网神SecSSL 3600安全接入网关-管理手册
1.2利用网神SecSSL 3600实现远程接入控制
网神SecSSL 3600实现了对远程用户的接入和控制,本节介绍网神SecSSL 3600的基础访问控制和远程接入的基本工作模式。
1.2.1 基于角色的访问控制
网神SecSSL 3600实现了基于角色的用户访问控制系统,如下图所示:
基于角色的用户访问控制
角色是连接用户和服务的关键点。当用户登入系统认证通过之后,网神SecSSL 3600 根据用户名称来查询该用户属于什么角色,再根据角色决定用户可以访问哪些资源。
? 用户:
需要利用网神SecSSL 3600实现通过Internet访问企业内部资源的人员。这些人员可以使用各种不同的计算终端访问网神SecSSL 3600。 ? 服务:
是企业内部系统提供数据的存储、计算等服务的应用系统。一个服务可以是一个应用服务软件,或者是一台机器,或者是若干台机器一起执行的应用系统。 ? 角色:
一个角色可以包含多个服务以及用户;一个用户可以属于多个角色;一个服务也可以属于多个角色。 服务和用户之间没有直接的关联关系。
针对网神SecSSL 3600的访问控制的详细信息,读者可参考第7章。
安全源于管理 管理驱动安全 4
网神SecSSL 3600安全接入网关-管理手册
1.2.2网神SecSSL 3600提供多种用户访问模式
通过Internet远程访问企业内部网络,一方面面对着复杂的Internet,另一方面也面临着不同层面用户的不同要求。比如,针对合作伙伴只需提供一些Web应用即可;针对IT人员则可能需要使其能够访问整个IP网络以便进行网络管理。为了达到有秩序地通过远程访问方式访问企业资源的需要,网神SecSSL 3600提供不同的访问模式给最终客户,包括:
? ? ? ?
基于Web的应用访问服务 (FilePass,UDesk); 基于端口转发的代理服务 (Proxy);
基于IP封装的全网络连接的服务 (Network Connection); 基于SSL加密的直接代理的虚拟服务 (Virtual Service)
基于Web的应用访问服务(FilePass,UDesk) ? FilePass
FilePass是网神SecSSL 3600提供的纯粹基于Web实现的文件共享服务,可以在任意操作系统和浏览器中为用户提供文件共享的服务,其支持的后台服务器类型包括:FTP服务器,CIFS服务器,SMB服务器。
利用FilePass,管理员可以对文件共享实现到一个文件的某个操作的详细控制,比如可以控制用户a只能读取某一个文件file-a。
请参考15.7节的FilePass配置案例。 ? UDesk
UDesk是网神SecSSL 3600提供的基于Java的远程桌面服务,它要求客户端具有Java1.4以上的虚拟机环境。Udesk能让用户在客户端实现零痕迹的对远程桌面服务器的访问。
这种访问的优点是只需要客户端具有Java环境即可提供远程桌面的访问服务,从而帮助用户实现对企业的远程访问。其缺点是需要Java环境的支持,并且需要下载Java Applet插件,在网络速度较慢时,第一次使用该插件需要下载花费一定的时间。
6.3节有更多有关UDesk的资料。 ? Proxy
Proxy是网神SecSSL 3600提供的基于ActiveX的应用端口转发服务,它能够让用户访问企业内部网络任何B/S、C/S结构的服务。 但在Proxy模式下无法实现从服务器端向客户端的主动访问。
要使用Proxy模式,要求客户端能够安装Activex组件,同时用户具有客户端PC的管理员权限,显而易见,这种模式只能在Windows平台下使用。
6.3节有更多有关Proxy的资料。 ? Network Connection 安全源于管理 管理驱动安全
5
网神SecSSL 3600安全接入网关-管理手册
Network Connection(NC,网络连接)是网神SecSSL 3600提供的一种实现网络层互联的功能。NC 模式有两种应用模式:
1. 单个远程用户与网神SecSSL 3600之间建立NC连接,实现远程客户端对企业内部网络的访问; 2. 两个网神SecSSL 3600设备之间建立NC连接,实现局域网络之间的安全连接。
NC连接提供了网络层的互联互通服务,同时网神SecSSL 3600能够对NC连接上运行的数据进行访问控制,确保对企业内部网络的访问控制。
这种方式的优点是可以实现对任意网络资源的访问;其缺点也很明显,即需要在客户端安装组件和虚拟网卡,并且要求远程访问用户在使用该功能时具备管理员权限。
第八章有更多NC的详细资料。 ? Virtual Service
