身份认证网关手册

身份认证网关G管理员手册目录前言i手册说明i读者对象i手册简介ii手册约定iii1. 身份认证网关 简介11.1典型部署模式11.2利用网关实现远程接入控制42. 网络设置72.1基本设置72.2接口配置72.3系统路由82.4名称解析82.5 IP地址池92.6 NAT93. 使用证书113.1配置网关证书113.2管理用户端证书的签名CA123.3使用OCSP服务器对客户端证书进行验证133.4添加证书用户134. 用户和用户组管理144.1用户的类型144.2系统管理员154.3用户生命周期164.4用户和组的关系185. 认证205.1使用本地认证服务器205.2使用证书作为认证凭证215.3使用LDAP作为认证服务器215.4使用Active Directory作为认证服务器225.5使用Radius作为认证服务器226. 服务管理236.1服务类型236.2客户端应用256.3访问方式和内容控制256.4单点登录277. 授权管理与客户端安全287.1基于角色的访问控制模型287.2对客户端安全条件和属性的说明307.3内容过滤368. 配置网络连接378.1如何配置NC388.2其它NC属性409. 端对端的网络互连429.1利用网关实现端对端的网络互连4210. 日志和审计4410.1邮件告警4410.2配置日志系统4510.3将日志存储到外部的服务器上4510.4在网关上查询日志4510.5报表配置4810.6查看系统 Top N 统计4910.7系统资源监控5110.8在线用户5310.9服务状态5410.10用户会话5411. 高可用性5511.1利用网关实现远程接入HA5511.2使用多条Internet线路保障系统可用性5712. 系统维护5912.1系统信息5912.2许可证管理6012.3配置管理6012.4系统安全设置6012.5设置系统时间6212.6升级系统6212.7重启系统6312.8启用功能6312.9客户自定义6312.10工具6412.11组件下载6413. 虚拟门户6513.1配置虚拟门户6514. Shell命令6815. 配置实例6915.1网络基本设置6915.2配置多ISP接入方式7215.3配置AA工作模式7415.4导入和导出系统配置7915.5利用AD作为认证服务器8115.6证书认证8515.7使用Filepass访问FTP服务8715.8通过虚拟服务访问内部网络9415.9以NC方式访问内部网络9515.10 为用户添加启动Web SSO的Web服务10015.11用户动态授权访问10315.12配置客户端绑定10815.13配置检查客户端防病毒软件10915.14端对端NC连接11415.15通过代理服务器访问客户端界面11715.16从PDA上访问网关12015.17将日志存储到外部的服务器上127附录A：使用LCD面板128附录B：名词解释130前言前言吉大正元身份认证网关产品是提供内部网络的接入控制以及对接入用户、接入设备进行强身份认证和审计服务的产品，解决用户使用应用系统时涉及的身份验证、信息保密、权限控制等安全问题。通过网关，无需客户端软件，内部用户、终端用户和分支机构等即可轻松安全地访问内部网络资源。身份认证网关通过支持对用户的认证、基于角色的访问控制以及数据加密技术为用户提供了安全保障。网关实现了良好的加密和认证功能，加密隧道保证了数据在传输过程中的加密和解密。 本手册前言分为以下四个部分：l 版本说明l 读者对象l 本书简介l 本书约定l 其他注意事项手册说明网关系统的用户界面已提供了很周全的在线帮助，为您解释和描述网关的各种功能与参数。本手册的目的，则是让您能够对网关功能有更深入的理解，和认识应用在网中的技术和概念。除此之外，本手册也提供了许多功能配置的应用案例，以帮助您轻松胜任管理和配置网关的任务。本手册适用于身份认证网关V2.2版本的G1000/G2000/G3000/G5000设备。读者对象本手册适合下列人员阅读l 网络工程师l 网络管理人员手册简介本手册后续章节包括：第1章 身份认证网关简介介绍了部署网关的典型模式。 