华为TSM终端安全管理系统身份认证功能

  • 格式:docx
  • 大小:250.20 KB
  • 文档页数:6

华为TSM终端安全管理系统身份认证功能
华为TSM身份认证功能
一准入控制
1.1准入控制基本业务流程
●TSM代理与控制服务器建立一个SSL链路,用于保护代理和服务器之间的
通信
●对终端用户进行身份确认
●身份认证成功后,请求更新安全策略,获得最新的策略信息列表
●代理根据更新的策略参数检查,并且把终端对企业安全策略的检查结果
上报控制服务器
●控制服务器收到安全检查的结果,判断安全检查的结果是否符合策略要

▬符合,则通知SACG把该终端切换到认证后域
▬不符合,则通知SACG设备把该终端切换到隔离域
1.2准入控制基本原理-硬件SACG(即防火墙)
●SACG是在电信级防火墙硬件平台上开发的专用的接入控制网关
●与TSM控制服务器通信,从TSM控制服务器中同步准入控制规则,并且
把这些规则转换成ACL
▬服务器上的每个受控域对应两个ACL,一个PERMIT规则,一个DENY规则;▬三个默认ACL:PERMIT ALL,DENY ALL,PERMIT 认证前域;
●对于进入SACG的数据包,检查该数据包对应IP的认证状态,如果该IP
没有经过认证,则使用认证前域对应的ACL规则进行数据包的过滤
●当终端用户认证的时候,TSM控制服务器根据安全检查的结果,给准入控
制设备发送认证域的参数:
▬终端的账号和IP地址;
▬该账号对应的认证域信息,包含认证域对应的ACL,默认ACL,以及PERMIT 认证前域;
●当终端用户的数据包经过SACG设备的时候,SACG设备将根据该终端对应
的ACL规则进行包过滤,控制终端的访问范围
▬先匹配PERMIT认证前域规则,在匹配认证域对应的ACL规则,最后匹配默认规则;
1.3准入控制原理-IPSEC
●软件准入控制
▬根据认证前域/隔离域/认证后域的定义,向Windows的IPSEC组件写多组控制规则,其中允许访问的写PERMIT规则,禁止访问的写DENY规则;▬根据安全认证的结果,控制终端的IPSEC组件,使用哪组控制规则;
▬当数据报文从本机发出的时候,所有的报文需要经过IPSEC组件的过滤,达到准入控制的效果;
●终端互访控制
▬如果两个终端允许访问,当该两个终端需要通信的时候,协商一个IPSEC 通道
▬对于外来的终端,在没有部署TSM客户端之前,无法与部署TSM的客户端协商通道,达到禁止外来终端对局域网范围内终端访问的目的
●准入控制和互访控制规则冲突处理原则
▬权限最小优先:禁止比协商优先,协商比允许优先
1.4准入控制基本原理-80
2.1X
与交换机联动,同HD-SMS;
二部署场景
仅列举与SACG有关的部署场景。

2.1典型的部署场景-单机串联
●优点:
➢部署简单
●缺点:
➢容易造成单点故障
➢上下行流量均需通过SACG,设备负担较大
2.2典型部署场景-单机旁路
在核心交换机处侧挂 TSM 系统的 SACG硬件安全接入控制网关设备,通过
策略路由将所有访问业务服务器区域的上行引流至SACG进行控制;
●优点:
➢硬件故障时,交换机策略路由将自动失效,所有流量按正常路由转发,不会造成单点故障;
➢只需对上行流量进行过滤,下行流量在交换机上直接进行路由转发,大大减少设备负担(一般场景下,用户正常进行资源访问时,上行流量将
大大小于下行流量);
●缺点:
➢硬件故障时,所有流量将无法进行过滤,网络完全开放;
2.3典型部署场景-双机旁路
SACG (安全接入控制网关)硬件设备分别旁挂在核心交换机处,两台 SACG
之间做主备,以保证SACG的高可靠性;在核心交换机处启策略路由,将终端访
问系统系统的上行流量引流至 SACG进行控制。

●优点:
➢双机热备,单台SACG故障时,可将流量引导至另一台上,避免了“单机旁路部署”时网络完全开放的状况;
●缺点:
➢成本较高,部署较复杂;。