网神SecSSL 3600安全接入网关-管理手册
5.2.1 证书认证服务器
为减小管理员添加/导入证书用户的工作量,网神SecSSL 3600新增了添加证书认证服务器功能。点击【添加】按钮可添加多个过滤条件至下拉列表框中,从列表中选择一个条件并点击【删除】按钮可将之删除。管理员可对每个证书认证服务器设定过滤条件,通过判断证书用户是否符合条件过滤出属于此群组的用户。
这样简化了证书用户的管理,因为属于同一群组的所有证书用户可使用相同的角色进行授权。系统将校验证书的有效性以及此群组是否使用此证书进行认证。
点击“认证 > 证书” 管理证书认证服务器。 请参见15.6关于添加证书认证服务器的配置范例。
5.3使用LDAP作为认证服务器
网神SecSSL 3600可使用LDAP服务器作为远程认证服务器,并且允许管理员通过网神SecSSL 3600从LDAP服务器下载帐号信息。考虑到多数企业应用中会以组作为授权单位,因此网神SecSSL 3600支持从LDAP服务器仅下载组信息而不下载帐号信息,这样可以减少管理员在网神SecSSL 3600上的维护工作。
网神SecSSL 3600也支持从配置好的LDAP服务器中下载用户/群组信息。 EntryUUID
LDAP使用EntryUUID来唯一标识一个用户。但是有些LDAP服务器的实现中并没有使用这个属性,仅当确认LDAP服务器使用该属性时才能勾选“启动EntryUUID”选项,否则将导致无法下载“组”和“用户”。
认证未添加的用户
通过配置“默认允许访问”选项,您可以控制是否允许还未添加到网神SecSSL 3600中的用户进行远程认证。当该用户选择认证服务器进行认证时,若勾选上该选项,且该用户所属的组已经添加到系统,系统会将用户的输入提交到LDAP认证服务器进行认证,并在认证成功后将此用户添加至网神SecSSL 3600的用户列表中;否则,即使用户名和密码输入正确,也会认证失败,而用户将不能成功登入。
注意:在不下载用户的情况下,必须下载组,并勾选“默认允许访问”选项,对应的用户才能通过认证。如果用户组较多,而不想下载所有的组,可以只下载最顶层的根组来保证用户能够登入。
也可配置系统,当远端LDAP认证服务器发生变更时,自动将LDAP服务器上用户选中的“组”和“用户”信息以每天1次的频率同步到系统上。勾选“自动同步选项”,而用户也可以通过点击上图中的【同步帐号】按钮做手动同步,强制网神SecSSL 3600比较本次保存的已下载帐号与LDAP服务器上帐号的异同,并修改本地的帐号信息以保持同LDAP服务器上的信息一致。
安全源于管理 管理驱动安全 19
网神SecSSL 3600安全接入网关-管理手册
5.4使用Active Directory作为认证服务器
网神SecSSL 3600可使用AD (Active Directory) 服务器作为远程认证服务器,并且允许管理员通过网神SecSSL 3600从AD服务器下载帐号信息。考虑到多数企业应用中会以组作为授权单位,因此网神SecSSL 3600支持从AD服务器仅下载组信息而不下载帐号信息,这样可以减少管理员在网神SecSSL 3600上的维护工作,当然,网神SecSSL 3600也支持将相关帐号下载下来。
点击“认证 > AD” 管理AD服务器。
AD服务器的【下载用户】和【同步帐号】与LDAP服务器的对应功能是完全相同的。请参见15.5的详细配置信息。
5.5使用Radius作为认证服务器
网神SecSSL 3600支持使用Radius服务器作为远程认证服务器。系统中可以增加多个Radius认证服务器。点击“认证 > Radius”管理Radius认证服务器。
5.6使用SMS认证
网神SecSSL 3600支持将短消息认证作为一种认证方式。点击“认证 > 短消息” 配置实现短消息认证所需的信息。这些配置对应了第三方服务提供商的相应接口,通过向这个接口传递这些信息,从而使网神SecSSL 3600与服务提供商的短信网关之间成功进行通信。