也介绍两个基本，但很重要的概念：角色和访问控制。第2章 网络设置在网关还没能够完全运作，您必须配置一些基本网络设置。本章将介绍这些设置参数。第3章 使用证书介绍网关如何使用证书来认证网关和用户。第4章 用户和用户组管理介绍了网关里用户和用户组的概念。第5章 认证网关会对所有要访问系统的用户组做认证。 本章介绍了网关所使用的认证方法和机制。第6章 服务管理解释什么是服务，和怎样配置和管理这些服务。第7章 授权管理与客户端安全详细介绍了授权和访问控制的概念，并如何配置远端访问。第8章 配置网络连接网络连接，或NC(Network Connection)，是网关访问模式之一。本章将详细介绍此访问模式的概念，和如何配置它。第9章 端对端的网络互连详细介绍了端对端的网络互连的功能，和如何使用它。第10 章 日志和审计一个周全的系统必须有一个记录日志的功能，以及能让管理员监控和分析系统的工具。本章介绍了网关的日志和监控功能。第11 章 高可用性高可用性是身份认证网关不可缺少的功能。本章介绍了网关的高可用性功能。第12 章 系统维护介绍了网关维护系统的功能，如系统时间，系统安全设置等。第13 章 虚拟门户虚拟门户是网关可订制的登录界面。本章介绍了如何配置虚拟门户第14 章 Shell命令介绍了网关的命令行 (Shell) 命令。第15 章 配置实例本章给出一系列配置应用案例，以帮助您更容易配置网关。附录A 使用LCD面板详细描述了网关系统中LCD面板的使用；附录B 名词解释列举了在本手册运用的技术词汇。手册约定以下是手册里所用到的约定。格式意义加粗加粗的文字代表界面上的参数【 】用于表示按钮名称；如：单击【确定】按钮用于表示多级菜单，如：“网络 基本设置”表示“网络”菜单下“基本设置”子菜单项。身份认证网关 管理员手册1311 身份认证网关 简介Chapter1 身份认证网关 简介吉大正元身份认证网关产品是提供内部网络的接入控制以及对接入用户、接入设备进行强身份认证和审计服务的产品，解决用户使用应用系统时涉及的身份验证、信息保密、权限控制等安全问题。通过网关，无需客户端软件，内部用户、终端用户和分支机构等即可轻松安全地访问内部网络资源。本章将介绍典型的网关部署模式。您可以采用任何一个所介绍的模式，或联系吉大正元技术人员帮您计划适合的部署模式。本章也介绍了两个基本，但很关键的概念：角色和访问控制。网关有许多功能都直接或间接跟这两个概念有关。1.1典型部署模式网关有三种典型部署方式：单机、多出口以及HA模式。所有来自外网的访问数据都要通过网关的保护才能进入内部网络，以此来阻止消息窃听、消息重放、不合法登入等攻击。下面将详细介绍网关的这三种典型布局方案和结构图示。在实际应用中可根据网络环境和客户要求进行组合来实施具体的部署，例如可以部署HA+Multiple ISP模式等。1.1.1单机模式利用网关可以为用户提供身份认证、访问控制解决方案。终端用户可通过SSL隧道的保护安全的接入到内部网络。网关支持各种认证服务器，如：Radius、Windows AD、LDAP等，可以方便地同用户现有的认证系统结合在一起，便于用户部署整体安全解决方案。下图为典型的单机模式部署的结构图示。1.1.2 多出口模式利用网关为用户提供的身份认证解决方案，可以方便终端用户访问内部网络；但由于远程终端用户接入Internet的条件不同，导致不同的用户可能从不同的运营商接入到Internet。在这种环境下，跨运营商实现对网关访问会出现网络质量不稳定的情况，尽管网关的客户端智能可以在低速和不稳定的链路上保持连接畅通，但有些应用因为对网络环境的要求比较苛刻，会导致不能使用。在网关上可配置多个外部接口，每一个接口连接一个ISP，再结合网关客户端的智能选路功能，可以保障从不同ISP接入的客户都能得到良好的网络应用体验。1.1.3 HA（高可用性）模式身份认证网关的目的是在严格审核用户身份的同时，还要保证终端用户可以随时接入到内部网络。这就要求网关提供高可靠性，同时要能对物理网络环境可能出现的故障提供足够的容错措施；网关的HA特性即可解决这个问题。如下图所示，两台网关以双机备份模式部署，既可采取AA（主动-主动）模式，也可采取AP（主动-被动）模式。