配置ZTNA策略

HSM的ZTNA管理器对防火墙设备提供以下两种方式的ZTNA策略管理：

ZTNA策略包：是全局的ZTNA策略模板，可以被所有至注册至HSM的ZTNA网关设备共享；用户可以为同一个策略包添加多条ZTNA策略规则。
ZTNA单设备策略：是仅属于某一台ZTNA设备的ZTNA策略规则。

配置ZTNA策略包

新建ZTNA策略包
关联设备
取消设备与策略包的关联
查看ZTNA策略包
编辑ZTNA策略包
删除ZTNA策略包

新建ZTNA策略包

系统最多支持配置120个ZTNA策略包。新建ZTNA策略包分为以下3个步骤：配置基础信息 -> 创建策略规则 -> 指定策略规则位置和关联设备。在<新增ZTNA策略包>配置页面，逐步完成上述步骤即可。

配置基础信息

配置ZTNA策略包的基础信息，请按照以下步骤进行操作：

选择“ZTNA管理器 > 策略 > ZTNA策略包”。
点击“新增”，打开<新增ZTNA策略包>页面。
在<基础信息>页面，配置相关信息。
选项说明
名称指定ZTNA策略包的名称，最多可输入95字符。
描述添加描述信息，最多可输入200字符。
点击“下一步”，进入策略规则配置页面。

选项	说明
名称	指定ZTNA策略包的名称，最多可输入95字符。
描述	添加描述信息，最多可输入200字符。

创建策略规则

系统最多支持为同一ZTNA策略包创建2000条规则。为ZTNA策略包创建ZTNA策略规则，请按照以下步骤进行操作：

继续上述步骤，在策略规则配置页面，点击“立即新增”或“新增”，打开<新增ZTNA策略>页面。

在该页面进行如下配置。

选项	说明
名称	输入ZTNA策略的名称，最多可输入95个字符。
用户	指定需要绑定的用户/用户组。 AAA服务器：指定用户/用户组所属的AAA服务器。在下拉列表中选择系统已配置的AAA服务器；或者，点击“新增”，在弹出的页面中新建一个认证服务器。关于认证服务器的配置信息，请参考配置AAA服务器。选择用户/选择用户组：当选择的AAA服务器为本地服务器时，系统支持选择已配置的用户和用户组；或者点击“新增”，在打开的页面中新建用户或用户组。输入用户/输入用户组：输入用户名或用户组名，然后点击“新增”按钮。用户名最多可输入63个字符，用户组名最多可输入127个字符。系统最多支持添加8个用户和8个用户组。多个用户/用户组之间是逻辑“或”的关系，当用户访问时匹配上了其中的任何一个用户访问时，即认为匹配了该条策略的用户/用户组维度。若策略中不绑定用户/用户组，表示所有用户/用户组都可以匹配。
终端标签	指定需要绑定的终端标签。在下拉列表中选择系统已配置的终端标签；或者，点击“新增”按钮，在打开的页面中新建一个终端标签。系统最多支持为每条策略绑定10个终端标签。多个终端标签之间是逻辑“或”的关系，用户访问时携带的终端标签匹配上了其中的任何一个终端标签，即认为命中了该条策略的终端标签维度。若该策略不绑定任何终端标签，表示用户访问时携带的任何终端标签都可以匹配上该策略的终端标签维度。关于终端标签的详细信息，请参阅“终端标签”。
应用资源	指定需要绑定的应用资源/应用资源组名称。点击文本框后，在打开的<选择应用资源>页面中选择系统已配置的应用资源或应用资源组；或者，点击“新增”按钮，新建一个应用资源或应用资源组。每个策略支持绑定最多10个应用资源和10个应用资源组。策略中绑定的多个应用资源或应用资源组之间是逻辑“或”关系，用户访问其中的任何一个应用资源，即认为命中了这条策略的应用资源维度。若策略中不绑定应用资源，表示用户访问的所有应用资源都可以匹配上该策略的应用资源维度。关于应用资源和应用资源组的详细信息，请参阅“应用资源簿”。
动作	指定系统对匹配上该策略的流量将采取的控制动作，即允许或拒绝访问策略中绑定的应用资源。允许：当流量匹配上ZTNA策略中所有维度的匹配条件时，允许访问该策略中绑定的应用资源。阻止：当流量匹配上ZTNA策略中所有维度的匹配条件时，拒绝访问该策略中绑定的应用资源。

