身份认证网关实施文档.docVIP

文件编号：JYYH/QR16-GJB-QF25-v1.0 （JYYH/JL7.5-2013-04-16-A-41） 项目名称： 编号：项目编号-SFRZ-01/01 XXXXX项目 身份认证网关安装实施文档 部 门 编　　撰 审　　核 批　　准 生效日期 文档编号 文档密级 历史修订记录 编号 修订日期 版本号 修订人 说明 01 02 03 04 05  目录 一． 部署概述 5 二． 系统基础配置 7 1. 接口配置 7 2. 部署方式 7 3. 开放的服务 7 4. 客户端安全要求 7 三． 策略配置 8 四． 产品资质文件 9  部署概述 项目名称 地 址 名称 身份认证网关 产品型号 WT318-7 产品序列号 　 　V 实施人员 　 　 (以拓扑图形式绘制出设备位置、IP地址、端口连接等) 网络配置 IP地址/掩码 内口：54 外口：46 网关 54 管理地址 54 管理方式 在内口侧直接管理 在外口侧身份认证通过后，可进行管理 使用端口 3333 1080 身份认证端口和代理端口 授权管理-角色 OA角色 应用服务配置 OA 三员账号及职责 管理员类型 用户名 密码 （复杂度要求） 职责 系统管理员 system 12345qwert 负责系统层级的日常运行维护及用户信息的添加、删除、更新等操作； 安全保密员 safe 12345qwert 负责系统的日常安全保密工作，主要包括策略的制定、变更以及磐石服务端产生的日志的审计分析； 每周应对登陆日志进行分析评估，对异常、违规等操作做出及时响应，以及对策略进行适当调整。 安全审计员 audit 12345qwert 负责对系统管理员、安全保密管理员的操作行为进行审计核对、跟踪分析和监督检查。 系统操作员 op 12345qwert 负责身份认证网关的日常操作维护，主要工作由系统操作员进行。 系统基础配置 接口配置 接口名称 描述 接口模式 地址及掩码 状态 内口 与应用服务端对接 1000M 54 外口 与终端用户对接 1000M 46 部署方式 设备采用代理模式进行部署，即终端用户只需要访问身份认证网关外口，应用服务端只需要访问身份认证网关的内口，并且身份认证网关配置了对内应用服务的代理，终端用户对应用服务器不能直接访问，只能身份认证成功后由身份认证网关代理访问，但用户表面操作与直接访问应用服务器无异，不改变用户使用习惯。 开放的服务 只需要开放终端到身份认证网关外网口地址的1080和3333端口。 客户端要求 操作系统 Windows XP系统，Windows 7系统。 网络要求 与安全认证网关外网口网络连通 绑定Windows用户 客户端登录，插入用户的Key，输入正确的PIN码即可。  策略配置 配置策略 USBKEY 锁定 连续输错5次PIN码锁定 证书匹配 必须由武汉滨湖电子CA发行的KEY才能认证 基于角色的访问控制 必须指定某一角色能访问某一服务 必须指定某一用户属于某一角色 形成 用户-角角-服务 的访问控制关系，不隶属于这一关系的访问行为一律拒绝 单点登录 与OA绑定，身份认证后直接识别KEY内信息登录OA 三员管理 由系统管理员SYSTEM、系统安全员SAFE、安全审计员AUDIT构成管理三员，并设立独立的系统操作员进行系统维护 产品资质文件 四川久远银海软件股份有限公司 身份谁认证网关安装实施文档 6/9