genians/genian-nac6-ns

Genian ZTNA Gateway 镜像文档

镜像概述

Genian ZTNA Gateway 是 Genian 公司推出的零信任网络访问（Zero Trust Network Access, ZTNA）网关 Docker 镜像。该镜像基于零信任安全架构，通过"永不信任，始终验证"的原则，替代传统 *** 方案，为企业提供更安全、更精细的网络访问控制，有效保护内部应用、数据及资源免受未授权访问和网络威胁。

核心功能与特性

零信任架构支持

• 遵循零信任模型核心原则：永不信任，始终验证，所有访问请求均需经过严格身份与环境验证
• 替代传统边界防护模式，实现资源访问的"按需授权"，最小化***面

细粒度访问控制

• 基于多维度条件的访问策略：整合用户身份、设备健康状态、网络环境、访问时间等因素动态决策
• 支持最小权限原则：仅授予访问者完成特定任务所需的最小权限，降低权限滥用风险

全面威胁防护

• 实时访问行为监控：持续分析访问流量，识别异常访问模式与潜在威胁
• 集成入侵防御系统（IPS）：阻断流量与尝试（如SQL注入、XSS等）
• 设备健康检查：对接终端管理系统，验证设备合规性（如是否安装杀毒软件、系统补丁状态等）

高可用性与可扩展性

• 支持集群部署：通过多实例集群实现负载均衡与故障转移，保障服务连续性
• 轻量级容器化设计：适配Docker/Kubernetes环境，便于在混合云、多云架构中快速部署

集中化管理与审计

• 与 Genian NAC（网络访问控制）等系统无缝集成，统一管理访问策略与设备状态
• 完整审计日志：记录所有访问请求、策略执行结果与异常事件，满足合规性要求（如GDPR、HIPAA等）

使用场景与适用范围

企业远程办公安全接入

• 替代传统***，为远程员工提供安全访问内部OA、CRM、ERP等业务系统的通道
• 解决远程办公场景下的设备合规性与数据泄露风险

第三方合作伙伴访问控制

• 为供应商、合作伙伴等外部用户提供受限的内部资源访问权限
• 基于身份与任务动态调整权限，避免长期权限滥用

多云与混合云环境资源保护

• 统一管理分布在私有云、公有云（AWS/Azure/阿里云等）中的应用资源访问
• 实现跨云环境的一致安全策略，简化复杂网络架构下的访问控制

关键业务系统防护

• 保护核心数据库、财务系统、研发服务器等高价值资源，仅允许授权用户与设备访问
• 结合多因素认证（MFA）提升关键资源访问安全性

使用方法与配置说明

前提条件

• Docker Engine 19.03+ 或 Docker Desktop 环境
• 至少 2 CPU 核心、4GB 内存、20GB 磁盘空间
• 网络环境需开放必要端口（默认HTTPS 443端口，管理端口8080等）
• （可选）Genian NAC 或其他身份管理系统（如Active Directory、Okta）作为身份源

获取镜像

通过Docker Hub或私有仓库拉取镜像：

bash
docker pull genian/ztna-gateway:latest

基本运行命令

以下命令启动一个基础的Genian ZTNA Gateway实例：

bash
docker run -d \
  --name genian-ztna-gateway \
  -p 443:443 \
  -p 8080:8080 \
  -e ADMIN_USER=admin \
  -e ADMIN_PASSWORD=SecurePass123! \
  -v /path/to/config:/etc/genian/ztna \
  -v /path/to/logs:/var/log/genian/ztna \
  genian/ztna-gateway:latest

Docker Compose 配置示例

创建docker-compose.yml文件，配置更复杂的部署环境（如连接外部数据库）：

yaml
version: '3.8'
services:
  ztna-gateway:
    image: genian/ztna-gateway:latest
    container_name: genian-ztna-gateway
    restart: always
    ports:
      - "443:443"   # 客户端访问端口（HTTPS）
      - "8080:8080" # 管理界面端口
    environment:
      - ADMIN_USER=admin
      - ADMIN_PASSWORD=SecurePass123!
      - DB_HOST=mysql  # 数据库服务名（同一网络内）
      - DB_PORT=3306
      - DB_NAME=genian_ztna
      - DB_USER=ztna_user
      - DB_PASSWORD=DBpass456!
      - LOG_LEVEL=info  # 日志级别：debug/info/warn/error
    volumes:
      - ztna-config:/etc/genian/ztna  # 配置文件持久化
      - ztna-logs:/var/log/genian/ztna # 日志持久化
      - ztna-data:/var/lib/genian/ztna # 数据持久化
    networks:
      - ztna-network
    depends_on:
      - mysql

  mysql:
    image: mysql:8.0
    container_name: genian-ztna-mysql
    restart: always
    environment:
      - MYSQL_ROOT_PASSWORD=RootPass789!
      - MYSQL_DATABASE=genian_ztna
      - MYSQL_USER=ztna_user
      - MYSQL_PASSWORD=DBpass456!
    volumes:
      - mysql-data:/var/lib/mysql
    networks:
      - ztna-network

volumes:
  ztna-config:
  ztna-logs:
  ztna-data:
  mysql-data:

networks:
  ztna-network:
    driver: bridge

启动服务：

bash
docker-compose up -d

核心配置参数说明

环境变量（Environment Variables）

端口映射（Port Mapping）

持久化配置

通过卷挂载确保配置、日志与数据持久化，避免容器重启后数据丢失：

• /etc/genian/ztna: 配置文件目录（访问策略、证书等）
• /var/log/genian/ztna: 日志文件目录
• /var/lib/genian/ztna: 运行时数据目录（会话信息、缓存等）

管理与监控

1. 访问管理界面：通过宿主机IP:8080访问Web管理界面，使用ADMIN_USER和ADMIN_PASSWORD登录
2. 配置访问策略：在管理界面中定义基于用户、设备、应用的访问规则
3. 日志查看：通过docker logs genian-ztna-gateway查看容器日志，或配置外部日志收集系统（如ELK Stack）

注意事项

• 生产环境中需替换默认管理员密码，并使用强密码策略
• 建议使用SSL/TLS证书（如Let's Encrypt）替换默认自签名证书，提升客户端信任度
• 定期更新镜像至最新版本，获取安全补丁与功能优化
• 集群部署时需确保各节点时间同步（建议使用NTP服务），避免会话认证异常<|FCResponseEnd|>