点击“防护状态”后的按钮，可以为ZTNA策略添加威胁防护配置。

选项	说明
病毒过滤	点击“启用”按钮，为ZTNA策略绑定系统预定义的病毒过滤规则，对匹配ZTNA策略的流量实现多种病毒威胁的探测，并根据病毒过滤规则的配置对发现的病毒进行处理。
入侵防御	点击“启用”按钮，为ZTNA策略绑定系统预定义的入侵防御规则，对匹配ZTNA策略的流量实现多种网络攻击的探测，并根据入侵防御规则的配置对网络攻击执行阻断等操作。
沙箱防护	点击“启用”按钮，为ZTNA策略绑定预定义的沙箱防护规则，对匹配ZTNA策略的流量实现沙箱防护检查。通过云·影或智影，对可疑文件进行分析，搜集可疑文件的动态行为，判断文件合法性，将分析结果反馈给系统，并根据沙箱防护规则的配置对恶意文件进行处理。

点击“更多选项”后的按钮，可以对ZTNA策略进行更多的配置。

选项	说明
时间表	从下拉菜单中指定需要匹配的时间表；或者，点击“新增”，在打开的<新增时间表配置>页面新建一个时间表。系统最多支持为每个策略添加10个时间表。多个时间表之间是逻辑“或”关系，用户访问时匹配上了其中的任何一个时间表，即认为命中了该条ZTNA策略的时间表维度。若策略中不绑定任何时间表，表示所有时间都匹配。关于时间表的详细信息，请参阅“时间表”。
记录日志	用户可以根据需要，通过系统日志信息记录ZTNA流量对策略的匹配情况，可多选：策略拒绝：勾选复选框，开启记录ZTNA会话拒绝日志信息。会话开始：勾选复选框，开启记录ZTNA会话建立日志信息。会话结束：勾选复选框，开启记录ZTNA会话结束日志信息。
列表位置	指定该条ZTNA策略规则在所属ZTNA策略包中规则列表的位置。ZTNA流量进入设备时，设备对ZTNA策略规则按照列表中的显示顺序查找，然后根据查找到的相匹配的第一条规则对流量进行处理。置于头部：指定将该条规则位于列表最前。置于尾部：指定将该条规则位于列表最后。指定位置：指定将该条规则位于某条规则之后/之前。
描述	指定策略描述信息，最终可输入255个字符。

若需添加多个ZTNA策略规则，重复以上步骤。
点击“下一步”，进入策略规则位置和关联设备页面。

指定策略规则位置和关联设备

指定ZTNA策略包内策略规则下发到ZTNA设备上的位置，并为该策略包关联设备，请按照以下步骤进行操作：

继续上述步骤，在策略规则位置和关联设备页面，进行如下配置：

在该页面进行如下配置。

选项	说明
策略规则在设备上位置	置于头部：将该策略包内的策略规则置于ZNTA设备端所有ZTNA策略规则之前。置于尾部：将该策略包内的策略规则置于ZNTA设备端所有ZTNA策略规则之后。
关联设备	点击“选择设备”按钮，为该策略包关联设备。关联成功后，当该策略包新增、编辑或删除策略规则时，配置将自动同步至已关联设备。

点击“确定”保存所做配置。
若策略包关联了设备，HSM将立即下发该策略包内的ZTNA策略规则至关联的设备，包括ZTNA策略规则内的对象配置；若设备端已存在同名对象，该对象的配置将以HSM端下发的为准。

关联设备

为ZTNA策略包关联设备，即将该策略包内的策略规则配置下发至设备。关联设备成功后，该策略包新增、编辑或删除的策略规则配置，可以自动同步至已关联设备。系统支持以下两种方式为ZTNA策略包关联设备：

创建ZTNA策略包时，在“策略规则位置和关联设备”的配置页面，为该ZTNA策略包关联设备。
对于已创建的ZTNA策略包，在ZTNA策略包列表，点击“关联设备”列的数值，打开该策略包的关联设备列表。然后点击“添加设备”，为该策略包关联设备。

当为策略包关联设备失败时，用户可以重新进行关联。重新关联设备，请按照以下步骤进行操作：

选择“ZTNA管理器 > 策略 > ZTNA策略包”。
点击“关联设备”列的数值，进入相应ZTNA策略包的关联设备列表页面。
对于关联失败的设备，点击“配置状态”列的按钮，重新下发ZTNA策略包至该设备；

