Stats
Actions
Tags
Configures Zscaler Private Access (ZPA) for ZTNA: deploy App Connectors on Linux VMs, define app segments, set identity/device posture access policies, integrate IdP to replace VPNs with zero-trust access.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:configuring-zscaler-private-access-for-ztnaThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
- 以应用程序级零信任访问取代传统 VPN 集中器时
不适用于需要原始 UDP 访问的应用程序(ZPA 主要支持 TCP),提供等同于站点到站点 VPN 的完整网络级访问(改用 ZPA AppProtection 或分支连接器),或组织需要纯本地访问控制而无云依赖的场景。
App Connector 建立到 ZPA 云的仅出站隧道,提供对内部应用程序的访问。
# 在 Linux 虚拟机上下载并安装 App Connector
# 从 ZPA 管理门户 > 管理 > App Connector 获取配置密钥
# 适用于 RHEL/CentOS
sudo yum install -y https://yum.private.zscaler.com/yum/el7/zpa-connector-latest.rpm
# 适用于 Ubuntu/Debian
curl -sS https://dist.private.zscaler.com/apt/pubkey.gpg | sudo apt-key add -
echo "deb https://dist.private.zscaler.com/apt stable main" | sudo tee /etc/apt/sources.list.d/zpa.list
sudo apt update && sudo apt install -y zpa-connector
# 使用配置密钥配置连接器
sudo /opt/zscaler/bin/zpa-connector configure \
--provision-key "从门户获取的配置密钥"
# 启动连接器服务
sudo systemctl enable zpa-connector
sudo systemctl start zpa-connector
# 验证连接器状态
sudo systemctl status zpa-connector
sudo /opt/zscaler/bin/zpa-connector status
将内部应用程序映射到服务器组并创建应用程序段。
ZPA 管理门户配置:
1. 服务器组:
导航至:管理 > App Connector > 服务器组
- 名称:"DC-East-Servers"
- App Connector 组:"DC-East-Connectors"
- 服务器:
- hr-portal.internal.corp(10.1.1.50,TCP 443)
- finance-app.internal.corp(10.1.1.51,TCP 443)
- git.internal.corp(10.1.2.10,TCP 22、443)
2. 应用程序段:
导航至:资源 > 应用程序段 > 添加应用程序段
- 名称:"HR 应用"
- 域名/URL:hr-portal.internal.corp
- TCP 端口:443
- 服务器组:DC-East-Servers
- 健康报告:连续
- 绕过类型:从不(强制所有流量通过 ZPA)
根据身份和设备态势定义谁可以访问哪些应用程序段。
ZPA 管理门户 > 策略 > 访问策略:
规则 1:HR 团队访问
- 名称:"HR 门户访问"
- 操作:ALLOW
- 条件:
- 用户组:"HR-Department"(来自 IdP)
- 应用程序段:"HR 应用"
- 设备态势配置文件:"企业托管设备"
- 客户端类型:Zscaler Client Connector
- 条件:
- SAML 属性:department = "Human Resources"
- 设备信任级别:"HIGH"(CrowdStrike ZTA 评分 > 70)
规则 4:默认拒绝
- 名称:"阻止所有其他访问"
- 操作:DENY
- 条件:所有用户,所有应用程序
- 日志:已启用
集成来自端点安全工具的设备态势信号。
ZPA 管理门户 > 管理 > 设备态势:
配置文件 1:企业托管设备
- CrowdStrike Falcon:运行中,ZTA 评分 >= 60
- 操作系统:Windows 10 21H2+、macOS 13+、Ubuntu 22.04+
- 磁盘加密:已启用(BitLocker/FileVault)
- 防火墙:已启用
- 屏幕锁:已启用
配置文件 2:开发者工作站
- 继承:企业托管设备
- CrowdStrike Falcon:ZTA 评分 >= 70
- 补丁级别:最新版本 30 天以内
- 证书:有效的企业证书
为未安装 Zscaler Client Connector 的用户配置浏览器访问。
ZPA 管理门户 > 资源 > 应用程序段:
对于"HR 应用"段:
- 启用浏览器访问:是
- 浏览器访问类型:HTTPS
- 自定义域名:hr.access.company.com
- 证书:上传自定义域名的 TLS 证书
- 认证:通过企业 IdP 的 SAML
- 会话超时:4 小时
- 剪贴板控制:敏感应用禁用
- 文件上传/下载:受限
设置 SIEM 集成和持续监控的日志流。
ZPA 管理门户 > 管理 > 日志流服务:
日志接收器配置:
- 名称:"Splunk-SIEM"
- 类型:Splunk(HEC)
- 目标:https://splunk-hec.company.com:8088
- 日志类型:用户活动、App Connector 状态、审计日志、浏览器访问
# Splunk ZPA 访问异常搜索
index=zscaler_zpa sourcetype=zpa:useractivity
| where action="denied"
| stats count by user, application, policy_name
| where count > 10
| sort -count
| 术语 | 定义 |
|---|---|
| App Connector | 轻量级 Linux 服务,从内部网络到 ZPA 云创建仅出站加密隧道,无需入站端口即可提供对应用程序的访问 |
| 应用程序段(Application Segment) | 由 FQDN/IP 和端口定义的内部应用程序逻辑分组,映射到服务器组以强制执行访问策略 |
| 服务器组(Server Group) | 与 App Connector 组关联的应用服务器集合,可响应应用程序段的请求 |
| 访问策略(Access Policy) | 定义哪些用户/组在什么条件下(设备态势、时间、位置)可以访问哪些应用程序段的规则 |
| Zscaler Client Connector | 安装在用户设备上的端点代理,将流量路由到 ZPA 云以进行策略执行和应用访问 |
| 浏览器访问(Browser Access) | 允许通过 Web 浏览器访问应用程序的无客户端 ZTNA 选项,无需安装 Zscaler Client Connector |
ZPA ZTNA 部署报告
==================================================
组织:FinanceCorp
部署日期:2026-02-23
基础设施:
App Connector:4 个(2x DC-East,2x DC-West)
连接器状态:全部正常
连接器版本:24.1.2
应用覆盖范围:
应用程序段:20
总应用数:45
服务器组:4
段组:6
访问策略:
总规则数:12
允许规则:11
拒绝规则:1(默认拒绝)
设备态势配置文件:3
用户访问(过去 30 天):
活跃用户:487 / 500
总会话数:124,567
允许会话:123,890(99.5%)
拒绝会话:677(0.5%)
浏览器访问会话:2,341
VPN 迁移:
已迁移到 ZPA 的用户:487 / 500
VPN 下线日期:2026-03-15
npx claudepluginhub killvxk/cybersecurity-skills-zhDeploys Zscaler Private Access (ZPA) App Connectors on Linux VMs, defines application segments, and configures identity-based access policies for ZTNA replacing VPNs.
Configures Zscaler Private Access (ZPA) for ZTNA replacing VPNs: deploys App Connectors on Linux VMs, defines application segments, sets identity- and posture-based access policies, integrates IdPs.
Configures Zscaler Private Access (ZPA) to replace VPN with zero trust network access: deploy App Connectors, define application segments, set identity-based access policies, and integrate with IdPs.