云化零信任SDP客户端的网络配置

原创 已于 2025-10-26 09:42:07 修改 · 649 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #云计算

于 2025-10-26 09:31:51 首次发布

摘要

        零信任网络中的SDP客户端能唯一识别接入终端,建立并保护终端与零信任网关的连接。为确保数据传输安全,通常采用云化SDP客户端来满足终端接入的合规要求。

        本文基于VMware Workstation 17.6.4构建SDP合规终端,通过优化网络配置,实现在最小互联网暴露面的条件下安全接入。

1 SPA单包授权认证

        SPA(单包授权认证)是SDP框架的核心安全机制,属于新一代端口敲门技术。它通过数据包内容进行认证,服务器根据预设规则动态调整防火墙策略或执行特定命令。

        SPA的工作原理类似于秘密基地的暗号敲门:客户端先发送包含身份信息的特殊数据包,网关验证通过后,才临时开放特定端口供该客户端访问。这种“先验证后连接”的方式确保了即使端口暴露,未授权用户也无法建立连接。

2 不兼容的网络模式

        一、代理上网模式:通过代理服务器上网的终端无法使用零信任SDP。因为代理会隐藏客户端真实IP,而SDP正需要依赖真实IP进行身份绑定和SPA安全机制。代理还会破坏SPA包的特殊交互流程,导致网关验证失败。

        二、VMware NAT模式:在此模式下,SDP身份验证会失败。表面看是网络不通,实际会收到网关返回的RST包,表明敲门验证出了问题。如图1所示。

图1、VMware NAT模式下SDP敲门验证失败

        这些问题根源在于:VMware NAT设备会修改数据包的源地址和校验和信息,可能破坏安全协议的IP校验机制。类似问题也出现在VPN、IPSec等对数据包完整性要求高的应用中。

3 推荐的Host-Only网络模式

        多数情况下,桥接模式需虚拟机与宿主机同VLAN,会占用网络资源并增大互联网暴露面,因此我们推荐更安全的Host-Only(仅主机)模式。

3.1 配置方法

一、实验环境:

• 物理机:ZTE R5300 G4(x86_64)

• 操作系统:CentOS 8

• 虚拟化软件:VMware Workstation 17.6.4

• 虚拟机操作系统:Windows 11 Pro

二、宿主机配置:

1. 为VMnet1配置静态IP:172.16.138.1/24

2. 启用IP转发:确保/etc/sysctl.conf中设置net.ipv4.ip_forward=1,执行sysctl -p生效

3. 配置iptables NAT转发:

   iptables -t nat -A POSTROUTING -s 172.16.138.0/24 -o bond0 -j MASQUERADE

   iptables -A FORWARD -s 172.16.138.0/24 -o bond0 -j ACCEPT

   iptables -A FORWARD -d 172.16.138.0/24 -i bond0 -j ACCEPT

【注意】工作流程如下:

1、当一个IP为172.16.138.128的虚机访问互联网时,数据包到达宿主机,源IP为172.168.138.128,目的IP为公网IP(如114.114.114.114);

2、宿主机根据路由表,决定将该数据包从bond0接口转发出去;

3、在数据包即将从bond0发出前(POSTROUTING链),第一条nat规则生效,将数据包的源IP修改为宿主机bond0接口的公网IP(即MASQUERADE动作)。同时,系统会记录这个连接转换状态。

4、第二条filter规则允许这个被修改过的数据包通过FORWARD链转发出去。

5、公网服务器114.114.114.114收到数据包后,会回复给宿主机的公网IP。

6、返回的数据包到达宿主机的bond0接口。系统根据之前记录的状态,识别出这是某个内网IP连接的返回包。

7、第三条filter规则允许这个返回数据包通过FORWARD链。

8、接着,系统将数据包的目的IP从宿主机的公网IP改回内网IP:172.16.138.128(这是一个自动的、基于连接跟踪的反向过程)。

9、最后,数据包被顺利转发给内网的虚拟机。

【注意】MASQUERADE与SNAT对比:-j MASQUERADE是一种特殊且方便的SNAT,它会自动使用数据包出口(这里是bond0)的IP地址作为转换后的源IP,它特别适用于出口IP是动态获取(如PPPoE拨号)的场景。如果宿主机的公网IP是固定的,也可以使用-j SNAT --to-source [公网IP],在性能上略有优势。

