华为TSM终端安全管理系统身份认证功能.doc

. 华为TSM身份认证功能一 准入控制1.1 准入控制基本业务流程l TSM代理与控制服务器建立一个SSL链路，用于保护代理和服务器之间的通信l 对终端用户进行身份确认l 身份认证成功后，请求更新安全策略，获得最新的策略信息列表l 代理根据更新的策略参数检查，并且把终端对企业安全策略的检查结果上报控制服务器l 控制服务器收到安全检查的结果，判断安全检查的结果是否符合策略要求▬ 符合，则通知SACG把该终端切换到认证后域▬ 不符合，则通知SACG设备把该终端切换到隔离域1.2 准入控制基本原理-硬件SACG（即防火墙）l SACG是在电信级防火墙硬件平台上开发的专用的接入控制网关l 与TSM控制服务器通信，从TSM控制服务器中同步准入控制规则，并且把这些规则转换成ACL▬ 服务器上的每个受控域对应两个ACL，一个PERMIT规则，一个DENY规则；▬ 三个默认ACL：PERMIT ALL，DENY ALL，PERMIT 认证前域；l 对于进入SACG的数据包，检查该数据包对应IP的认证状态，如果该IP没有经过认证，则使用认证前域对应的ACL规则进行数据包的过滤l 当终端用户认证的时候，TSM控制服务器根据安全检查的结果，给准入控制设备发送认证域的参数：▬ 终端的账号和IP地址；▬ 该账号对应的认证域信息，包含认证域对应的ACL，默认ACL，以与PERMIT认证前域；l 当终端用户的数据包经过SACG设备的时候，SACG设备将根据该终端对应的ACL规则进行包过滤，控制终端的访问围▬ 先匹配PERMIT认证前域规则，在匹配认证域对应的ACL规则，最后匹配默认规则；1.3 准入控制原理-IPSECl 软件准入控制▬ 根据认证前域/隔离域/认证后域的定义，向Windows的IPSEC组件写多组控制规则，其中允许访问的写PERMIT规则，禁止访问的写DENY规则；▬ 根据安全认证的结果，控制终端的IPSEC组件，使用哪组控制规则；▬ 当数据报文从本机发出的时候，所有的报文需要经过IPSEC组件的过滤，达到准入控制的效果；l 终端互访控制▬ 如果两个终端允许访问，当该两个终端需要通信的时候，协商一个IPSEC通道▬ 对于外来的终端，在没有部署TSM客户端之前，无法与部署TSM的客户端协商通道，达到禁止外来终端对局域网围终端访问的目的l 准入控制和互访控制规则冲突处理原则▬ 权限最小优先：禁止比协商优先，协商比允许优先1.4 准入控制基本原理-802.1X与交换机联动，同HD-SMS；二 部署场景仅列举与SACG有关的部署场景。

2.1 典型的部署场景-单机串联l 优点：Ø 部署简单l 缺点：Ø 容易造成单点故障Ø 上下行流量均需通过SACG，设备负担较大2.2 典型部署场景-单机旁路在核心交换机处侧挂 TSM 系统的 SACG硬件安全接入控制网关设备，通过策略路由将所有访问业务服务器区域的上行引流至SACG进行控制；l 优点：Ø 硬件故障时，交换机策略路由将自动失效，所有流量按正常路由转发，不会造成单点故障；Ø 只需对上行流量进行过滤，下行流量在交换机上直接进行路由转发，大大减少设备负担（一般场景下，用户正常进行资源访问时，上行流量将大大小于下行流量）；l 缺点：Ø 硬件故障时，所有流量将无法进行过滤，网络完全开放；2.3 典型部署场景-双机旁路 SACG （安全接入控制网关）硬件设备分别旁挂在核心交换机处，两台 SACG之间做主备，以保证SACG的高可靠性；在核心交换机处启策略路由，将终端访问系统系统的上行流量引流至 SACG进行控制l 优点：Ø 双机热备，单台SACG故障时，可将流量引导至另一台上，避免了“单机旁路部署”时网络完全开放的状况；l 缺点：Ø 成本较高，部署较复杂； / 。