Virtual Service(虚拟服务)是网神SecSSL 3600为用户的业务系统提供的一种SSL卸载服务。使用虚拟服务时,网神SecSSL 3600会要求业务系统的客户端程序使用SSL协议连接到网神SecSSL 3600,然后网神SecSSL 3600再把业务数据转发给应用服务器。这样既无需增加业务服务器的处理负荷,也对业务数据实现了加密保护。它是安全性介于DNAT(Destination Network Address Translation,也就是目的地址转换)和Proxy之间的一种服务。使用Virtual Service,远程用户通过访问SecSSL 3600的特定端口实现对企业内部资源的访问。
利用Virtual Service实现远程访问,管理员可以有三种安全选择:
1. 不需要对用户进行认证也不需要对数据进行加密,这种访问方式类似于DNAT,但只能支持一些由远端客户端发起的TCP应用;
2. 仅加密不认证,这种情况下要求客户端的程序支持SSL协议,利用SSL协议实现应用客户端同网神SecSSL 3600之间的数据加密;
3. 要求客户端利用证书对服务器实现身份的双向认证,并利用SSL协议实现对数据的加密。 Virtual Service的优点是不用任何的客户端组件支持,直接可以访问后台的服务,而且对于应用客户端支持SSL能力的应用,如HTTPS,还可以实现对应用的加密和客户的认证。由于Virtual Service只能使用证书对用户进行认证,所以缺点是其用户认证的授权仅能使用CA认证,而不能进行更多的授权控制。
请参考15.8节的虚拟服务配置案例。
安全源于管理 管理驱动安全 6
网神SecSSL 3600安全接入网关-管理手册
第2章 网络设置
作为网络远程接入设备,设备的网络配置正确是其提供远程接入服务的必要条件。网神SecSSL 3600中与网络相关的配置包括两个部分:第一是系统基础网络相关部分,包括系统的网络名称,接口地址,网络路由;第二是业务相关部分,包括:IP地址池,IP主机表,NAT。 本节介绍在网络配置部分的概念和注意事项。
2.1基本设置
点击“网络 > 基本设置”可以配置网神SecSSL 3600的基本网络信息。这些信息也可以帮助网神SecSSL 3600解析名称。因此,它们的正确性和可用性对于系统工作至关重要。15.1给出了相应的配置范例。
配置了域或DNS服务器之后,管理员在配置服务(“服务 > 服务 > 添加”)时,可以在服务主机名称的字段填写服务器的域名而不需要添加IP地址。
若是此处不配置域名,那么网神SecSSL 3600将无法从网络中解析服务域名对应的IP地址,从而可能造成客户端看到的服务不可用。
2.2接口配置
点击“网络 > 接口”可以对系统的接口进行配置。 在此可根据网络具体需要,配置各个接口将网神SecSSL 3600连接至各种网络。
选择一个接口,得到接口的配置信息如下:
网络接口的配置界面有3个分页,其中“IP地址”页面用来设置接口的地址信息,每一个接口可以选择类型为“内部”接口或者“外部”接口。
针对“外部”接口,若系统需要连接多个ISP,则需要配置“接口默认网关”,外部接口无法使用“DHCP”方式来配置其IP地址。请参见15.1的配置范例。
安全源于管理 管理驱动安全 7
网神SecSSL 3600安全接入网关-管理手册
“浮动IP”仅当系统工作在“HA-AP”模式下才可以配置,其作用是在两台HA机器上提供一个外部访问地址。
“映射IP”仅当系统工作在“ HA-AA ”模式下或者多ISP模式下,并且该接口并不是直接连接在Internet上,而是被DNAT映射访问的,那么需要在“映射IP”中配置用户在外部可见的IP地址和端口号。
2.3系统路由
网神SecSSL 3600仅支持静态路由。点击“网络 > 路由”进入系统路由管理界面;在该页面中可以添加/删除静态路由。
若系统配置了多个外部接口,那么系统对于来自外部接口的连接的应答包将采取由哪个接口进来从哪个接口返回的原则。
2.4名称解析
当客户端仅使用主机名访问应用服务器时,网络会将这个请求发送至一台DNS服务器查询此主机名相对应的IP地址。网神SecSSL 3600支持两个DNS系统。
管理员可指定主、次两台DNS服务器的IP 地址(“网络 > 基本设置”)。当用户仅使用主机名访问服务时这两台服务器将处理产生的DNS请求。
也可手动添加主机名与IP的映射至系统的映射列表中(“网络 > 名称解析”)。这些信息将被保存在客户端缓存中,可直接进行主机名称解析。系统不必通过修改客户端PC上的主机文件来保存DNS信息,从而保证VPN的使用更加安全可靠。
通过第二个名称解析系统,用户仅使用主机名即可成功连接至应用服务器,无论其在网神SecSSL 3600上使用的是主机名还是IP 地址。
为方便管理员,系统还支持导入主机名与IP的映射列表文件(仅支持文本文件)。文件格式为:<主机名>
Company-storage 192.168.0.2 Company-mail 192.168.0.3
注意:若名称解析列表与DNS服务器的查询结果发生冲突,将优先使用名称解析列表。 安全源于管理 管理驱动安全 8