  

三、虚拟机配置:

• IP地址:172.16.138.128/24

• 网关:宿主机VMnet1的静态IP(172.16.138.1)

• DNS:114.114.114.114

3.2 iptables NAT与VMware NAT的区别

        虽然二者都通过网络地址转换修改数据包,但存在关键差异:

        一、VMware NAT:自动化程度高但缺乏灵活性,会修改所有数据包的源IP,可能破坏安全协议的认证机制。

        二、iptables NAT:可精细控制,能通过策略路由为特定数据包(如零信任认证包)设置例外,保持其原始IP信息。这解决了VMware NAT对零信任连接的干扰问题。

3.3 云化SDP客户端的远程接入

        零信任的网络访问保护(NAP)会将新接入设备置于隔离区,只有满足安全要求后才允许访问内部资源。此期间,宿主机(被视为外部网络)的访问会被阻断。

        解决方案:添加第二个Host-Only虚拟网络(VMnet2):

• 宿主机VMnet2 IP:172.16.139.1/24

• 虚拟机第二网卡IP:172.16.139.128/24,网关指向宿主机VMnet2;

这样可通过172.16.139.128:3389进行远程接入。

        【注意】SDP客户端连接/断开时,TCP/IP协议栈会重置,导致网络闪断。即使通过第二网卡连接也会受影响,此时需要彻底断开并重新建立远程连接。

总结

        总而言之,通过Host-Only模式构建基础隔离环境,结合手动配置iptables实现精细化NAT控制,再辅以双网卡进行业务与管理的物理隔离,这一套组合方案成功地解决了VMware传统网络模式在零信任SDP场景下的固有矛盾。它不仅在技术上更加优雅和可控,也完美地体现了零信任架构“从不信任,始终验证”和最小权限的核心安全思想,实现安全需求与运维管理便利性之间的平衡。

