认证访问控制墙网络版白皮书.docx
- 文档编号:13714147
- 上传时间:2023-06-16
- 格式:DOCX
- 页数:7
- 大小:100.80KB
认证访问控制墙网络版白皮书.docx
《认证访问控制墙网络版白皮书.docx》由会员分享,可在线阅读,更多相关《认证访问控制墙网络版白皮书.docx(7页珍藏版)》请在冰点文库上搜索。
认证访问控制墙网络版白皮书
1.认证访问控制墙网络版
1.1认证访问控制墙网络版概述
1.1.1认证访问控制墙网络版简介
认证访问控制墙网络版(下文简称AWN)可以对多种业务系统(B/S*和C/S)、网络设备、服务器(Windows、Linux、Unix等)提供身份认证(Authentication)、访问控制(AccessControl),日志审计(Audit)等功能,为上层应用提供安全基础支撑,下图为AWN系统的层次结构图。
AWN系统层次结构图
AWN是一个集中网络访问认证、授权、审计的解决方案。
对信息系统中的各类资源,如WEB资源、非WEB资源、数据资源、网络设备、服务器以及数据库等,提供统一的认证授权和访问控制功能,可以提高整个信息系统的安全管理水平,有效降低管理成本。
AWN的工作原理如下图所示。
AWN服务器接收用户端发起的各种网络访问请求,分析并验证其身份,用户在使用适当的认证方式验证身份后,方可继续进行网络访问。
同时,AWN系统将根据用户的授权信息对用户的网络访问行为进行控制,并记录用户的登录情况及网络访问行为。
AWN系统原理图
AWN系统通过分析用户与受控资源间的网络包,智能分析并进行认证、授权和审计功能,可方便的部署到现有网络环境中,可以适用于任何信息系统对应用无缝整合的需求,实现网络资源分级管理,对访问机密数据库等密级较高的网络资源进行隔离保护,完全杜绝内网信息安全问题。
1.1.2为什么需要AWN
随着内网建设的不断完善,网络对各种数据、文件服务器越来越多的需求越来越大,但是这些存储类服务器中,有许多资料拥有较高的保密等级,这些资料存在于各个数据库服务器或文件共享服务器中的不同位置,如何管理这些资料?
如何保证这些资料将被允许访问的用户访问?
AWN系统正是为了帮助用户处理“哪些人可以访问哪些网络资源”而设计的。
AW系统可以将密级较高的主机和网络资源进行隔离,只需简单部署,便可实现对保密资源的隔离保护,AWN系统支持多种认证方式,并且根据用户的IP地址和MAC地址进行用户信息的动态绑定,无论用户在内网使用任何一台主机,都可对进行登录,并动态绑定用户授权信息。
AWN系统可以将内网环境中的数据库、文件共享服务器,甚至是共享文件目录乃至单个共享文件,作为“受限”资源进行保护。
之后,这些受限制的服务器将在AWN系统的“监视”下,被经过认证并授权的合法用户访问。
在AWN授权下的用户,所访问的内网资源和应用(如:
各种数据库、共享文件、telnet、SSH等)都可进行详细的日志记录,以便日后进行审计和追责。
AWN可以为以下类型的用户提供安全管理服务:
Ø通信行业:
电信、移动等;
Ø金融行业:
银行、保险、证券、期货等;
Ø政府部门:
税务、工商、公检法、烟草、水利、交通等;
Ø企业单位:
电力、石油、化工、交通、煤炭、粮食等;
Ø国防单位:
军工、军队等。
1.1.3AWN支持哪些应用?
AWN系统支持对以下应用进行网络访问控制:
B/S模式应用系统
AWN支持多种WEB服务器平台,如果只对业务系统进行访问控制,WEB业务系统不需要做任何更改;若希望使用单点登录功能,则需要业务系统实现相应的单点登录接口,同时AWN提供API支持。
C/S模式应用系统
AWN支持C/S模式应用系统,可方便的对目前大部分C/S模式的应用程序进行访问控制管理,减少二次开发。
目前,AWN可以完美支持下列C/S应用的访问控制和日志审计:
✧Telnet
✧SSH
✧FTP
✧SCP/SFTP
✧Oracle、DB2、MySQL、SQL-SERVER等数据库
✧文件共享
1.2AWN的功能特点
AWN是一个网络访问控制、账号信息管理、用户访问审计的统一解决方案。
它对B/S应用、C/S应用、数据资源、网络设备、服务器、数据库服务器的安全使用和管理均提供了完整统一的访问控制功能。
不但为实现了B/S单点登录及开发接口,而且实现了对C/S应用的单点登录。
AWN通过高强度的身份认证、细粒度的权限控制和日志审计,为信息系统的各种应用提供无缝的解决方案,对用户身份、授权和日志审计进行了集中控制和管理。
跟当前其它的类似解决方案相比,AWN具有以下优势和特点:
Ø完全自主知识产权
Ø业务无关性
Ø标准化
Ø高强度的安全性
Ø按资源安全等级保护
Ø可集成性
Ø可扩展性
Ø面向多种资源、细粒度的访问授权;
Ø简单易用性
Ø高稳定性
Ø快速部署
1.2.1完全自主知识产权
AWN系统是时代亿信多年信息安全技术和行业经验积累所形成的新一代身份认证与资源整合产品,全部功能自主研发,具有完全的自主知识产权。
1.2.2业务无关性