或者，点击列表上方的按钮，重新下发ZTNA策略包至所有未下发成功的设备。

注意:

为ZTNA策略包关联设备时，若该策略包规则列表中的第一条规则在设备端已存在，那么当该策略包内的剩余规则下发到设备上时，剩余规则将位于上述第一条规则之后、设备端其他规则之前。
同一时间，系统只可以将ZTNA设备与一个策略包进行关联。若为该设备关联了多个策略包，其他的关联任务将处于等待状态，直至第一个策略包的下发任务结束。

取消设备与策略包的关联

删除ZTNA策略包的关联设备，请按照以下步骤进行操作：

选择“ZTNA管理器 > 策略 > ZTNA策略包”。
点击“关联设备”列的数值，进入相应ZTNA策略包的关联设备列表页面。
点击“操作”列的按钮，取消相应ZTNA设备与该ZTNA策略包的关联关系，但该ZTNA策略包内包含的ZTNA策略规则不会从设备上删除。若需同时删除下发至设备的ZTNA策略规则条目，勾选“回收配置”前复选框即可；从设备上删除策略包内的策略规则条目时，策略规则引用的对象配置不会从设备上删除。

查看ZTNA策略包

用户可以查看已配置的ZTNA策略包的详细信息，包括该策略包内包含的ZTNA策略规则、已关联的设备以及关联失败的设备等。查看ZTNA策略包详情，请按照以下步骤进行操作：

选择“ZTNA管理器 > 策略 > ZTNA策略包”。
点击ZTNA策略包的名称，打开该策略包的详情页。

编辑ZTNA策略包

用户可以根据需要对ZTNA策略包的配置进行修改。仅当ZTNA策略包关联设备成功，或没有关联设备时，用户可以对其进行编辑。编辑ZTNA策略包，请按照以下步骤进行操作：

选择“ZTNA管理器 > 策略 > ZTNA策略包”。
点击“操作”列的按钮，在打开的<编辑ZTNA策略包>页面中，根据需要修改相关参数。

注意: 若已为ZTNA策略包关联了设备，当为该策略包新增、编辑或删除策略规则时，上述配置变更将自动同步至已关联设备。

删除ZTNA策略包

当ZTNA策略包存在已关联设备时，请先取消所有设备与该策略包的关联，再将其删除。删除ZTNA策略包，请按照以下步骤进行操作：

选择“ZTNA管理器 > 策略 > ZTNA策略包”。
点击“操作”列的按钮，删除相应的ZTNA策略包。
或者，点击设备列表上方的按钮，批量删除选中的ZTNA策略包。

配置ZTNA单设备策略

ZTNA单设备策略，即仅属于某台ZTNA设备的ZTNA策略。

配置ZTNA单设备策略，请按照以下步骤进行操作：

点击“ZTNA管理器 > 策略 > ZTNA单设备策略”。
点击“ZTNA策略数量”列的数值；或者，点击左侧设备列表中的设备名称，打开相应ZTNA设备的ZTNA策略规则列表页面。
点击“新增”按钮，在打开的<新增ZTNA策略>页面中，配置该设备的ZTNA策略。ZTNA单设备策略规则的配置，与ZTNA策略包中ZTNA策略规则的配置类似，请参阅“配置ZTNA策略包 ”的“ 配置ZTNA策略规则”部分。
注意: 在配置ZTNA策略规则的过程中，可以根据需要，新建用户、终端标签、应用资源/应用资源组或者时间表后引用。在此处新建的上述对象，仅属于该设备，不可以被其他设备的ZTNA策略规则引用。
点击“确定”保存所做配置，并将其展示在该设备的ZTNA策略规则列表。

提示: 在设备的单设备ZTNA策略规则列表中，还展示其关联的ZTNA策略包内的策略规则和在设备端配置的ZTNA策略规则。当用户在ZTNA设备端配置ZTNA策略规则后，配置的规则将自动同步至HSM。

一键下发

当用户在HSM端对某台ZTNA设备的ZTNA策略规则配置修改后，需手动执行“一键下发”功能，将配置变更同步到设备端。系统会在该设备的ZTNA策略规则列表下方给出如下提示。若需同步，在执行完操作后，点击提示框内的“一键下发”按钮。