华为TSM终端安全标准管理系统身份认证功能.docxVIP

华为TSM身份认证功效 准入控制 准入控制基础业务步骤 TSM代理和控制服务器建立一个SSL链路，用于保护代理和服务器之间通信 对终端用户进行身份确定 身份认证成功后，请求更新安全策略，取得最新策略信息列表 代理依据更新策略参数检验，而且把终端对企业安全策略检验结果上报控制服务器 控制服务器收到安全检验结果，判定安全检验结果是否符合策略要求 符合，则通知SACG把该终端切换到认证后域 不符合，则通知SACG设备把该终端切换到隔离域 准入控制基础原理-硬件SACG（即防火墙） SACG是在电信级防火墙硬件平台上开发专用接入控制网关 和TSM控制服务器通信，从TSM控制服务器中同时准入控制规则，而且把这些规则转换成ACL 服务器上每个受控域对应两个ACL，一个PERMIT规则，一个DENY规则； 三个默认ACL：PERMIT ALL，DENY ALL，PERMIT 认证前域； 对于进入SACG数据包，检验该数据包对应IP认证状态，假如该IP没有经过认证，则使用认证前域对应ACL规则进行数据包过滤 当终端用户认证时候，TSM控制服务器依据安全检验结果，给准入控制设备发送认证域参数： 终端账号和IP地址； 该账号对应认证域信息，包含认证域对应ACL，默认ACL，和PERMIT认证前域； 当终端用户数据包经过SACG设备时候，SACG设备将依据该终端对应ACL规则进行包过滤，控制终端访问范围 先匹配PERMIT认证前域规则，在匹配认证域对应ACL规则，最终匹配默认规则； 准入控制原理-IPSEC 软件准入控制 依据认证前域/隔离域/认证后域定义，向WindowsIPSEC组件写多组控制规则，其中许可访问写PERMIT规则，严禁访问写DENY规则； 依据安全认证结果，控制终端IPSEC组件，使用哪组控制规则； 当数据报文从本机发出时候，全部报文需要经过IPSEC组件过滤，达成准入控制效果； 终端互访控制 假如两个终端许可访问，当该两个终端需要通信时候，协商一个IPSEC通道 对于外来终端，在没有布署TSM用户端之前，无法和布署TSM用户端协商通道，达成严禁外来终端对局域网范围内终端访问目标 准入控制和互访控制规则冲突处理标准 权限最小优先：严禁比协商优先，协商比许可优先 准入控制基础原理-802.1X 和交换机联动，同HD-SMS； 布署场景 仅列举和SACG相关布署场景。 经典布署场景-单机串联 优点： 布署简单 缺点： 轻易造成单点故障 上下行流量均需经过SACG，设备负担较大 经典布署场景-单机旁路 在关键交换机处侧挂 TSM 系统 SACG硬件安全接入控制网关设备，经过 策略路由将全部访问业务服务器区域上行引流至SACG进行控制； 优点： 硬件故障时，交换机策略路由将自动失效，全部流量按正常路由转发，不会造成单点故障； 只需对上行流量进行过滤，下行流量在交换机上直接进行路由转发，大大降低设备负担（通常场景下，用户正常进行资源访问时，上行流量将大大小于下行流量）； 缺点： 硬件故障时，全部流量将无法进行过滤，网络完全开放； 经典布署场景-双机旁路 SACG （安全接入控制网关）硬件设备分别旁挂在关键交换机处，两台 SACG 之间做主备，以确保SACG高可靠性；在关键交换机处启策略路由，将终端访 问系统系统上行流量引流至 SACG进行控制。 优点： 双机热备，单台SACG故障时，可将流量引导至另一台上，避免了“单机旁路布署”时网络完全开放情况； 缺点： 成本较高，布署较复杂；