WebST在Intranet的应用方案-北京同方信息安全技术股份有限公司.doc

北京清华得实网络安全技术公司 -  PAGE 16 - WebST在Intranet的应用方案 一、安全管理需求 1．用户管理： 要求解决全局的统一的用户身份认证； 用户就近完成身份认证； 对移动用户提供同样的身份认证功能。 2．资源管理： 资源包括所有的TCP/IP应用，资源目录包括了Web页面和TCP/IP端口； 资源在物理上是分布的； 各级机构维护自己本地的资源； 各级机构管理自己的资源访问授权； 二、WebST解决方案 1．WebST组成 WebST安全服务器：提供用户注册功能，保存注册用户的信息（身份、所属组、密钥等信息）；提供认证用户身份功能，为用户和应用服务器之间的通信建立安全通道。 WebSEAL服务器：保存用户对Web资源的访问授权（ACL），对HTTP服务提供访问控制。用户通过WebST安全服务器完成身份认证，取得与Web服务器通信的凭证，再通过WebSEAL服务器提供授权，访问Web服务器资源。 NetSEAL服务器：保存用户对非Web服务外其他资源的访问授权（ACL），对非HTTP的TCP/IP服务提供访问控制。 Java Console管理控制台：提供对WebST安全服务器、WebSEAL服务器、NetSEAL服务器的管理控制。 NetSEAT：WebST客户端软件。 WebST是基于分布式计算环境（DCE）的，从这一点来看，WebST安全服务器是一个DCE Server，而其他的WebSEAL、NetSEAL、NetSEAT、Java Console等都是DCE Client。 2． WebST配置方案 划分两个安全域：总部、一级子公司属于一个安全域，称为一级安全域；任一个一级子公司与其下属的二级子公司属于一个安全域，称为二级安全域。安全域划分如图1所示。 图1 安全域划分 在一级安全域内： 总部： 配置WebST安全服务器、WebSEAL服务器、NetSEAL服务器、Java Console管理控制台； 其中WebSEAL服务器、NetSEAL服务器可以根据总部应用服务器的分布设置多台；WebST安全服务器只需要一台，可以与WebSEAL、NetSEAL等装在同一台服务器上；Java Console只需要一个。 为了保证总部WebST服务器的可靠性，对安装有安全服务器的WebST服务器采用双机热备技术。 一级子公司： 配置WebST安全服务器、WebSEAL服务器、NetSEAL服务器、Java Console管理控制台； 其中WebSEAL服务器、NetSEAL服务器可以根据应用服务器的分布设置多台；WebST安全服务器只需??一台；Java Console只需要一个。 一级安全域的配置方案如图2所示： 图2一级安全域的WebST配置方案 二级安全域内： 一级子公司 配置另一套WebST服务器，也包括一个WebST安全服务器，若干WebSEAL、NetSEAL服务器，一个Java Console。 这套WebST服务器的WebSEAL与一级安全域内的WebSEAL进行双向的灵巧连接，控制一个安全域内的用户访问另一个安全域内的资源。 二级子公司 配置一套WebST服务器，包括一个WebST安全服务器，若干WebSEAL、NetSEAL服务器，一个Java Console。 总的配置图如图3所示。 图3 WebST的总配置图 3．安全控制策略 总部、一级子公司作为一个统一的安全域（CELL）管理，一级子公司、及其下属的二级子公司作为另一个安全域。 WebST安全服务器是安全域内的DCE Server，WebSEAL、NetSEAL、NetSEAT、Java Console等都是安全域内的DCE Client； 3.1 在一级安全域内： 总部和一级子公司的WebST安全服务器复制，总部WebST安全服务器作为主安全服务器，一级子公司WebST安全服务器作为复制的安全服务器； 安全域内所有的WebSEAL、NetSEAL服务器都是独立的。WebSEAL通过灵巧接点（Smart Junction）技术对本地的所有Web服务器提供安全控制；NetSEAL通过应用网关技术提供对本地的所有非HTTP的TCP/IP服务的安全控制； 用户身份认证：用户可以就近到总部或任一个一级子公司登录，因为总部和一级子公司的安全服务器都是复制的，任一个安全服务器上都有用户的注册信息； 图4 一级安全域的安全控制策略 访问控制：各地的WebSEAL、NetSEAL服务器提供对本地的应用服务器的访问控制。用户经过身份认证后，通过要访问的资源所在地的WebSEAL或NetSEAL对用户授权，并提供用户和应用服务器之间的安全通信。 安全管理：实行分级管理。 1）总部、一级子公司各自指定自己的安全系统管理员； 2）总部管理员具有最