老鸟学AI
关注
国内安全厂商信任技术详解
weixin_44983560的博客
01-05 1780
本文将详细介绍信任的概念,以及国内各个网络安全厂商技术差异对比。介绍信任网关在有客户端和无客户端情况下的详细工作流走向。以及本人对信任是否还会存在安全问题的一些思考。
关键技术助力信任安全架构落地应用
weixin_70101757的博客
07-26 282
SDP架构中将隐身网关放置于Web代理网关前端,首先对访问主体进行身份验证,面向合法访问开放端口并与Web代理网关建立通信,面向非法访问保持端口关闭,具有隐私防护能力,有效避免非法访问主体对Web代理网关进行漏洞扫描或DDoS攻击。安全代理负责执行策略,通过拦截访问请求,从控制引擎处获得访问主体的权限判定,对认证成功并具有权限的访问主体建立相应安全访问通道。主要目标是保障用户从登录系统到授予其权限,再到登出系统的整个过程中,在适当的情况下赋予准入用户对企业内资产的访问权。......
信任学习系列三——研读基于信任 SDP 的高校网络安全防护的研究
m0_47269393的博客
07-25 1435
校园内外网安全体系不健全 大部分高校基于传统的网络边界隔离防护架构,常用的网络安全设备有防火墙,IDS/IPS,VPN等,用于隔离内外网。 比如现阶段的传统VPN,用于网络接入内网资源。对于这种虚拟专用网络信任范围较大,一旦攻击者通过VPN接入校园网,网络薄弱点将一一暴露,形成一个大的攻击面。并且当高校的业务更多的迁移到公有上,对于VPN等安全设备的管理将会很复杂,网络管理员需要根据需要来调正VPN策略。 (没看懂,为啥当高校业务迁移到公有上的时候,对于VPN的安全设备的管理会变得很复杂?,又啥是调整
深信服day2:软件定义边界(SDP)技术
红肤色的博客
07-19 2799
一、SDP的定义软件定义边界(Software Defined Perimeter, SDP)是一种网络安全策略,通过软件的方式,在“移动+”的时代背景下,基于身份验证和授权,而不是传统的基于网络地址的边界控制。SDP的核心理念是将网络边界从物理或虚拟网络中分离出来,转而通过软件来定义和控制访问权限。二、SDP的特点1、SDP的主要优势包括:1. 动态性:SDP可以根据用户的身份、访问请求和上下文动态地调整网络访问权限,这意味着 它能够适应不断变安全需求和业务需求。
【转】SDP信任方案处理流程
tpriwwq的专栏
10-05 858
本文主要介绍了SDP信任方案的组件以及组件功能、不同模式的用户业务访问流程、身份认证和风险评估的流程等。随着传统边界安全架构体系不再适用于当前的网络发展,SDP信任架构开始逐渐显露其在终端安全控制、风险控制和策略管理等方面的优势,期待后续可以在物联网、车联网等应用场景大放异彩。
信任SPA端口敲门
键盘的起始页
11-09 3511
差不多2020年9月份研究ATT&CK的时候,做规则覆盖能力,遇到了端口敲击(Port Knocking,PK),当时我设计了检测方案,但是没有做实验来验证,也没有列入开发计划,直到今天2021年2月研究信任的时候,再次碰到了PK,只不过这次换了个马甲,叫SPA(单包授权认证),终于下定决心来一探究竟~ SPA单包认证,通过wireshark抓包,发现是通过UDP报文敲打服务端的62201端口,然后那个ICMP报文是端口不可达,这是UDP的传输特性,因为它没有三次握手,所以需要借助ICMP来报信
信息安全-信任-SDP技术概论及落地模型
码者人生的技术博客
10-03 4255
那么究竟什么是SDP呢?客户端在进行数据访问前,首先要通过控制平面和SDP控制器、应用服务器建立认证、授权通道,在认证通过并获得访问授权后,SDP控制器确定一个客户端可以被授权通信的主机列表,然后客户端才能在数据平面建立起与应用服务器之间的数据访问通道,允许正常访问的流量通过,因此这种访问控制模型天然具备抵御资源消耗性攻击(DDos)的特征。以上四点是对SDP工作流程的核心概述,SDP要求端点在对被保护的服务器进行网络访问前首先进行认证和授权,然后,在端点和应用基础设施之间建立起实时的加密连接访问通路。
芯盾时代信任SDP产品架构
trusfort的博客
02-26 386
信任业务安全平台(SDP)对网络环境中所有用户采取“信任”的态度,持续通过信任引擎对用户、设备、访问及权限进行风险评估,实现动态访问控制。芯盾时代信任业务安全平台(SDP)包括安全客户端(ZSC)、安全网关(ZEG)、动态访问控制平台(ZAE)、智能安全大脑(ZITE)、安全运营中心(ZMOC)六大组件。
网络安全信任学习1:基本概念
jackyrongvip的专栏
05-04 1949
4. SDP与VPN的区别乍一看,SDP与VPN在架构上有几分相似,但其实SDP架构中有很多安。息之前二者不知道对方的存(5)在下发信息后,SDP客户端SDP网关建立安全加密的数据传输。任扩展生态系统(Zero Trust eXtended(ZTX) Ecosystem)。(Zero Trust Architecture)是一种基于信任理念的企业网络。不甘寂寞,又提出了信任边缘(Zero Trust Edge,ZTE)的概。从上面的介绍可以看出,ZTX的内涵已经相当丰富了,但Forrester。
