网神SecSSL 3600安全接入网关-管理手册
6.4单点登录
单点登录 (SSO) 功能,可以将终端用户的登录信息存储在登录不同的应用服务器上,则用户登录时大大减少了操作量。网神SecSSL 3600给用户提供了两种单点登录功能:
1. PIA
PIA(密码辅助输入)由用户在系统的客户端界面进行配置。当客户端登录网神SecSSL 3600 时,系统将自动保存登录信息并在用户访问其它应用服务器时使用。用户也可修改PIA使用的信息。
PIA只能维护一套登录信息,且仅当登录窗口为标准的Windows窗口时有效。终端用户要如何配置PIA的详细资料,请参考附刊《终端用户远端访问指南》。
2. Web SSO
网神SecSSL 3600为HTTP和HTTPS服务提供了Web 单点登录的加强功能。当用户首次访问服务时,web SSO会记录下登录信息,在用户以后的访问中将自动使用此登录信息。
Web SSO能为不同的服务器保存不同的登录信息。管理员可指定将Web SSO信息存储在网神SecSSL 3600服务器端或客户端。
首先在“系统 > 安全”界面启动Web SSO功能。然后在“服务 > 服务”界面为Web服务配置相应的SSO信息。
关于如何为用户配置Web SSO,请参考15.10的案例。
安全源于管理 管理驱动安全 24
网神SecSSL 3600安全接入网关-管理手册
第7章 授权管理与客户端安全
网神SecSSL 3600使用基于客户端安全的动态角色访问控制,每一个用户登入时网神SecSSL 3600客户端都会检查客户端本地的安全状态,可以包括:防病毒软件状态检查,木马程序检查等等,具体检查内容管理员可作为条件定义并应用在角色上。
7.1基于角色的访问控制模型
网神SecSSL 3600提供远程接入服务,用户通过网络连接到网神SecSSL 3600,经过认证之后就会获得相应的对内部网络资源访问的权限。但实际应用中并不是所有的远程接入用户具有相同的资源访问权限。为实现不同的人员能够访问不同的资源,需要使用基于角色的访问控制方法。网神SecSSL 3600采用基于角色的访问控制模型,如下图所示:
基于角色的用户访问控制
基于角色的访问控制模型中通过构建角色来实现对不同用户的访问控制。其中角色是连接用户和服务的关键点。当用户登入系统,并认证通过之后,网神SecSSL 3600 根据用户名称及其客户端安全状态来查询该用户属于什么角色,再根据角色决定用户可以访问哪些资源。
网神SecSSL 3600的访问控制模型中涉及到以下概念:
角色:是用户、服务、客户端安全条件、用户安全属性的集合,一个角色代表了一类用户,他明确了这类用户包括哪些帐号,他们通过网神SecSSL 3600可以访问哪些资源,客户端需要具备什么样的条件,以及用户在访问内部资源时需要遵守的一些要求。
用户:需要利用网神SecSSL 3600实现通过Internet访问企业内部资源的人员。这些人员可以使用不同的计算终端访问网神SecSSL 3600,关于用户的类型、生命周期和管理方法请参考第4章。
安全源于管理 管理驱动安全 25
网神SecSSL 3600安全接入网关-管理手册
服务:是指提供数据的存储、计算、展现等服务的应用系统。一个服务可以是一个应用服务软件,或者是一台机器,或者是若干台机器一起执行的应用系统。
7.1.1角色的定义
在网神SecSSL 3600中,角色定义了用户的类型,包括该用户需要具备的安全条件,可以访问的资源,以及对其访问行为的一些约束。
一个角色由用户、组、服务、客户端安全条件、用户属性和内容过滤构成。
一个角色可以包含若干个服务,若干个用户/组;一个用户可以属于多个角色;一个服务也可以属于多个角色。
对用户的客户端的安全条件可以选择多个,但是一个角色只能给用户赋予一个属性集合。 对于客户端安全条件和属性的计算方法请参考7.2。
角色中可以定义内容过滤,由于内容过滤只能作用于FTP和HTTP服务,因此在角色中定义的内容过滤将会被应用到该角色包含的相应的服务中。
角色中定义的用户/组是否可以获得该角色授予的服务的访问权限,取决于两个因素,第一是该用户是否被认证通过;第二是该用户使用的客户端是否符合角色中定义的条件的要求。关于角色中的条件及其作用方式请参见7.2。