在HA模式下，两台网关可以自动地实现配置的同步，并能依据网络可用性、自身状态等条件实现状态的切换和恢复；在AA模式下，结合客户端智能还可以实现负载的均衡。因此HA模式使得网关具备了良好的高可用性，从而保障终端用户能够随时访问内部网络资源。关于HA的详细配置，请参见手册第11章。1.2利用网关实现远程接入控制网关实现了对终端用户的接入和控制，本节介绍网关的基础访问控制和用户接入的基本工作模式。1.2.1 基于角色的访问控制身份认证网关实现了基于角色的用户访问控制系统，如下图所示：基于角色的用户访问控制角色是连接用户和服务的关键点。当用户登入系统认证通过之后，网关根据用户名称来查询该用户属于什么角色，再根据角色决定用户可以访问哪些资源。用户：需要利用网关访问用户内部资源的人员。这些人员可以使用各种不同的计算终端访问网关。服务：是用户内部系统提供数据的存储、计算等服务的应用系统。一个服务可以是一个应用服务软件，或者是一台机器，或者是若干台机器一起执行的应用系统。角色：一个角色可以包含多个服务以及用户；一个用户可以属于多个角色；一个服务也可以属于多个角色。服务和用户之间没有直接的关联关系。针对网关的访问控制的详细信息，读者可参考第7章。1.2.2 身份认证网关提供多种用户访问模式网关在提供身份认证、访问控制的同时，也面临着不同层面用户的不同要求。比如，针对普通用户只需提供一些Web应用即可；针对IT人员则可能需要使其能够访问整个IP网络以便进行网络管理。为了达到有秩序地访问用户受保护资源的需要，身份认证网关提供不同的访问模式给最终客户，包括： 基于Web的应用访问服务 (FilePass，UDesk)； 基于端口转发的代理服务 (Proxy)； 基于IP封装的全网络连接的服务 (Network Connection)； 基于SSL加密的直接代理的虚拟服务 (Virtual Service)基于Web的应用访问服务（FilePass，UDesk）FilePass是网关提供的纯粹基于Web实现的文件共享服务，可以在任意操作系统和浏览器中为用户提供文件共享的服务，其支持的后台服务器类型包括：FTP服务器，CIFS服务器，SMB服务器。 利用FilePass，管理员可以对文件共享实现到一个文件的某个操作的详细控制，比如可以控制用户a只能读取某一个文件file-a。请参考15.7节的FilePass配置案例。UDesk是网关提供的基于Java的远程桌面服务，它要求客户端具有Java1.4以上的虚拟机环境。Udesk能让用户在客户端实现零痕迹的对远程桌面服务器的访问。这种访问的优点是只需要客户端具有Java环境即可提供远程桌面的访问服务，从而帮助用户实现对资源的远程访问。其缺点是需要Java环境的支持，并且需要下载Java Applet插件，在网络速度较慢时，第一次使用该插件需要下载花费一定的时间。6.3节有更多有关UDesk的资料。ProxyProxy是网关提供的基于ActiveX的应用端口转发服务，它能够让用户访问内部网络任何B/S、C/S结构的服务。 但在Proxy模式下无法实现从服务器端向客户端的主动访问。要使用Proxy模式，要求客户端能够安装Activex组件，同时用户具有客户端PC的管理员权限，显而易见，这种模式只能在Windows平台下使用。6.3节有更多有关Proxy的资料。Network ConnectionNetwork Connection（NC，网络连接）是网关提供的一种实现网络层互联的功能。NC 模式有两种应用模式：1. 单个终端用户与网关之间建立NC连接，实现终端客户端对内部网络资源的访问；2. 两个网关设备之间建立NC连接，实现局域网络之间的安全连接。NC连接提供了网络层的互联互通服务，同时网关能够对NC连接上运行的数据进行访问控制，确保对用户内部网络资源的访问控制。这种方式的优点是可以实现对任意网络资源的访问；其缺点也很明显，即需要在客户端安装组件和虚拟网卡，并且要求终端访问用户在使用该功能时具备管理员权限。第八章有更多NC的详细资料。Virtual ServiceVirtual Service（虚拟服务）是网关为用户的应用系统提供的一种SSL卸载服务。