说明:
当安全域间同时启用TSM联动与UTM检测功能时,TSM联动相关策略和默认域间包过滤用来做报文转发控制;严格的域间包过滤策略不再做报文转发控制,只控制报文是否需要做UTM检测。图1流程处理完之后,报文的具体处理如下。 ? ?
报文允许通过,且命中严格的域间包过滤策略的permit规则,报文做UTM检测,UTM检测结果为允许通过则放行报文,UTM检测结果为阻断报文,则丢弃报文;
报文允许通过,但没有命中严格的域间包过滤策略的permit规则,报文放行,不做UTM检测。
SACG的部署方式
SACG主要提供直挂和旁挂两种不同的部署模式,不同模式中设备的配置存在少量差异,本节主要介绍这两种模式的原理及配置上的差异。
旁挂模式
通常情况下,使用TSM功能时内网环境已经存在,终端用户和业务系统已经通过一个核心转发设备(三层交换机或路由器)连接在了一起。如果在部署TSM系统时,使用SACG替换掉这个转发设备,就会涉及到重新构建内网环境和路由的重新学习等问题。为了避免这些问题,可以使用旁挂模式来部署SACG。同时通过旁挂模式也可以避免由于SACG故障导致网络不通的问题。 旁挂模式的典型的组网图如图1所示。
图1 旁挂模式的TSM联动组网图
在该组网中,连接Trust和Untrust区域的路由器也可以使用交换机来代替。通过在路由器或交换机上配置重定向或者策略路由,将Untrust区域的终端设备访问Trust区域的业务系统的流量从路由器或交换机转发到SACG上,由SACG对其进行处理。期间SACG会和TSM服务器进行一系列交互,以确定该流量所属的用户的权限,并进行相应的处理。当这些流量被允许通过SACG后,由业务系统回应的流量会直接通过路由器或交换机转发给Untrust区域。
这种组网是在用户原有组网基础上直接添加SACG和TSM服务器群,不需要破坏原有网络结构。而且由于只有一个方向的流量会经过SACG,所以对SACG的负载要求较小。推荐使用这种模式部署TSM系统。
在图1中,从Internet接入的出差员工和分支机构也都作为不信任的终端,划入到SACG的Untrust区域中,但是在某些场景下,Internet本身就是一种需要认证后才可访问的资源,应当作为认证后域加以保护。所以在这种情况下,可以采用TSM系统的多SACG的组网,如图2所示。
图2 多SACG的TSM联动旁挂模式组网
在该组网中,各个SACG的主要作用如下: ?
SACG_A
分支机构的SACG,部署在分支机构出口,用于控制分支机构访问Internet以及总部内网的行为。如果分支机构不需要单独控制,可以不部署此SACG。 ?
SACG_B
企业总部的SACG,部署在企业出口,用于控制内网用户访问Internet的行为。如果不需要控制此类行为,即不将Internet看做认证后域,可以不部署此SACG。 ?
SACG_C
企业总部业务系统的SACG,部署在进入业务系统的入口,用于控制所有终端设备访问业务系统的行为。 ?
SACG_D
内网用户的SACG,部署在内网用户汇聚的交换机旁,用于控制内网用户之间互访的行为。如果不部署此SACG,内网用户就可以通过交换机直接相互访问,不受控制。
直挂模式
直挂模式是指将设备直接串接在用户原有组网中。典型的组网图如图3所示。
图3 直挂模式的TSM联动组网图
在该组网模式下,有两种使用方式: ?
使用二层接口连接Untrust、DMZ、Trust三个安全区域
这种方式适合于使用TSM前,SACG所在网络位置是一个交换机的情况。相当于通过USG的二层口替代了之前的交换机。
此处的二层接口为三层接口工作在二层模式下的接口。 ?
使用三层接口连接Untrust、DMZ、Trust三个安全区域
这种方式适合于使用TSM前,SACG所在网络位置是一个路由器的情况。相当于通过USG的三层接口替代了之前的路由器。这种方式中,SACG上需要正确配置内网的路由。
两种部署模式在配置上的区别
表1 TSM的两种部署模式在配置上的区别 项目 旁挂模式 ? 直挂模式 可以使用三个二层接口与各个区域相连。 这种情况下相当于在网络中串接一个交换机。此时各个二层接口应该属于同一VLAN,所以不能位于同一接口卡,否则不能触发TSM功能检查。 ? 可以使用三个三层接口与各个区域相连。 这种情况下相当于在网络中串接一个路由器。三个接口必须属于不同网段。所以这些接口既可以属于同一个接口卡,也可以属于不同的接口卡。 接口 SACG通过两个三层接口与交换机相连。 交换机的两个接口需要划入不同的VLAN,使用VLANIF与SACG通信。 表1 TSM的两种部署模式在配置上的区别 项目 旁挂模式 直挂模式 SACG与终端设备相连的接口划入Untrust区域,与业务系统相连的接口划入Trust区域,与TSM服务器相连的接口划入DMZ区域。 需要在SACG上配置路由协议,保证内网网络的连通。 如果由于SACG的部署,导致原有网络的IP地址分配和路由发生变化,需要在与SACG相连的路由器上修改相应的路由表项,以保证内网网络的连通。 安全SACG通过交换机与终端设备相区域 连的接口划入Untrust区域,与业务系统相连的接口划入Trust区域。 重定向与路由配置 需要在与SACG相连的交换机或路由器上配置端口重定向,将从终端设备收到的流量全部转发到SACG上。 需要在SACG上配置一条指向交换机或路由器的缺省路由,以便将检测完成的流量回注到交换机或路由器上,使其可以被转发到业务系统中。 由于旁挂模式中,只有一个方向的流量会经过SACG,所以需要关闭SACG的状态检测功能。USG上基于状态检测实现的功能在旁挂模式中均不可用。 其他安全功能的使用 直挂模式中,USG的大部分安全功能均可正常使用,但是由于直挂模式下两个方向的流量都需要经过设备的检测,流量负载较大,所以开启其他安全功能时要考虑设备的性能承受情况。 配置SACG与TSM控制器的连接
SACG通过TSM控制器与整个TSM服务器群交互用户信息和流量控制策略。所以要使用TSM联动功能,必须将SACG与TSM控制器进行连接。
前提条件
TSM是一套解决方案,USG只是在该方案中承担SACG的角色,所以本节只介绍USG与TSM系统进行联动的相关配置,TSM系统的其他组件的安装、配置请参考TSM产品的资料。
TSM方案中,SACG的各个接口与安全区域的配置与其部署模式有关,详细信息参考SACG的部署方式。
由于SACG需要使用ACL3099~3999来接收TSM系统下发的规则,所以在配置TSM联动之前,需要首先保证这些ACL不被其他功能引用,并且使用undo rule命令先清除这些ACL中已有的规则。