Bereitstellung eines On-Premises-Gateways für Internetzugang

Prozedur

1. Navigieren Sie in der Trend Vision One Konsole zu Zero Trust Secure Access → Secure Access Configuration → Internet Access and AI Service Access Configuration.
2. Klicken Sie auf der Registerkarte Gateways auf Deploy New On-Premises Gateway.
3. Richten Sie ein Internetzugangs-On-Premises-Gateway ein, indem Sie auf Go to Service Gateway Inventory klicken.

   Wichtig Nur Service Gateway 2.0 und später unterstützen den Zero Trust Internet Access On-Premises Gateway-Dienst.

   1. Wählen Sie ein bestehendes Service-Gateway aus, das Ihren Unternehmensstandort identifiziert, oder stellen Sie ein neues virtuelles Service-Gateway-Appliance für den Zero Trust Internet Access On-Premises Gateway-Dienst bereit.

      Wichtig Deaktiviert Cloud Service Extension auf dem Service-Gateway, wenn Sie den Internet Access On-Premises Gateway-Dienst verwenden. Die Cloud-Diensterweiterung könnte den normalen Betrieb des On-Premises-Gateways beeinträchtigen. Weitere Informationen finden Sie unter Service-Gateway-Einstellungen konfigurieren.

   2. Installieren und aktivieren Sie den Zero Trust Internet Access On-Premises Gateway-Dienst. Weitere Informationen finden Sie unter Dienste im Service-Gateway verwalten.
4. Nach Abschluss der Bereitstellung überprüfen Sie den Servicestatus und andere Informationen zum lokalen Gateway unter On-Premises Gateways in Internet Access and AI Service Access Configuration.
5. Konfigurieren Sie die Einstellungen für das lokale Gateway, indem Sie auf das Bearbeitungssymbol () klicken.
   • Konfigurieren Sie grundlegende Einstellungen wie den Namen des Unternehmensstandorts und die Zeitzone, und fügen Sie bei Bedarf eine optionale Beschreibung hinzu. Der Standardstandortname ist der Hostname des Service-Gateway-Virtualgeräts, das das lokale Gateway ausführt.
   • Wählen Sie einen Servicemodus für das lokale Gateway und konfigurieren Sie die erforderlichen Einstellungen.
   Die folgende Tabelle gibt einen Überblick über die verfügbaren Servicemodi für das lokale Gateway und beschreibt die Konfigurationsoptionen.

