配置预登录合规性(CLI 过程)
阅读本主题,了解登录前合规性检查以及如何在瞻博网络安全连接中配置这些检查。
什么是 Prelogon 合规性
瞻博网络安全连接应用与 SRX 系列防火墙交换详细信息,以执行登录前合规性检查。管理员在 SRX 系列防火墙上配置登录前合规性规则,以验证连接客户端设备的状态。这些登录前合规性检查是指在身份验证之前执行的验证。根据不同的匹配标准,将采取措施以允许或拒绝连接的客户端设备。
此功能可确保瞻博网络安全连接应用满足 SRX 系列防火墙的连接条件,从而提供管理员设置的增强安全措施。
登录前合规性策略的目的是根据组织设置的合规性标准验证终结点的当前上下文。您可以根据这些合规性策略对访问进行授权。设备在用户身份验证之前使用登录前合规性策略执行登录前合规性检查。
作为管理员,您可以在 SRX 系列防火墙上配置一组规则,以便在建立远程访问 VPN 连接之前允许或拒绝端点。此处的端点是指安装了安全连接应用程序的客户端或主机。您可以基于支持的客户端平台(如 Windows、macOS、Android 和 iOS)创建规则。可以使用多个其他匹配条件(如设备 ID、主机名、ms 域名和 ms-workgroup 名称)作为匹配条件。
SRX 系列防火墙根据某些评估标准处理这些规则。有关评估标准的更多详细信息,请参阅合规性(瞻博网络安全连接)评估标准。有关合规性规则名称、术语规则名称、匹配标准和作的更多详细信息,请参阅合规性(瞻博网络安全连接)。
如何配置预登录合规性规则
对于此配置任务,我们考虑 表 1 中提到的以下规则 -
| 合规性规则名称 | 术语名称 | 匹配标准 (值) |
行动 |
|---|---|---|---|
| 顺从的 | 安全连接 | 平台
|
拒绝 |
| 退役 | 设备 ID
|
拒绝 | |
| 自带设备 | 设备 ID
|
接受 | |
| 公司设备 |
|
接受 |
要使用命令行界面配置预登录合规性规则,请执行以下作:
-
使用命令行界面 (CLI) 登录到 SRX 系列防火墙。
-
在完整隧道配置模式下配置远程访问 VPN。根据所使用的身份验证方法,请参阅以下过程之一 -
-
请参阅 表 1 中所示的登录前合规性规则,在 SRX 系列防火墙上配置这些规则。
-
在
[edit security remote-access]层次结构级别配置登录前合规性策略 Compliant --
使用术语规则 SecureConnect 及其匹配标准和作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term SecureConnect match platform windows app-version less-than 23.4.13.14.29669 user@host# set compliance pre-logon Compliant term SecureConnect match platform macos app-version less-than 23.3.4.70.29996 user@host# set compliance pre-logon Compliant term SecureConnect action reject
在此期限规则中,对于适用于 Windows 和 macOS 端点的指定瞻博网络安全连接应用版本,连接将被拒绝。要了解您的应用版本,请参阅《 瞻博网络安全连接用户指南 》,了解基于支持的作系统的特定端点。
-
使用术语规则 OS 及其匹配标准和作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term OS match platform windows os-version less-than 10.21H2.19044.2604 user@host# set compliance pre-logon Compliant term OS match platform macos os-version less-than 12.5.1 user@host# set compliance pre-logon Compliant term OS action reject
在此术语规则中,对于 Windows 和 macOS 端点的指定作系统版本,连接将被拒绝。
-
使用术语规则 Decommissioned 及其匹配标准和作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term Decommissioned match deviceid c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123 user@host# set compliance pre-logon Compliant term Decommissioned action reject
在此期限规则中,对于指定的设备 ID,连接将被拒绝。要获取设备 ID,请参阅 瞻博网络安全连接用户指南
-
使用术语规则 BYOD 及其匹配标准和作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term BYOD match deviceid c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2 user@host# set compliance pre-logon Compliant term BYOD action accept
在此期限规则中,对于指定的设备 ID,将接受连接。如需了解设备 ID,请参阅《 瞻博网络安全连接用户指南
-
使用术语规则 CorpDevices 及其匹配标准和作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term CorpDevices match hostname device1 user@host# set compliance pre-logon Compliant term CorpDevices match hostname device2 user@host# set compliance pre-logon Compliant term CorpDevices match ms-domain example.net user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124 user@host# set compliance pre-logon Compliant term CorpDevices action accept
在此术语规则中,对于指定的主机名、ms 域名和设备 ID,将接受连接。如需了解设备 ID,请参阅《 瞻博网络安全连接用户指南
-
-
对于此合规性规则 Compliant中未定义的任何其他条件,即当未为不匹配的规则指定进一步的术语规则时,默认作为
reject。 -
为合规性策略定义合规性规则后,将合规性策略附加到在步骤 2 中创建的远程访问配置文件 ra.example.com -
[edit security remote-access profile ra.example.com] user@host# set compliance pre-logon SecureConnect
-
在设备上配置完该功能后,从配置模式进入提交。
-
根据用例,您可以创建多个合规性策略,例如 SecureConnect ,并将每个策略附加到您创建的远程访问配置文件。确保一个合规性策略与远程访问配置文件相关联。
此功能可确保瞻博网络安全连接应用满足 SRX 系列防火墙的连接条件,从而提供管理员设置的增强安全措施。