|
|
若无安全网关,需开启安全代理,security_proxy = 1
常用系统安全进程:
svn:svn.exe;TortoiseProc.exe;TSVNCache.exe
git:git.exe;git-push-http.exe;git-push-https.exe;git-remote-https.exe;git-remote-http.exe;git-bash.exe
浏览器:opera.exe;TheWorld.exe;QQBrowser.exe;firefox.exe;chrome.exe;Safari.exe;Maxthon.exe;sogouexplorer.exe;360chrome.exe;360SE.exe;IEXPLORE.EXE
智能模式
(1)访问受保护服务器后会识别成授权进程,控制上传(允许访问,但是无法上传文件)
(2)允许访问其他非受保护地址
安全进程智能模式禁止访问127.0.0.1
GW_Enable_LocalComm=1,不控制本地通讯上传
[mode=],Mode数值说明如下:
0 访问受保护服务器后才能加解密并控制上传(默认)
1 进程启动后就能加解密,访问受保护服务器后控制上传
2 进程启动后就能加解密并且控制上传
3 进程启动后就能加解密,不控制上传
4 访问受保护服务器后才能加解密,不受上传策略限制,访问受保护服务器后密文禁止上传到非受保护服务器(开启功能还需设置客户端配置updlctrl_enable=1)
问题:子进程授权情况下,安全通讯无法注入
策略介绍:git、ssh强制注入安全通讯
关键字:injectdriver_rule
内容:Guid={C0B25E41-ECA6-4726-8242-AF8E50A55DAF},Id=101,Type=2,Mode=1,Bit=2,Procs=git.exe|ssh.exe,Modules=tsafedoc64.dll;Guid={E0FBDB2A-8DEC-4914-BAA6-96A479D17203},Id=101,Type=2,Mode=1,Bit=1,Procs=git.exe|ssh.exe,Modules=tsafedoc2.dll
客户端通讯重定向
一、功能简介
问题:直接访问Web服务器会不经过软网关,导致不受控制;
使用重定向方法来解决,把受保护服务器的通讯转发(重定向)到软网关的IP上,这样用户访问Web服务器必定经过软网关,就受控制。
优点:不需要配置代理,改变用户访问习惯
二、使用说明
客户端配置策略:
connect_redirect=test.com|192.168.1.10:80;【格式:域名1(或IP1),域名2(或IP2)|域名3(或IP3);域名5(或IP5)|域名3(或IP3);】
效果:访问test.com,实际访问到192.168.1.10:80。
注意:
重定向前的域名必须是真实存在的,否则等于没设置不会重定向
重定向后的域名必须是真实存的,否则访问失败
重定向后的域名或者ip必须加上端口号,重定向前的域名或ip不写端口默认为所有
支持多个重定向,用分号分隔。
支持多个路径重定向到一个路径,多个路径用逗号分隔。
支持IP段及端口段的重定向
此重定向功能,与加密是否启用、安全通讯是否开启等无关
有些进程无法注入或底层驱动通讯无法重定向,比如:资源管理器去访问文件服务器。
安全通讯准入功能:
tmailhook_taccctrlstart=1;
TAccCtrl_IP_List=192.168.2.91:8080
来自圈子: IP-Guard 认证工程师 |
|
发表于 2023-7-7 23:21:52