AWN系统在网桥模式部署时,业务系统(网络设备、服务器、B/S应用、C/S应用、数据库系统)可以无需安装任何代理(网络设备、服务器、数据库系统)或无需任何改造(B/S应用、C/S应用),只需部署在受保护资源前端,就能轻松实现对受保护资源的网络资源访问控制,简化了系统部署时间,提高了产品部署成功率。
同时,AWN系统在旁路模式部署时,只需让AWN设备连接在交换机上,经过简单配置,便可在完全不影响现有网络环境的前提下完成部署。
达到对现有网络环境零修改。
1.2.3标准化
AWN产品各个模块的开发和设计都严格遵循相应的国际和国内标准。
系统支持标准的密码算法、消息格式和协议。
1.2.4高强度的安全性
时代亿信专注于身份认证、信息安全及相关领域的软件开发与技术服务,AWN产品能够提供完善的网络安全管理机制。
通过高强度的密码策略或基于USBToken、PKI的认证机制、部件间的安全协议和三权分立的管理机制,AWN为网络资源提供了高强度的安全保证。
在为用户提供完善的认证机制的同时,为了方便用户的认证,AWN系统也提供了短信认证等更为灵活方便的认证机制。
1.2.5按资源安全等级保护
AWN系统可对内网中的任何类型的主机进行保护,管理员只需将该主机置于AWN设备后方,便可经过简单配置,根据该主机的业务类型和安全级别设定用户访问策略。
利用物理隔离、安全的身份认证机制和灵活的资源授权机制,把需要保护的主机妥善的保护起来,用户登录AWN系统后,更可体验到单点登录到B/S与C/S资源的简单和方便。
1.2.6可集成性
当前的信息系统中资源包括WEB服务器、应用服务器、数据库数据资源、网络设备、服务器主机和数据库服务器以及文件共享服务等,AWN的目标就是将这些不同环境中的各种资源无缝的结合起来。
对于各种网络资源,AWN通过网络数据报分析、过滤的解决方案达到对资源的授权控制。
对于一般网络中的文件共享服务,AWN可通过在域服务器简单安装子服务的形式,进行域授权控制,实现集成和整合。
另外,AWN完全支持行业标准,例如X.509,Radius(AAA),在安全服务之间提供了灵活方便的可交互性。
根据AWN运行模式的不同,用户可以跟据现有网络环境的情况选择“网桥”模式和“旁路”模式。
网桥模式下,只需简单将AWN设备串联到受控资源前面,对所有访问后方受保护资源的数据包进行过滤控制,从物理上划分出不同的安全区域,具有较高的安全及访问控制级别。
可以为受控资源提供最完善的网络访问控制、授权、集中账号管理和网络访问审计功能。
若部署在旁路模式下,只需让AWN设备连接在交换机上,经过简单配置,便可进行网络数据包的分析和过滤,及认证和授权服务。
1.2.7可扩展性
AWN体现出了非常强大的可扩展性。
AWN基于角色的授权体制和灵活的集成机制使得不管业务怎么扩展、用户怎么增加、数据怎么激增它都能应付自如。
另外,AWN灵活方便的API允许用户根据实际需求定制个性化的安全管理解决方案。
1.2.8面向多种资源的授权机制
AWN提供灵活实用的授权技术以便使管理员管理B/S资源、C/S资源、数据资源、网络设备、数据库服务器。
AWN的授权机制根据动态绑定用户MAC地址来满足各种业务的不同需求。
对服务器的访问授权,可以依据不同的自然人进行权限分配,即使这些自然人共享同一个系统账号。
1.2.9面向会话的访问审计
一般的网络控制产品,在访问审计方面,主要针对IP和端口进行审计,比如某个IP地址在什么时候使用哪个端口访问了哪个IP的哪个端口,这种审计无法得知在访问过程中,用户到地执行了哪些操作,更无法针对这些操作进行访问控制。
AWN系统可针对于用户访问的会话内容进行审计。
比如用户在Telnet某个服务器时,我们可以控制该用户是否可以执行某个命令,并且对用户对服务器所执行的操作进行会话记录,将用户输入的命令及服务器的返回信息进行记录,不论在访问控制方面还是在后期追责方面,都为用户提供了非常方便并且准确的访问控制和日志审计服务。
1.2.10简单易用性
AWN简单易用的管理界面屏蔽了用户权限和策略管理的复杂性,大大减少员工培训和维护的成本。
此外,分级委托授权管理也极大地帮助管理员减轻管理负担。
在使用方面,当用户访问一个受保护的WEB资源时,AWN还将对用户进行主动认证,即使用户不知道服务器地址,也可方便的进行认证并可享受权限内的B/S应用的单点登录功能。
1.2.11快速部署
AWN系统提供两种部署模式:
“透明网桥”与“旁路部署”,这两种部署模式都可简单实现,在最快时间内完成部署,实现对现有网络环境配置的最小化修改。
透明网桥:
将服务器部署在受控资源前面,达到对受控资源的物理隔离,无需修改现有网络配置即可进行资源保护。
旁路部署:
只需让AWN设备连接在交换机上,经过简单配置,便可在完全不影响现有网络环境的前提下完成部署。
1.2.12高可用性
AWN系统为用户提供了双机热备、负载均衡等高可用性解决方案。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 认证 访问 控制 网络版 白皮书