符 gmzta ip命令查看。
A.2 查看设备飞网域名的方式
管理员可在控制面板处,打开“设备详细”页面,双击某台设备所在列表即可显示设备的详细信息,如下图所示 “设备域名”处的信息为该设备的完整域名。其格式为“设备名称.团队名称.gmzta.net”。
当管理员开启“统一域名解析的功能”后,飞网会自动为所有设备添加一个特定的DNS搜索域,此时用户可以使用设备名称代替完整域名。您可以使用命令gmzta info查看设备名称,如下图所示,其中第一列为入网设备的飞网IP,第二列为设备名称,第三列为飞网用户名,第四列为操作系统类型。
附录B 服务绑定飞网网络
某服务需要通过飞网访问,需要将该服务增加飞网网络的绑定,大多数情况服务都会监听所有的网络,无需更改配置,但如果服务只绑定某个特定网络的情况下,就需要增加飞网网络的绑定,以下是几种常见服务绑定飞网网络的方式。
B.1 IIS绑定飞网网络
1 在”开始”界面找到服务器管理器。
2 点击“工具”,打开“Internet Information Services (lIS)管理器”选项。
3 如下图所示依次找到网站>DJBH,在右面找到“绑定”按钮。
4 *如果显示IP地址为 (如下左图所示,即“全部未分配”),表示IIS服务绑定所有网络,此时不需要更改配置。**如果IP地址显示其他网络地址(如下右图所示),就需要增加飞网网络的绑定。
5 绑定飞网网络:点击“添加”,类型为“https”,在IP地址的下拉列表中将100.x.x.x的地址(设备飞网IP)加入,选择端口为“443”,选择相应的证书(申请指定飞网域名的服务器证书可参考该文的4.5章节),最后点击确定。
B.2 Tomcat绑定飞网网卡
Tomcat默认绑定所有网卡,如需只绑定飞网的网卡,需要修改tomcat目录下的server.xml配置文件。
在server.xml的配置文件找到以下位置,将“localhost”改为该操作系统的飞网IP地址。
B.3 Nginx绑定飞网网卡
Nginx Web服务配置默认为localhost指代可以通过所有本地ip访问, 如果只想通过飞网网卡访问,需要修改其配置文件。
“vi /etc/nginx/nginx.conf” 将server_name的地址修改为飞网网卡的地址。
附录C SSH密钥认证过程
C.1 SSH使用场景
传统的互联网通信使用明文传输数据,内容一旦被截获就会完全暴露,存在很多安全隐患。SSH协议通过对网络数据进行加密和验证,建立SSH客户端和SSH服务器之间的安全隧道,在不安全的网络环境中为网络服务提供了安全的传输通道。
SSH最常用的场景是远程登录和文件传输。在SSH协议出现之前,Telnet广泛应用于远程登录场景,为远程管理网络设备提供了极大便利,而FTP作为常用的文件传输协议,兼具操作简单和传输效率高的优点,但它们都存在相同的问题,即明文传输数据带来的安全隐患。SSH采用加密传输数据、提升认证强度等手段,克服了Telnet和FTP应用中的安全性问题,实现了安全的远程登录和文件传输业务。
C.2 SSH工作流程
C.3 密钥交换
C.4 用户认证
SSH客户端向SSH服务器发起认证请求,SSH服务器对SSH客户端进行认证。SSH支持以下几种认证方式:
密码(password)认证:客户端通过用户名和密码的方式进行认证,将加密后的用户名和密码发送给服务器, 服务器解密后与本地保存的用户名和密码进行对比,并向客户端返回认证成功或失败的消息。
密钥(publickey)认证:客户端通过用户名,公钥以及公钥算法等信息来与服务器进行认证。
password-publickey认证:指用户需要同时满足密码认证和密钥认证才能登录。
all认证:只要满足密码认证和密钥认证其中一种即可。
SSH用户认证最基本的两种方式是密码认证和密钥认证。密码认证方式比较简单,且每次登录都需要输入用户名和密码。 而密钥认证可以实现安全性更高的免密登录,是一种广泛使用且推荐的登录方式。
飞网SSH将设备公钥与SSH认证公钥结合,其认证过程在标准的SSH密钥认证过程之后,增加身份认证的环节。