基于角色管理安全网关.docVIP

基于角色管理的安全网关 关键词：基于角色管理的安全网关、基于IP管理的安全网关 摘要：随着网络技术不断发展，网络应用的模式不断地发展，传统安全网关产品（例如：防火墙）的网络访问控制模式和资源分配模式已经不能很好地满足用户需求。基于角色管理的安全网关，改变了以IP为对象的传统管理模式，在网络资源分配以及网络访问控制上以用户为对象。从而使得安全网关产品在访问控制的效果更严密，网络资源分配的粒度更加精细，对安全事件的审计与追踪更加清晰。 缩略语清单： 缩略语 英文全名 中文解释 RBNS Role based network service 基于角色的网络服务 IPBNS IP based Network Service 基于IP地址的网络服务 RBCA Role based Access Control 基于角色的访问控制 ACL Access Control List 访问控制列表 DDNS Dynamic Domain Name Server 动态域名服务  一、 概述 随着信息技术不断发展，企业对信息依赖度越来越高，员工随时随地需要掌握和分享各种各样的信息。在移动办公需求的推动下，对业务应用的访问模式不断涌现。员工不再固定象以前一样，只在固定的终端上访问固定的信息。他们可以通过笔记本、手机、PDA等移动终端上实现对业务应用的访问，更及时更有效的办公。 然后新的访问模式给企业的信息安全风险管理和网络资源分配带来了新的挑战。新访问模式会带来IP地址的不确定性、远程接入主机的不可靠性两大问题。传统的安全网关（包括防火墙、UTM等）采用基于IP地址的传统管理模式（主要指对访问控制以及资源分配）无法再适应新的访问模式，用户需要有一种新的管理模式的安全产品。Hillstone山石网科 SA系列安全网关支持基于角色的安全管理模式解决了上述问题。 Hillstone山石网科 SA系列安全网关所支持的安全管理模式包含两部分内容，一部分是基于角色访问控制（RBCA），一部分是基于角色的网络资源分配（RBNS），可面向角色对信息进行有效的访问控制和分配，在解决新的访问模式下带来的问题的同时，也能为用户提供基于角色和应用的带宽管理手段。另一方面，基于角色的管理模式也能够兼容基于IP的管理模式，能够很好跨越这对企业的信息安全的管理以及分配带来了新的挑战。 Hillstone山石网科 SA系列安全网关通过角色身份认证、角色身份的确定以及基于角色的访问控制与资源分配三个环节来实现基于角色的管理模式。同时兼容了基于IP的管理模式，可以使用户在原有的网络上进行切换与改造。 二、 传统安全网关管理模式的不足 什么是基于IP地址的管理模式 传统的安全网关实现的在实现安全管理时使用的是安全策略或者ACL（Access Control List）。安全策略或者ACL根据数据报文的属性来实现对数据流的访问控制，这些属性包括源接口域、目的接口域、源地址，源端口，目的地址，目的端口，协议号或应用类型来确定是否允许数据流的通过。一般入接口和出接口也会成为策略的一部分。以下是一个实例： 源接口域 目的接口域 源地址 源端口 目的地址 目的端口 协议 组 动作 内部域 外部域 Any Any 80 TCP g1 不允许 内部域 外部域 Any Any Any Any Any g2 允许 内部域 DMZ Any Any Any 允许 允许 外部域 DMZ Any Any 80 TCP 允许 允许 其中，源地址和目的地址分别代表了来访主机与被访问的服务器。通过安全策略的设定，用户可以限制某一应用允许被哪些主机访问。具体来说，策略或者ACL列表提供一个对数据流的审查机制，审查来访数据的主机去访问服务器上的某一应用是否合法。而判断来访主机和被访问服务器的依据是其IP地址。  基于IP管理模式的不足 基于IP的管理模式依赖于主机的IP地址判断来访者是否合法。从来带来以下几个问题。 基于IP管理模式无法使远程用户安全进行安全地接入。 对于远程接入的用户，其IP地址是动态的，不可预测的。例如，远程接入用户的笔记本在酒店、机场接入Internet，希望通过Internet连接到内网，其IP地址是不可预测的。但对于网络管理员来说，要确认接入主机的身份是否合法就必须知道远程接入主机的IP地址。所以，网路管理员无法明确的定义一条明确的规则，允许该主机接入至内网。要进行外网远程接入，只能允许外网所有主机访问进行远程接入。从而给内网网络安全带来极大的风险。 部分安全网关厂商通过支持DDNS（动态域名服务）解决该问题。 但由于DDNS系统是第三方的系统，本身具备一定的脆弱性，容易受到攻击。其可用性，可靠性问题会给用户带来额外的不可控风险。比如在DD