   Servicemodus	Konfigurationsoptionen
   Forward-Proxy	Im Forward-Proxy-Modus können Sie die folgenden Einstellungen konfigurieren: User Authentication: Benutzer-Authentifizierung für Endpunkte ohne installiertes Secure Access Module erforderlich Falls gewünscht, auswählen oder erstellen Sowohl private als auch öffentliche IP-Adressgruppen für verbundene Endpunkte ohne das Secure Access Module, die möglicherweise immer die Benutzer-Authentifizierung übergehen Sowohl private als auch öffentliche IP-Adressgruppen für verbundene Endpunkte, die die Benutzerauthentifizierung niemals umgehen dürfen Hinweis Das Deaktivieren der Benutzerauthentifizierung für Endpunkte, die ohne installiertes Secure Access Module verbunden sind, erzwingt Internetzugriffsregeln auf den Endpunkten, wenn sie verbunden sind. FTP proxy configuration: Aktivieren Sie einen FTP-Proxy, um Ihren FTP-Datenverkehr zu schützen. Weitere Informationen finden Sie unter FTP-Proxy auf einem Internetzugang-On-Premises-Gateway aktivieren. Upstream Proxy Rules: Aktivieren Sie die Upstream-Proxy-Regeln, um den Upstream-Proxy festzulegen, der für den Datenverkehr zu bestimmten IP-Adressen, Domains oder Subdomains verwendet wird Sie können bis zu 10 Regeln mit verschiedenen Proxy-Optionen einrichten. Weitere Informationen finden Sie unter Konfigurieren Sie die Upstream-Proxy-Regeln.
   ICAP	Ermöglicht dem lokalen Gateway, als Internet Content Adaptation Protocol (ICAP)-Server zu fungieren, um Bedrohungsschutz oder Prävention vor Datenverlust (DLP) bei HTTP-Anfragen (Standardport 1344) zu handhaben. Verwenden Sie die bereitgestellten RECMOD- und RESMOD-URLs, um Ihre ICAP-Clients zu konfigurieren. Aktivieren Sie ICAP über SSL, um Ihre ICAP-Clients über eine sichere Verbindung mit dem lokalen Gateway zu verbinden (Standardport 11344). Sie können das standardmäßige SSL-Zertifikat verwenden oder ein benutzerdefiniertes Zertifikat mit privatem Schlüssel und Passphrase bereitstellen. Falls gewünscht, wählen Sie spezifische ICAP-Antwort- und Anforderungsheader aus, die verwendet werden sollen. Wichtig On-Premises-Gateways im ICAP-Dienstmodus können nur mit ICAP v1.0-konformen Proxy-Servern integriert werden und unterstützen nicht: HTTPS-Inspektion HTTP/HTTPS-Datenverkehrsfilter Botnet-Erkennung Mietbeschränkungen Gerätehaltungsbasierte Zugriffssteuerung Endbenutzer-Authentifizierung Risikokontrollregeln Bandbreitenkontrolle Ratenbegrenzung
   Reverse-Proxy	Wichtig Um den Reverse-Proxy-Modus zu verwenden, stellen Sie sicher, dass Sie Ihr Service-Gateway und den entsprechenden Internet Access On-Premises Gateway-Dienst auf die neueste Version aktualisiert haben. Die Funktionen zur Ratenbegrenzung, die im Reverse-Proxy-Modus aktiviert sind, gelten nur für lokale Gateways, die private generative KI-Dienste schützen. On-Premises-Gateways, die generative KI-Dienste schützen, müssen vor dem Server, der den Dienst hostet, bereitgestellt werden, um Anfragen zu empfangen und zu verwalten. Im Reverse-Proxy-Modus kann das lokale Gateway Zugriffskontrolle, Bedrohungsschutz, Prävention vor Datenverlust (DLP) oder Ratenbegrenzung auf HTTP-Anfragen an konfigurierte private Apps oder generative KI-Dienste (Standardport 8088) anwenden. Weitere Informationen finden Sie unter Konfigurieren des Reverse-Proxy-Modus. Aktivieren Sie einen HTTPS-Abhörport, um sichere Anfragen zu bearbeiten (Standardport 8443). Sie können das Standard-SSL-Zertifikat verwenden oder ein benutzerdefiniertes Zertifikat mit privatem Schlüssel und Passphrase bereitstellen. Geben Sie den Namen der privaten App an, die Sie schützen möchten, und geben Sie an, ob es sich um eine allgemeine App oder einen privaten generativen KI-Dienst handelt. Falls gewünscht, geben Sie den FQDN oder die IP-Adresse und den Port an, die für die private App verwendet werden, zusammen mit dem Verkehrsgewicht (von 0 bis 100 Prozent), das über den FQDN/die IP-Adresse geleitet werden soll. Sie können bis zu 10 FQDNs oder IP-Adressen angeben. Sobald der Reverse-Proxy-Modus konfiguriert ist, können Sie Regeln zur Ratenbegrenzung für Anfragen an das lokale Gateway konfigurieren, wenn die geschützte App ein privater generativer KI-Dienst ist. Weitere Informationen finden Sie unter Verwalten von Regeln zur Ratenbegrenzung. Wichtig Um den Reverse-Proxy-Modus zu verwenden, um einen privaten generativen KI-Dienst zu schützen und eine Ratenbegrenzung auf die verbindenden Endpunkte anzuwenden, müssen Sie den Server, der Ihren privaten generativen KI-Dienst hostet, so konfigurieren, dass die ursprünglichen Endpunkt-IP-Adressen zum X-Forwarded-For-Anforderungsheader hinzugefügt werden. Andernfalls kann das lokale Gateway den Endpunkt nicht identifizieren.

6. Falls gewünscht, konfigurieren Sie zusätzliche Einstellungen für das lokale Gateway.
   Die folgende Tabelle beschreibt die zusätzlichen Einstellungen, die Sie beim Konfigurieren des lokalen Gateways aktivieren können.

   Einstellungen	Beschreibung
   Weiterleitung des Protokolls	Wählen Sie, ob Erkennungsprotokolle oder Aktivitätsdaten an Trend Vision One hochgeladen oder Aktivitätsdaten an einen separaten Syslog Server im Common Event Format (CEF) gesendet werden sollen. Um Aktivitätsdaten an einen Syslog Server zu senden, geben Sie die Serveradresse, den Port und das Protokoll an, das für die Kommunikation mit dem Server verwendet wird. Weitere Informationen zur Zuordnung von Inhalten zwischen dem Internetzugriffsprotokollausgabe und dem CEF-Syslog-Format finden Sie unter Syslog-Inhaltszuordnung – CEF.
   Deep Discovery Analyzer	Integrieren und konfigurieren Sie bestehende Deep Discovery Analyzer-Geräte, um Dateiproben vom lokalen Gateway zur Analyse zu sammeln Tipp Die Konfiguration sowohl eines primären als auch eines sekundären Deep Discovery Analyzer-Geräts ermöglicht eine erhöhte Verfügbarkeit der Geräte.
   Erkennung von Prompt-Injektionen	Lokale Erkennung von generativen KI-Prompt-Angriffen. Hinweis Sie müssen das ZTSA-On-Premises-Gateway mit dem KI-Dienst im Service-Gateway aktivieren, um diese Funktion zu sehen.

7. Klicken Sie auf Save.
8. Konfigurieren und anwenden von PAC-Dateien, um HTTP/HTTPS-Datenverkehr an das lokale Gateway weiterzuleiten.
   1. Fügen Sie den FQDN oder die IP-Adresse des lokalen Gateways zu einer oder mehreren PAC-Dateien hinzu, die Sie für Proxy-Einstellungen verwenden.
   2. Wenden Sie die PAC-Dateien an auf bereitgestellte Secure Access Modules.
9. Konfigurieren Sie die Bandbreitensteuerung, um die Netzwerkleistung am lokalen Gateway zu optimieren.