使用虚拟服务时，网关会要求应用系统的客户端程序使用SSL协议连接到网关，然后网关再把业务数据转发给应用服务器。这样既无需增加应用服务器的处理负荷，也对业务数据实现了加密保护。它是安全性介于DNAT（Destination Network Address Translation，也就是目的地址转换）和Proxy之间的一种服务。使用Virtual Service，终端用户通过访问网关的特定端口实现对用户内部资源的访问。利用Virtual Service实现远程访问，管理员可以有三种安全选择：1. 不需要对用户进行认证也不需要对数据进行加密，这种访问方式类似于DNAT，但只能支持一些由远端客户端发起的TCP应用；2. 仅加密不认证，这种情况下要求客户端的程序支持SSL协议，利用SSL协议实现应用客户端同网关之间的数据加密；3. 要求客户端利用证书对服务器实现身份的双向认证，并利用SSL协议实现对数据的加密。Virtual Service的优点是不用任何的客户端组件支持，直接可以访问后台的服务，而且对于应用客户端支持SSL能力的应用，如HTTPS，还可以实现对应用的加密和客户的认证。由于Virtual Service只能使用证书对用户进行认证，所以缺点是其用户认证的授权仅能使用CA认证，而不能进行更多的授权控制。请参考15.8节的虚拟服务配置案例。2 网络配置Chapter2网络设置作为网络边界接入设备，设备的网络配置正确是其提供边界接入服务的必要条件。网关中与网络相关的配置包括两个部分：第一是系统基础网络相关部分，包括系统的网络名称，接口地址，网络路由；第二是业务相关部分，包括：IP地址池，IP主机表，NAT。 本节介绍在网络配置部分的概念和注意事项。2.1基本设置点击“网络 基本设置”可以配置网关的基本网络信息。这些信息也可以帮助网关解析名称。因此，它们的正确性和可用性对于系统工作至关重要。15.1给出了相应的配置范例。配置了域或DNS服务器之后，管理员在配置服务（“服务 服务 添加”）时，可以在服务主机名称的字段填写服务器的域名而不需要添加IP地址。若是此处不配置域名，那么网关将无法从网络中解析服务域名对应的IP地址，从而可能造成客户端看到的服务不可用。2.2接口配置点击“网络 接口”可以对系统的接口进行配置。 在此可根据网络具体需要，配置各个接口将网关连接至各种网络。 选择一个接口，得到接口的配置信息如下：网络接口的配置界面有3个分页，其中“IP地址”页面用来设置接口的地址信息，每一个接口可以选择类型为“内部”接口或者“外部”接口。针对“外部”接口，若系统需要连接多个ISP，则需要配置“接口默认网关”，外部接口无法使用“DHCP”方式来配置其IP地址。请参见15.1的配置范例。“浮动IP”仅当系统工作在“HA-AP”模式下才可以配置，其作用是在两台HA机器上提供一个外部访问地址。“映射IP”仅当系统工作在“HA-AA”模式下或者多ISP模式下，并且该接口并不是直接连接在Internet上，而是被DNAT映射访问的，那么需要在“映射IP”中配置用户在外部可见的IP地址和端口号。2.3系统路由网关仅支持静态路由。点击“网络 路由”进入系统路由管理界面；在该页面中可以添加/删除静态路由。若系统配置了多个外部接口，那么系统对于来自外部接口的连接的应答包将采取由哪个接口进来从哪个接口返回的原则。2.4名称解析当客户端仅使用主机名访问应用服务器时，网络会将这个请求发送至一台DNS服务器查询此主机名相对应的IP地址。网关支持两个DNS系统。管理员可指定主、次两台DNS服务器的IP 地址（“网络 基本设置”）。当用户仅使用主机名访问服务时这两台服务器将处理产生的DNS请求。也可手动添加主机名与IP的映射至系统的映射列表中（“网络 名称解析”）。这些信息将被保存在客户端缓存中，可直接进行主机名称解析。系统不必通过修改客户端PC上的主机文件来保存DNS信息，从而保证VPN的使用更加安全可靠。通过第二个名称解析系统，用户仅使用主机名即可成功连接至应用服务器，无论其在网关上使用的是主机名还是IP 地址。