网神SecSSL 3600安全接入网关-管理手册
3. 有效时间
网神SecSSL 3600允许管理员为用户设置其有效时间,即在设定的时间内该用户才被允许访问SSL-VPN。
选择“有效时间”属性,管理员可以设置的时间段有三种:每天的某一段时间;每周的某几天的某段时间;或一段日期内的时间。
?
选择“日”
前一时间小于后一时间,例如08 :00 :00 到23 :00 :00,表示每天的早上8点到晚上11点有效。 前一时间大于后一时间,例如23 :00:00到08 :00 :00,表示每天的晚上11点到隔天的早上8点有效,08 :00 :00到23 :00 :00则是无效的访问时间。
?
选择“周”
前一时间小于后一时间,例如:选择“周”下面的星期一,08 :00 :00 到23 :00 :00,表示星期一早上8点到晚上11点有效。
前一时间大于后一时间,例如:选择“周”下面的星期一,23:00:00到08 :00 :00,表示星期一的23 :00 :00到23 :59 :59和星期二的00 :00 :00到08 :00 :00有效,这样就实现了时间在星期一和星期二之间的跨域。
?
选择“范围”
范围的选择;例如,2008-04-01 00:00:00到2008-06-30 00:00:00表示在这个范围的所有时间有效,不具体到某天的某时刻。
系统默认不启用有效时间特性。
4. 欢迎消息
在欢迎消息里管理员可以设置一段消息,这段消息会显示在客户端登入之后的滚动消息区里面。 5. 缓存清除
缓存清除指的是用户在退出系统时,客户端会自动清理客户端的一些缓存。至于具体清理的对象,管理员则可在“客户端安全 > 缓冲清理”中定义。
缓存清除策略被指定给属性。用户经分配了这些属性的角色认证后,将服从缓冲清理规则动作。 “动作”分页
在此可设定对符合缓冲清理规则的主机执行的动作。“动作”分页中显示了全部缓冲清理的动作列表,标明了要清除的缓存对象。注意只有当缓冲清理规则被分配给相应的缓冲清理策略后,才会应用于用户。
安全源于管理 管理驱动安全 29
网神SecSSL 3600安全接入网关-管理手册
6. 超时
超时时间定义了若用户在一段时间内没有访问任何内部业务应用,则系统将自动强制其下线。这个时间由管理员定义。 若希望用户永远不被强制下线,将超时值设置为0即可。系统默认时间是10分钟,管理员可以在5-300分钟内设置超时时间。
7. 主机绑定
主机绑定的作用是强制远程访问用户只能通过某一台设备进行访问。
选择了主机绑定之后管理员可以继续选择“允许取消主机绑定”,这样远程用户可自行在客户端取消绑定,但是取消了绑定之后用户就不能再被授权访问系统了。为了让用户取消绑定之后还有机会再使用系统,管理员可以选择“允许重绑定”,用户即可在取消绑定之后能够再重新绑定机器。重新绑定的机器可以是原来的机器,也可以是不同的机器,还可以规定用户是否可以立即绑定或者隔一段时间后才能绑定。这一组的选项的组合定义了不同的主机绑定策略,从而满足不同用户环境安全级别的要求。
8. 主机保护
利用主机保护,管理员可限制用户在客户端主机上运行进程和/或使用快捷键。用户在登录的全过程中主机保护都会保持激活状态。
主机保护规则可由界面的“客户端安全 > 主机保护 ”中定义。“动作”分页内有允许或拒绝若干客户端快捷键组合的主机保护动作列表。
7.2.3 条件的使用规则
1. 一个角色中可以选择多个条件 (如: 条件1,条件2,…条件n) 。
2. 每个条件都有各自的成员规则,若条件中没有设定某个成员规则,则此成员被视为无效,也即这个成员不作为该条件的判断因素。只有被设定了的成员才被视为其所属条件的判断因素。 而且必须保证每个被设定成员的判断结果都为真,其所属条件的最终判断结果才为真。
3. 每个条件代表一个唯一的结果(非0即1),当一个条件里面定义的所有的项目都检查通过时,该条件的结果为真(1),否则为假(0)。
举例说明
A. 一个用户,一个角色里面仅仅包含一个条件: 1. 角色里面选定了条件1。
安全源于管理 管理驱动安全 30
网神SecSSL 3600安全接入网关-管理手册
2. 条件1里设定了成员主机检查, 认证凭证, 访问限制规则。这表明,必须这3项的检测结果都是真,该条件才能得到一个真的结果。这当然是最严格的条件检测了,若想放宽条件,放弃一些成员即可。