注意必须在“系统 >>安全”中已启用短消息认证,短消息认证才会生效。
安全源于管理 管理驱动安全 20
网神SecSSL 3600安全接入网关-管理手册
第6章 服务管理
在网神SecSSL 3600中,服务是指企业内部的应用业务系统,如一个Web门户网站,一个FTP服务器等,每一个服务可能对应了一台或多台硬件服务器。在网神SecSSL 3600中与服务相关的概念有:服务类型、客户端应用、访问模式、角色、应用权限。
服务要分配给用户需要通过角色来关联,详细配置请参见“授权 > 角色”页面的在线帮助。本章重点介绍服务类型,客户端应用,访问模式和应用权限的概念。
6.1服务类型
服务类型:指的是该网络服务属于哪一种服务,如:SMTP/POP3邮件服务,FTP服务等,服务类型定义了此类型的服务需要使用哪些TCP/UDP端口或IP协议端口。针对不同的服务类型,网神SecSSL 3600需要做不同的处理,以便远程客户能够使用,如针对FTP的主动模式和被动模式,网神SecSSL 3600可进行不同的处理从而帮助用户完成业务。
警告:系统仅能对默认服务类型做特殊处理,如果用户自定义FTP服务类型,系统将无法保证其正常使用。
在配置服务时可选择不同的服务类型;管理员也可自定义系统中能够使用的服务类型,选择 “服务 > 服务类型” 可查看各种服务类型。
安全源于管理 管理驱动安全 21
网神SecSSL 3600安全接入网关-管理手册
6.2客户端应用
客户端应用是指运行在用户计算机上的一个应用程序。这个应用程序需要与服务器进行通信以便为用户提供一定的服务;如CuteFTP是一个FTP客户端,为用户提供FTP服务。
管理员可以在管理端定义客户端应用程序,并设置网神SecSSL 3600的客户端在连接到网神SecSSL 3600网关时自动启动这个应用程序。
也可以设置自动运行的客户端应用程序,当客户端登录或访问服务时,系统将会自动运行这个指定的应用程序。
在配置服务时可以指定一个服务对应的客户端应用。
远程用户也可以不使用管理配置的应用,通过客户端的应用关联功能指定自己喜欢使用的关联应用,例如客户端可以自己关联CuteFTP客户端作为自己的FTP客户端软件。
6.3访问方式和内容控制
网神SecSSL 3600有多种客户端访问方式,如代理 (Proxy) ,网络连接(NC) ,FilePass,UDesk等。每一种方式下对服务的控制力度不同,因此在配置服务时需要指明该服务允许通过何种访问方式来访问。
点击“服务 > 服务” 管理服务。每一种服务可以选择Proxy(代理,Proxy),NC, Web和UDesk四种访问方式。四种方式的区别和联系请参考1.2.2。
四种方式所提供的对应用的控制力度也不同,如下表所示:
访问方式 代理 NC FilePass UDesk 支持应用 内容控制力度 基于TCP/UDP的B/S, 可控制FTP, HTTP的命令,通过C/S架构应用 内容过滤定义; 任意基于IP的应用 FTP, SMB, Filesharing 不支持 CIFS, 可控制到每一个文件的操作权限 MS Terminal Service 可控制客户使用远程服务器上某一个具体应用 针对UDesk中的服务,可以控制客户端可用的特定资源,包括远程桌面剪贴板,打印机,硬盘和声卡。 针对FilePass中的服务,可以控制对于文件/文件夹的操作有:新建,重命名,删除,剪切,粘贴,上传,下载,Zip下载。
选择Proxy方式,可以决定是否强制执行流量控制。若启用了流量控制,当客户端在使用此服务的间隔中,传输的数据流量超出了管理员设定的流量,则客户端将停止使用该服务,直到下一次间隔时间开始。
安全源于管理 管理驱动安全 22
网神SecSSL 3600安全接入网关-管理手册
安全源于管理 管理驱动安全 23