本页内容
预合规性(CLI 过程)
概述
在用户身份验证之前,会使用预登录合规性策略执行登录前合规性检查。这些合规性策略的目的是根据贵组织设置的合规性标准验证端点的当前环境。您可以根据这些合规性策略来授权访问。
作为管理员,您可以在 SRX 系列防火墙上配置一组规则,以在建立远程访问 VPN 连接之前允许或拒绝某个端点。此处的端点是指安装安全连接应用程序的客户端或主机。您可以基于 Windows、macOS、Android 和 iOS 等受支持的客户端平台创建规则。您可以使用多个其他匹配标准,如设备 ID、主机名、ms 域名和 ms-工作组名称来匹配标准。
SRX 系列防火墙会根据特定的评估标准处理这些规则。有关评估标准的详细信息,请参阅 合规性(瞻博网络安全连接) 评估标准。有关合规性规则名称、术语规则名称、匹配标准和操作的详细信息,请参阅 合规性(瞻博网络安全连接)。
配置登录前合规性规则
对于此配置任务,让我们考虑 表 1 中提到的以下规则-
合规性规则名称 | 术语名称 | 匹配标准 (值) |
行动 |
---|---|---|---|
兼容 | SecureConnect | 平台
|
拒绝 |
退役 | deviceid
|
拒绝 | |
BYOD | deviceid
|
接受 | |
企业设备 |
|
接受 |
要使用命令行界面配置登录前合规性规则:
-
使用命令行界面 (CLI) 登录 SRX 系列防火墙。
-
在全隧道配置模式下配置远程访问 VPN。请参阅基于所用身份验证方法的以下过程之一 -
-
请参阅 表 1 中所示的预先合规性规则,在 SRX 系列防火墙上配置规则。
-
在
[edit security remote-access]
层次结构级别配置登录前合规性策略 Compliant --
使用术语规则 SecureConnect 及其匹配标准和操作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term SecureConnect match platform windows app-version less-than 23.4.13.14.29669 user@host# set compliance pre-logon Compliant term SecureConnect match platform macos app-version less-than 23.3.4.70.29996 user@host# set compliance pre-logon Compliant term SecureConnect action reject
在此术语规则中,对于适用于 Windows 和 macOS 端点的指定瞻博网络安全连接应用版本,连接将被拒绝。要了解您的应用版本,请参阅 《瞻博网络安全连接用户指南》 ,了解基于受支持的操作系统的特定端点。
-
使用术语规则 OS 及其匹配标准和操作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term OS match platform windows os-version less-than 10.21H2.19044.2604 user@host# set compliance pre-logon Compliant term OS match platform macos os-version less-than 12.5.1 user@host# set compliance pre-logon Compliant term OS action reject
在术语规则中,对于 Windows 和 macOS 端点的指定操作系统版本,连接将被拒绝。
-
使用术语规则 Decommissioned 及其匹配标准和操作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term Decommissioned match deviceid c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123 user@host# set compliance pre-logon Compliant term Decommissioned action reject
在术语规则中,对于指定的设备 ID,连接将被拒绝。要获取设备 ID,请参阅瞻博网络安全连接用户指南
-
使用术语规则 BYOD 及其匹配标准和操作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term BYOD match deviceid c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2 user@host# set compliance pre-logon Compliant term BYOD action accept
在术语规则中,对于指定的设备 ID,将接受连接。要了解设备 ID,请参阅 瞻博网络安全连接用户指南
-
使用术语规则 CorpDevices 及其匹配标准和操作 -
[edit security remote-access] user@host# set compliance pre-logon Compliant term CorpDevices match hostname device1 user@host# set compliance pre-logon Compliant term CorpDevices match hostname device2 user@host# set compliance pre-logon Compliant term CorpDevices match ms-domain example.net user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124 user@host# set compliance pre-logon Compliant term CorpDevices action accept
在术语规则中,对于指定的主机名、ms-域名和设备 ID,连接将被接受。要了解设备 ID,请参阅瞻博网络安全连接用户指南
-
-
对于此合规性规则 Compliant中未定义的任何其他标准,即,当没有为不匹配的规则指定进一步的术语规则时,默认操作为
reject
。 -
为合规性策略定义了合规性规则后,将合规性策略附加到在步骤 2 - 中创建的远程访问配置文件 ra.example.com
[edit security remote-access profile ra.example.com] user@host# set compliance pre-logon SecureConnect
-
完成设备上功能配置后,在配置模式下输入提交。
-
您可以根据用例创建多个合规性策略,例如 SecureConnect ,并将每个策略附加到您创建的远程访问配置文件中。确保一个合规性策略与远程访问配置文件相关联。
此功能可确保瞻博网络安全连接应用程序满足 SRX 系列防火墙的连接标准,从而提供管理员设置的增强型安全措施。