为方便管理员，系统还支持导入主机名与IP的映射列表文件（仅支持文本文件）。文件格式为： 。例如：Company-storage 192.168.0.2Company-mail 192.168.0.3注意：若名称解析列表与DNS服务器的查询结果发生冲突，将优先使用名称解析列表。2.5 IP地址池IP Pool由一段IP地址构成。这一段IP地址可以是连续，也可以是不连续的。网关中有两个地方需要IP地址池，第一个是网络连接配置 (NC Profile，“网络连接 NC配置”) ； 第二个是代理类型的文件共享服务。网络连接配置中设置地址池的目的是给远程接入的客户分配IP地址；在文件共享服务中设置IP地址池的目的，是解决某些条件下Windows的共享文件只允许有限的用户同时访问。点击“网络 IP地址池”，管理系统中的IP地址池。注意: 这些IP地址池不能使用当前网络中存在的地址，并且需要通过应用服务器的网关或者静态路由配置来保证应用服务器到IP地址池的路由可以到达网关。2.6 NAT网关支持地址转换功能，支持源地址转换 (SNAT) 和目的地址转换 (DNAT) 。点击“网络 NAT”可得：点击“源地址转换”得到源地址转换配置页面。其中源地址字段和源子网掩码指明IP报文的来源地址和子网掩码，目的IP指明IP报文被转换之后的源地址，也就是对外表现的IP地址，接口字段指明经过转换之后的数据报文从哪个接口外出。点击“目的地址转换”页面得到目的地址转换配置页面。协议字段指明需要被转换的数据的协议，可选择TCP或者UDP；源IP和源端口指明了需要被转换的数据报其原始的目的IP地址和端口；目的IP和目的端口指明了被转换后的IP报文的目的IP和目的端口。 3 使用证书Chapter3 使用证书公钥证书是由公钥基础设置（PKI）中使用CA签名来绑定用户身份与其公钥的对应关系的文件。网关作为一个边界接入设备，使用公钥证书向客户端浏览器标示自己的身份，同时网关可以使用证书对登入的客户进行身份认证。因此在网关中涉及到两类证书：1. 标识网关身份的证书，称为网关证书；2. 标识用户身份的证书，称为用户证书。3.1配置网关证书网关在出厂时配置了默认的网关证书，管理员可以根据实际情况修改，网关提供了两种修改网关证书的方法：1. 由网关生成自签名证书申请 (PKCS#10) ，管理员可以把该证书请求消息提交给其信任的PKI系统，由CA签发证书请求中的公钥证书；2. 管理员可以直接从信任的CA申请SSL网关服务器证书，并将证书和私钥以及CA链导入到网关中即可。网关允许管理员为网关配置多个网关证书，但是只有一个会作为当前网关的身份标识。您可以从界面的“系统 证书”功能来配置网关证书。浏览器会对网关证书的有效性进行检查，包括以下内容：1. 签名是否正确；2. 签发者CA是否可信；3. 证书是否在CRL (Certificate Revocation List, 证书撤销列表) 中；4. 证书有效期是否有效；5. 证书中的网关地址与浏览器访问的网关地址是否一致。因此在申请网关证书时，管理员要注意将证书中的IP地址信息设置为网关外网接口的IP地址。注意: 证书是有有效期的，因此管理员需要注意配置的网关的网关证书的有效期，并注意在证书到期前更新网关证书。3.2管理用户端证书的签名CA网关允许用户使用证书标示自己的身份，为了验证客户端的证书的有效性，需要在网关中设置为用户签发证书的CA的证书链，为用户签发证书的CA称为可信CA。网关中允许设置多个可信CA，每一个可信CA包括从用户证书签发CA的证书到该CA体系的根CA之间的整个证书链信息和相应的CRL列表。您可以点击界面的“认证 可信CA”以配置用户证书。CRL (Certificate Revocation List) 是由CA签发的证书撤销列表，其中包含了那些尚在有效期内但是某些信息如用户身份、私钥等已经失效的证书，处于CRL中的证书是无效的证书。CA系统依据其策略不同，发布CRL信息的频率也不同，通常以天为单位发布CRL信息，有些CA系统服务的用户数量庞大，因此也发布一些增量CRL。网关不支持增量CRL。网关支持3种使用CRL的方式：1. 