SANGFORSSL VPNV42客户端安全检查技术说明10.docx
《SANGFORSSL VPNV42客户端安全检查技术说明10.docx》由会员分享,可在线阅读,更多相关《SANGFORSSL VPNV42客户端安全检查技术说明10.docx(8页珍藏版)》请在冰点文库上搜索。
SANGFORSSLVPNV42客户端安全检查技术说明10
SSLVPNV4.2
客户端安全检查技术说明
深信服科技有限公司
2009年10月8日
目录
第1章适用场景1
第2章解决方法1
第3章配置实现2
第1章客户端安全检查适用场景
有别于传统的VPN方式,无需通过硬件网关建立VPN隧道,也无需安装软件客户端,SSLVPN只需要使用浏览器输入网址通过相应的身份认证即可建立VPN隧道,对于用户来说就类似于登录邮箱、网银之类的应用,切合用户使用习惯的同时非常适合IT水平不高和移动办公的人员使用。
方便的同时,也有弊的一面。
处于小型分支的人员、出差员工等有时为了方便,不使用公司专门配备的电脑,而是使用家中、酒店、网吧的电脑直接使用SSLVPN访问总部的资源。
而这些公共电脑的普遍安全防御水平不高,病毒木马众多,电脑登录了SSLVPN之后就相当于将总部的网络边界扩展到了这些终端之上,若是不采用很好的防范机制,这些安全威胁将通过SSLVPN隧道直逼总部网络,造成重大安全隐患。
第2章客户端安全检查解决方法
对于终端接入后的安全保障,需要从两方面进行保证:
一是从终端本身方面需保证接入的终端的必须达到一定的安全标准,避免危险终端的接入;二是从终端连接后保证,保证终端在接入后可以阻断外界对该终端的入侵,避免因总部内网延伸点遭攻破而直接威胁总部。
对于后一点,深信服SSLVPN设备通过VPN专线实现,当终端与总部建立起SSLVPN连接之后,将自动断绝该终端上一切其他的网络连接。
对于前一点则通过客户端安全检测保证,深信服SSLVPN设备支持对操作系统、注册表、文件、进程、登录IP(用户端)、接入线路IP(设备端)、使用终端、登录时间进行“与”、“或”组合的登录前登录后全程检测。
从而保证用户登录时间、登录地点(登录IP)、登录主机(终端检测)、主机安全程度进行全方位的保证。
同时,基于角色的用户权限分配可结合客户端安全检查结果进行相应应用访问权限的准入和授权。
准入即是否允许该用户登录SSLVPN,授权即达到了某一安全级别可授予该用户什么样的应用权限。
通过配置的组合,可达到以下效果:
(1)对于登录时间、地点、终端不符合要求的主机,可通过策略规则的组合不允许该主机接入SSLVPN或只允许其访问一些基本的如内部BBS等应用;
(2)对于符合登录时间、地点、终端要求的主机,并达到一较低安全水平的主机,允许其使用安全级别要求较低的应用,对于安全级别要求较高的如财务系统、订单系统等应用则不允许其访问;
(3)对于符合登录时间、地点、终端要求的主机,并符合较高安全水平的主机,允许其享有该用户可拥有的所有应用的访问权限。
后续我们将实现支持升级的内置策略库,内置防火墙、防病毒软件等规则进行安全检测,方便用户配置。
第3章客户端安全检查功能配置实现
配置顺序为:
设置登录前登录后检测->设置基本规则->设置组合规则->设置检查策略->角色中进行用户、权限、检查策略绑定
(1)启用客户端安全检查:
设置登录前、登录后检查
(2)设置基本规则:
可设置操作系统、文件、注册表、进程、登录IP、接入线路IP、登录时间、登录终端
(3)设置组合规则:
通过组合规则实现安全检测项目的“与”组合
(4)设置检查策略:
项目中包括基本规则和组合规则,通过检测策略的设置,实现安全检测项目的“或”组合
(5)角色设置:
绑定用户(用户支持多角色)、应用权限和安全检查准入策略绑定,只有该用户达到这些安全检测项时,才允许该用户接入
(6)新建一角色绑定同样用户(用户支持多角色)、应用权限和安全检查授权策略,只要该用户达到这些安全检测项时,就赋予该用户该应用的访问权限
例如:
若是满足A规则,则允许用户登录并使用a资源;若是满足A+B规则,则允许用户登录并使用a+b资源;若满足A+B+C规则,则允许用户享有a+b+c资源;若是规则都不满足,则无法登陆SSLVPN
可这样配置:
(1)准入:
规则A,资源a
(2)授权:
规则A+B,资源b
(3)授权:
规则A+B+C,资源c
深圳市南山区麒麟路1号科技创业中心4楼
Add:
4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:
518052
产品咨询热线:
800-830-9565
Email:
master@
升级会员 