B. 一个用户,一个角色里面包含多个条件:
1. 角色里面选择了多个条件。那么每个条件之间是平行的关系。只要该角色有一个条件被满足,该角色就被授权给用户。这样做,也简化了角色的设置。
2. 依次判断每个条件,只要有一个条件结果为真,即可进行授权。
C. 一个用户,多个角色,每个角色里面仅仅包含一个条件: 1. 只授权满足条件的角色。
2. 若同时存在多个满足条件的角色,必然带来属性的冲突和服务的冲突。
网神SecSSL 3600解决服务冲突的办法是,所有满足条件的角色,取它们所包含服务的并集。 属性冲突的解决办法是,从严处理,即只要一个角色里面的“重认证”属性为真,不论其他角色里的“重认证”属性为何,都需要执行“重认证”;只要一个角色里的“阻止上网”属性为真,其他都为真;不过,“有效时间”,“欢迎消息”不适用于这种处理。
D. 一个用户,多个角色,每个角色里面包含多个条件: 1. 只授权满足条件的角色。 2. 处理与C.2类似。
E. 一个用户,多个角色,继承Group的角色. 1. 处理与C, D 类似。
总结:
若一个用户只属于一个角色,就不存在属性和服务的冲突。 用户满足角色的条件,就能得到该角色定义的属性和服务。反之则得不到。
7.2.4 属性的使用规则
1. 一个角色仅能选择一个属性集 (属性1,属性2,属性n…) 。
2. 若用户仅满足一个角色的条件,则其会获得该角色定义的属性集,而且是唯一的属性集。 3. 若用户满足多个角色的条件,则其会获得多个角色定义的属性集,这必然带来属性成员冲突。
安全源于管理 管理驱动安全 31
网神SecSSL 3600安全接入网关-管理手册
属性集合中,属性成员的冲突处理办法: 1. 重认证
只要一个属性集定义需要重认证,就需要重认证。 2. 阻止上网
只要一个属性集定义需要“阻止上网”,就需要“阻止上网”。 3. 有效时间
选择第一个满足条件的角色的有效时间,角色的排序按照添加的顺序。 4. 欢迎消息
多个角色里面的消息组合在一起显示给客户。 5. 缓冲清理
只要一个属性集定义需要“缓冲清理”,就需要“缓冲清理”。 6. 超时
选取属性集中最小的“超时”值, 作为用户的“超时”值。 7. 主机绑定
只要有一个要求绑定,就要求对客户端进行主机绑定。 8. 主机保护
只要一个属性集定义需要“主机保护”,则客户端的主机保护会被激活。
安全源于管理 管理驱动安全 32
网神SecSSL 3600安全接入网关-管理手册
7.2.5 对用户重新授权
重新授权指的是当系统配置变化时对当前在线用户的授权处理。
用户上线后,管理员可能对因某种原因(譬如临时要让用户访问一些之前未能访问的服务)为其角色做修改 (为用户添加新角色,删除用户的角色,或更改用户角色的 条件/属性 信息) 。不过修改后的角色不会立即生效,只有在用户下次登入时这些设置才生效。
7.2.6 用户(角色)属性集合展现问题
为方便管理员清楚地知道有哪些与用户相关的属性集合,在“用户帐号”页面显示了用户可以获得的角色和属性集合展示。
进入“帐号 > 用户帐号”页面,在页面最下面有一个“属性”只读列表框,用于显示与用户相关的属性集合。
7.3内容过滤
网神SecSSL 3600目前支持FTP 和HTTP服务的内容过滤,管理员可以为服务设定某个服务命令是否能够被某角色执行,管理员进入“客户端安全 > 内容过滤”页面后可进行配置。具体配置请参见“客户端安全 > 内容过滤”页面的在线帮助。下面是一个配置例子:
在“客户端安全 > 内容过滤”页面上添加一条内容过滤 “cf1”,规定FTP服务的“DELE”命令为“禁止”,然后把cf1配置到角色role1。当被配置role1的用户在使用FTP服务时将不被允许执行“DELE”命令。
至于该用户是否能执行FTP其他的命令,则靠“系统 > 安全”的 内容过滤默认动作 设置而决定。以下是 内容过滤 和 内容过滤默认动作 的关系和效果:
内容过滤默认动作设为 禁止 有为服务命令配置内容过滤 没有为服务命令配置内容过滤
全部服务命令能被执行 全部服务命令能被执行 其它服务命令不能被执行 内容过滤默认动作设为 允许 其它服务命令能被执行 安全源于管理 管理驱动安全 33