檢視次數:

部署服務閘道虛擬裝置並啟用零信任網路存取內部閘道服務。

零信任網路存取內部閘道服務透過 Proxy 伺服器支援以下外部連線。
  • Trend Vision One 通訊以獲取最新的設定和政策
  • 查詢服務,例如網頁信譽評等服務和主動式更新
  • 將 HTTP 和 HTTPS 最終用戶的網絡流量轉發到最終目的地
重要
重要
網路存取內部部署閘道需要高水平的系統資源。為避免對系統效能產生負面影響,趨勢科技 建議在沒有其他已安裝或已啟動服務的設備上設置內部部署閘道。

步驟

  1. Trend Vision One 主控台上,前往 Zero Trust Secure AccessSecure Access ConfigurationInternet Access and AI Service Access Configuration
  2. Gateways 標籤上,點選 Deploy New On-Premises Gateway
  3. 透過點擊Go to Service Gateway Inventory來設置網路存取內部閘道。
    重要
    重要
    只有服務閘道 2.0 及更高版本支援零信任網路存取內部閘道服務。
    1. 選擇一個現有的服務閘道來識別您的公司位置,或是部署一個新的服務閘道虛擬裝置以使用零信任網路存取內部閘道服務。
      重要
      重要
      在使用內部部署閘道的網路存取服務時,請關閉服務閘道上的Cloud Service Extension。雲端服務擴展可能會干擾內部部署閘道的正常運作。欲了解詳細資訊,請參閱 配置服務閘道設定
    2. 安裝並啟用零信任網路存取內部部署閘道服務。詳情請參閱 在服務閘道中管理服務
  4. 部署完成後,請在Internet Access and AI Service Access Configuration中的On-Premises Gateways下檢查服務狀態和其他有關內部部署閘道的資訊。
  5. 透過點擊編輯圖示 (edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png) 來配置內部部署閘道的設定。
    • 配置基本設定,例如公司位置資訊名稱和時區,並根據需要添加可選描述。預設位置資訊名稱是執行內部閘道的服務閘道虛擬裝置的主機名稱。
    • 選擇內部部署閘道的服務模式並配置所需的設定。
    下表概述了內部部署閘道的可用服務模式並描述了配置選項。
    服務模式
    配置選項
    正向 Proxy
    在正向 Proxy 模式下,您可以配置以下設定:
    • User Authentication:要求未安裝安全存取模組的端點進行用戶驗證
      • 如有需要,選擇或建立
        • 沒有安全存取模組的連接端點的私人 IP 位址群組可能總是會繞過用戶驗證
        • 連接端點的私人 IP 位址群組可能永遠不會繞過用戶驗證
      • 注意
        注意
        禁用未安裝安全存取模組的端點的用戶驗證,將在端點連接時強制執行網路存取規則。
    • Upstream Proxy Rules:啟用上游 Proxy 規則,以指定用於發送到特定 IP 位址、網域或子網域的資料流量的上游 Proxy
      • 您可以使用不同的Proxy選項設置最多10條規則。
      • 如需詳細資訊,請參閱 配置上游Proxy規則
    ICAP
    啟用內部部署閘道作為網路內容調適通訊協定 (ICAP) 伺服器,以處理 HTTP 請求上的安全威脅防護或資料外洩防護 (預設埠 1344)。使用提供的 RECMOD 和 RESMOD URL 來配置您的 ICAP 用戶端。
    • 啟用 ICAP over SSL 以透過安全連接(預設埠 11344)將您的 ICAP 客戶端連接到內部部署閘道。您可以使用預設的 SSL 憑證或提供具有私鑰和密碼的自訂憑證。
    • 如果需要,選擇要使用的特定 ICAP 回應和請求標頭。
    重要
    重要
    內部部署閘道在 ICAP 服務模式下只能與符合 ICAP v1.0 的 Proxy 伺服器整合,且不支援:
    • HTTPS 檢查
    • HTTP/HTTPS 流量過濾器
    • 殭屍網路偵測
    • 租賃限制
    • 基於裝置狀態的存取控制
    • 最終使用者驗證
    • 風險控制規則
    • 頻寬控制
    • 速率限制
    反向Proxy
    重要
    重要
    • 要使用反向 Proxy 模式,請確保您已將服務閘道和相應的網路存取內部部署閘道服務更新到最新版本。
    • 僅反向 Proxy 模式啟用的速率限制功能適用於保護私人生成式 AI 服務的內部閘道。
    • 保護生成式 AI 服務的內部部署閘道必須部署在託管該服務的伺服器前面,以便接收和管理請求。
    反向 Proxy 模式使內部部署閘道能夠對配置的私有應用程式或生成式 AI 服務(預設埠 8088)的 HTTP 請求應用存取控制、安全威脅防護、資料外洩防護 (DLP) 或速率限制。欲了解更多資訊,請參閱 配置反向 Proxy 模式
    • 啟用 HTTPS 監聽埠以處理安全請求(預設埠 8443)。您可以使用預設的 SSL 憑證或提供具有私鑰和密碼的自訂憑證。
    • 請提供您希望保護的私人應用程式名稱,並指定它是一般應用程式還是私人生成式 AI 服務。
    • 如果需要,請指定用於私人應用程式的 FQDN 或 IP 位址和埠,以及要通過 FQDN/IP 路由的流量權重(從 0 到 100%)。您可以提供最多 10 個 FQDN 或 IP 位址。
    • 一旦配置了反向 Proxy 模式,您可以配置速率限制規則,針對發送到內部部署閘道的請求,如果受保護的應用程式是私人生成式 AI 服務。欲了解詳細資訊,請參閱 管理速率限制規則
    重要
    重要
    為了使用反向 Proxy 模式來保護私人生成式 AI 服務並對連接的端點應用速率限制,您必須配置託管您私人生成式 AI 服務的伺服器,將原始端點 IP 位址添加到 X-Forwarded-For 請求標頭中。否則,本地閘道無法識別端點。
  6. 如果需要,請配置內部部署閘道的其他設定。
    下表描述了在配置內部部署閘道時,您可以選擇啟用的其他設定。
    設定
    說明
    日誌轉發
    選擇是否將偵測日誌或活動資料上傳到 Trend Vision One,或將活動資料以通用事件格式 (CEF) 發送到單獨的 Syslog 伺服器。
    • 要將活動資料傳送到 Syslog 伺服器,請指定伺服器地址、埠和用於與伺服器通信的通訊協定。
    • 如需有關網路存取日誌輸出與 CEF syslog 格式之間內容對應的詳細資訊,請參閱 Syslog 內容映射 - CEF
    Deep Discovery Analyzer
    整合並配置現有的 Deep Discovery Analyzer 設備,以從內部部署的閘道收集檔案樣本進行分析
    秘訣
    秘訣
    配置主要和次要的 Deep Discovery Analyzer 設備可以提高設備的可用性。
  7. 點選儲存
  8. 配置並應用 PAC 檔案以將 HTTP/HTTPS 流量轉發到內部閘道。
    1. 將內部閘道的 FQDN 或 IP 位址 新增到您用於 Proxy 設定的一個或多個 PAC 檔案中
    2. 將 PAC 檔案應用 到已部署的安全存取模組。
  9. 配置頻寬控制以優化內部閘道的網路效能。