将CRL文件导入到系统中；2. 网关访问CA证书中指定的CRL发布点信息地址来获取CRL信息；3. 网关使用指定的协议（FTP，HTTP，LDAP）从指定的URL地址定期获取CRL列表信息；其中第2，3两种方式下网关可以定期的自动更新CRL信息。3.3使用OCSP服务器对客户端证书进行验证OCSP（Online Certificate Status Protocol）证书应用可以实时查询接入的客户证书的有效性，而不依赖于CA发布的CRL列表和其它验证信息。网关支持OCSP协议，管理员可以为网关配置多个OCSP服务器作为对证书用户进行认证的服务器。您可以点击界面的“认证 OCSP”以配置此证书。在管理员配置OCSP服务器时，需要确保该OCSP服务器对网关允许接入的证书用户的证书具有判断能力。3.4添加证书用户网关允许用户使用证书作为认证凭证登入系统，在用户可以利用证书登入系统之前，管理员需要将用户的证书加载到系统中，以便对用户进行授权操作。管理员需要将用户的证书导入到系统中，可以单个导入，也可批量导入。在批量导入时，管理员需要将多个用户的证书压缩打包放在一个文件中。具体添加方式请参考“帐号 用户帐号”部分的在线帮助。网关还支持添加证书认证服务器，管理员可将证书用户分成不同的群组，属于同一群组的所有证书用户经由同一台认证服务器进行认证，有助于减轻管理证书用户的负担。请参见5.2.1的详细信息。4 用户和用户组管理Chapter4 用户和用户组管理网关提供边界接入服务的第一步是对终端用户进行认证。网关支持多种认证方式：数字证书认证，本地数据库用户认证，使用远程认证服务器等。本章介绍在网关中管理用户的若干概念。4.1用户的类型网关中有两种用户：管理员帐号和普通用户；管理员帐号是用于对系统进行管理的帐号；普通用户则是通过网关实现远程访问的帐号。管理员帐号和普通用户相互独立。管理员帐号不具备普通用户的权利，普通用户也无法登入管理页面。针对普通用户，系统分为三种：本地密码帐号，本地证书帐号和远程帐号。远程帐号包括AD、LDAP、Radius服务器上的帐号。在网关中一个用户需要使用认证服务器+用户名作为唯一的标识。因此用户在登入系统时除了需要输入用户名/密码或者选择证书之外，还需要选择使用特定的认证服务器。网关支持使用LDAP/AD/Radius服务器作为远程认证服务器，使用远程认证服务器认证用户有三种方式：1 第一种：不在系统中添加任何用户信息，当用户登入时使用远程认证服务器作为认证的服务器；此种方式不能对每一个用户进行授权，但可以对所有用户进行统一的授权；2 第二种：在系统中手工添加部分用户的信息；可以指定未明确加入到系统中的用户是否需要访问内部资源；这种方式下可对加入网关的用户进行详细的授权；添加此种方式的用户操作请参考“帐号 用户帐号”相关在线帮助。3 第三种：在网关中下载远程服务器（只适合LDAP、AD类型的服务器）中指定分支下的用户信息，这种方式可以对用户进行详细的授权定义。4.2系统管理员管理员帐号仅支持本地数据库认证和采用证书进行认证。系统默认管理员帐号为：admin，密码为：admin。点击“帐号 管理员帐号”可以看到管理员帐号列表，选择其中一个，或点击“添加”可打开管理员帐号配置界面。管理员有三种类型：系统，配置，审计。它们的权限分别如下 (R=读；W=写)：菜单子菜单系统配置审计系统信息RRR许可RWR-配置文件RRW-证书RWR-安全RWRW-日期和时间RWRR网络IP主机RWR-其他RWR-高可用性RRW-网络连接RRW-帐号管理员帐号RW-其他RRW-认证RRW-服务RRW-授权RRW-客户端安全RRW-端对端互联RRW-日志与监控在线用户RRWR其他RRRW维护升级RWR-重启RWRW-功能RWRW-自定义RWRW-向导-RW-工具RR-网关提供了三种管理员访问配置界面的方式：HTTPS, SSH, console。系统管理员可以为每一个管理员指定访问方式。管理员可能被锁定，分为两种情况：第一种是系统管理员手动在管理页面上锁定该帐号，而该帐号也只能被手动解锁；第二种是管理员登入系统时出现连续3次密码错误，被锁定的帐号即可以被手动解锁，也可能在一定时间后被系统自动解锁，该时间由“系统 安全 锁定周期”选项决定。