信任网络ZTNA及SDP概念理解
安当加密
10-28 3838
本文是对安全联盟发布的《NIST信任架构》及《SDP标准规范》的学习记录,用一句话总结:信任是一种安全理念,SDP是一种落地方案。 一、什么是信任网络 传统模型假设:组织网络内的所有事物都应受到信任。威胁者或者组织内恶意人员可能横向移动甚至泄露权限外数据。 信任网络访问(Zero-Trust Network Access)认为:不能信任出入网络的任何内容,应当创建一种以数据为中心的全新边界,通过强身份认证技术保护数据。 二、网络视角和企业视角的信任的基本假设 三、...
Python基于信任SDP动态授权访问系统源码.zip
10-31
【Python基于信任SDP动态授权访问系统源码】是一个使用Python编程语言实现的软件定义边界(Software Defined Perimeter, SDP)系统,该系统遵循信任安全模型,为网络资源提供动态、细粒度的访问控制。信任...
信息安全-信任-SDP技术到底有多能打?
码者人生的技术博客
10-03 1652
SDP架构需要用户安装客户端,所以SDP对终端的安全控制更强,客户端和网关联动能产生更严密的防护效果。但客户端也限制了SDP的应用场景。一些公开的网站没法用SDP保护。SDP特别适用于合作伙伴、供应商、第三方人员、分支机构等等特定人群访问业务系统的场景。这些系统需要在互联网上开放,以便第三方人员访问。但是又不需要向全世界所有人开放,引来黑客攻击。这种场景下,SDP能保证合法用户正常连接,对未知用户“隐形”。SDP在这类场景下是相当能打的。
SDP实现信任战略与价值探讨
软件定义边界(SDP)和信任网络安全模型是近年来信息技术领域中重要的安全概念。SDP作为一种新兴的网络安全技术,其核心是将网络的访问控制边界从传统的网络层面转移至应用层面,实现更细粒度和更严格的访问控制。...
湖科大计网好题合集
2402_88307286的博客
11-21 152
瞎√⑧写的
PythonWebSocket开发
2509_93947499的博客
11-22 214
而WebSocket就像一直保持通话状态,客服有新消息直接告诉你,这才是真正的实时通信。建议从简单例子开始,逐步增加功能,遇到问题多查文档和源码,其实没那么难搞定。当客户端连接时,handle_connection协程开始处理消息,用async for循环持续监听 incoming消息,收到后立即回复。调试技巧方面,浏览器开发者工具的Network标签页可以查看WebSocket帧,Chrome的WebSocket Inspector扩展也很好用。网络不稳定时连接可能断开,需要实现自动重连机制。
开始:使用 pyproject.toml 构建现代 Python 项目
像风一样自由的博客
11-23 580
本文介绍了如何使用 pyproject.toml 构建现代 Python 项目,以 PyImage Split 图片工具为例。相比传统分散配置方式,pyproject.toml 提供了统一、声明式的项目配置,解决了格式混乱、工具兼容性差等问题。文章详细讲解了配置文件的基本结构,包括构建系统、项目元数据、依赖管理等核心部分,并提供了完整的配置示例。通过采用这种标准配置方式,开发者可以更高效地管理 Python 项目,提升代码质量和维护性。
ESP32基础-Socket通信 (TCP/UDP)
hazy1k的博客
11-24 778
本文介绍了在ESP32上实现Socket通信的三种主要模式:TCP服务端、TCP客户端和UDP通信。TCP服务端模式适用于设备被动接收控制指令的场景,TCP客户端模式适合主动发送数据,而UDP则用于无需连接的快速数据传输。文章提供了每种模式的完整代码示例,并强调了关键注意事项,如阻塞与非阻塞处理、端口绑定重用等常见问题。还推荐了网络调试工具NetAssist用于测试,并解释了不同通信模式的适用场景,为物联网设备开发提供了实用的网络通信解决方案。
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 566
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【Linux 网络基础】网络通信中的组播与广播:基础概念、原理、抓包与应用
最新发布
love131452098的博客
11-24 555
摘要: 组播(Multicast)和广播(Broadcast)是网络通信中两种重要的数据传输机制。组播面向特定订阅组(IPv4 224.0.0.0/4,IPv6 ff00::/8),通过IGMP/PIM协议实现成员管理和路由分发,适用于视频会议、股票行情推送等场景;广播则在同一二层域内泛洪(MAC ff:ff:ff:ff:ff:ff),用于ARP、DHCP等协议。关键配置包括交换机IGMP Snooping、路由器PIM-SSM/Storm Control,并需注意TTL、防火墙策略。常见问题包括组播丢包(
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值