安全源于管理 管理驱动安全 26
网神SecSSL 3600安全接入网关-管理手册
7.2对客户端安全条件和属性的说明
在角色配置中加入“条件”和“属性”,就能实现用户动态授权和用户动态属性分配。 条件:是用来判断一个远程接入的用户是否可以获得一个角色的依据。 属性:则是具备某一类角色的用户在远程访问时需要遵守的安全设置。
7.2.1 条件
一个条件由以下规则组成: 1. 主机检查
网神SecSSL 3600支持对客户端的计算机进行安全性检查,管理员可以定义具体检查的内容。网神SecSSL 3600支持对Windows 2000/xp/2003/Vista平台的客户端机器进行检查,不支持对Windows Mobile系统进行安全性检查。您可以点击“客户端安全 > 主机检查”以配置主机检查规则。
检查内容可以是下列内容的组合:系统进程;注册表项;注册表值;系统文件;服务;驱动器;模块;补丁;端口;文件版本。
要完成对一个安全条目的检查,有时需要多个检查项目才能确定,如检查客户端的防病毒软件是否已经更新等。因此在网神SecSSL 3600中,配置客户端安全检查有两个层次:策略和规则;一条策略由多条规则组成,
如果客户端不符合主机检查规则,则将在客户端上执行规则中设置的动作。例如,可配置停止运行一个注册项的规则动作。可指定仅应用于一条具体规则的动作,也可设置适用于所有规则的全局动作。一条规则只能定义一个检查条目,如一个系统进程是否存在等。
更多详细内容参考:“客户端安全 > 主机检查”的在线帮助。
一个条件里可以使用多个主机检查策略,点击“授权 > 条件”选择一个合适的条件进行编辑,在页面下侧有对主机检测信息的设置。
如上图所示,管理员可以为该条件选择多条主机检测策略,针对多条已经选择的策略可以分成多个组,每一组之间用“------- AND ---------”进行连接,意思是先进行组内策略的“或”运算,然后进行组间的AND运算,每个组中至少需要有一条策略被满足。如上图中“Kaspersky Anti-Virus 6.0”和“McAfee 8.0.0”中仅需要有一个被满足,而“Windows Firewall”,“Windows auto update”则必须都被满足。只有当图示中三个组的结果都满足时,那么此条件定义的主机检查的最后取值才为真。 安全源于管理 管理驱动安全
27
网神SecSSL 3600安全接入网关-管理手册
2. 认证凭证
网神SecSSL 3600允许客户端使用不同的形式作为认证凭证,不同的认证凭证具有不同的安全级别,因此管理员可以要求特定的客户登入系统时必须使用指定的相应认证凭证。网神SecSSL 3600提供四种凭证类型:“密码”、“证书”、“密码+证书”,以及“全部”,“全部”是指用户通过其他三种认证方式都是可行的。
3. 访问限制
网神SecSSL 3600可对管理员或者远程用户进行二层的接入控制,即要求用户必须通过指定接口/IP地址才能连接到网神SecSSL 3600。 这包括了访问控制列表和访问控制默认动作的设置。更多详细内容参考“客户端安全 > 访问控制”的在线帮助。
7.2.2 属性
属性是角色的一个构成部分,每一个属性可以分配给多个角色,但是一个角色只能包含一个属性。点击“授权 > 属性”,选择已有的属性或添加新属性均可进入属性管理页面。一个属性由8个项目组成,本节将对这8个项目的作用和使用方式进行说明。
1. 重认证
为了保障用户通过SSL-VPN接入到企业内部网络的安全性,防止客户端在用户离开时被盗用,因此网神SecSSL 3600客户端使用一段时间以后,即会弹出一个窗口要求用户重新认证。弹出重新认证对话框的时间间隔由管理员设置。对于重新认证,用户最多有三次机会尝试认证,若三次认证均失败,则用户将会被强制下线。若是用户认证成功,则可以继续使用当前的客户端。
系统默认不启用重认证功能。 2. 阻止上网
本属性的作用是禁止登入到SSL-VPN的用户同时使用Internet,这样可以防止Internet上的恶意代码用户在通过SSL-VPN使用内部网络时侵扰企业内部网络。
点击“授权 > 属性”,选择已有的属性或添加新属性均可进入属性管理页面。管理员可在此处设置“阻止上网”属性。
系统默认不启用阻止上网功能。
安全源于管理 管理驱动安全 28