在管理员登入系统之后，若一段时间不访问系统，那么系统会自动让该管理员下线，这一段时间可在“超时”字段中进行设置。4.3用户生命周期在网关中，一个帐号具有一定的生命周期，其中的操作和状态包括：添加用户；用户有效；用户禁止；用户在线；锁定用户；用户过期；删除用户。4.3.1 添加用户添加用户有多种方式，如下：1. 点击“帐号 用户帐号 添加”在添加用户的页面中可以有两种添加用户的方式：a) 添加本地密码帐号；凭证=密码；认证服务器=本地；b) 添加本地证书+密码帐号；凭证=证书；认证服务器=证书认证服务器；一次上传多个证书文件，则使用ZIP格式把多个证书压缩在一个文件中。采用上传证书压缩文件的方式添加多个证书用户，则每一个用户的名称为证书中的DN。 2. 手动添加远程帐号添加认证服务器，并且不下载帐号，当该认证服务器中的用户登入系统之后，网关会在系统中自动添加该用户，并且该用户会继承认证服务器对应组的权限；也可以在上图页面上添加终端用户，设置名字，不需要设置密码，选择认证服务器为某一个远程认证服务器。3. 点击“帐号 用户帐号 批量添加”通过上传一个包含了所需添加账号用户名的文件可批量添加用户；此用户名文件中的账号若有密码，则勾选上“包括密码”单选框。注意仅可批量添加本地密码用户。上传的用户名文件必须保存为.txt 格式。每一行代表一个账号，以回车键分行。用户名和密码必须以空格分隔。4. 从远端服务器下载用户帐号管理员可以使用认证服务器的管理功能来下载远端服务器的用户帐号。目前网关支持从AD和LDAP服务器下载用户帐号或用户组。详情清参考5.3和5.4节。4.3.2 用户有效禁止/锁定针对每一个帐号，管理员可以设置其是否有效，点击“帐号-用户帐号”选择添加一个新帐号或者编辑一个已有帐号，进入帐号管理页面，点开“高级”，如图所示：被禁止和锁定的帐号无法登入系统。4.3.3 用户在线无论何种用户，只要认证通过登入系统，那么就可以在“日志与监控 在线用户”的列表中看到该用户。4.3.4 锁定用户用户的账号可以被锁定，而锁定的原因有两种：第一是系统管理员手动在管理页面上锁定该用户。被手动锁定的用户必须由管理员解锁； 被系统自动锁定的帐号会在被锁定后一段时间后自动解锁，也可以由管理员手动解锁。该时间由“系统 安全 锁定周期”选项决定。若账号是由管理员锁定的话，则必须由管理员手动解除锁定。管理员可以在“帐号 锁定帐号”中查看锁定的用户列表。4.3.5 用户过期针对每一个帐号，管理员可以设置其有效期，点击“帐号 用户帐号”选择添加一个新帐号或者编辑一个已有帐号，可进入帐号管理页面，点开“高级”：管理员可以设置该帐号的有效时间，即在有效时间内该帐号方可登入系统使用系统的服务，否则不能登入。4.3.6 删除用户要删除一个帐号，可通过“帐号 用户帐号”进入用户列表，然后选择要删除的帐号，再点击【删除】按钮即可。若是该用户已经登入并且正在使用系统，那么该用户会被立即从在线用户列表中清除，而用户正在使用的所有服务连接也会立即中断。4.4用户和组的关系网关中有用户和组，每个用户可以属于多个组，也可以不属于任何组。网关在对用户进行授权时，除了考虑用户直接关联的角色，还会考虑用户所属的全部组的角色，包括用户所属组的父组的角色。父组基本上是一个已配置好的用户组。当一个新增的用户组被配置至个或多个父组，此用户组将继承其父组的属性。网关中管理员可以通过“帐号 组”添加组，系统也会在添加了远程认证服务器之后自动增加一个同名组。这样管理员可以针对与认证服务器同名的组进行授权，从而简化授权管理的工作。网关中组采用树型结构，即一个组可以有父组，也可以没有父组，一个组只能有一个父组。一个组可以作为多个组的父组。添加一个组需要选择属于该组的用户，该组适用的角色和他的父组。比如，系统中添加了group1, group1具备角色role1, 添加用户user1,其具备角色role2，并设置user1属于组group1，那么用户user1将会具备的角色将是role1,role2。在“帐号 用户帐号”中点击用户列表“关系结构”列中的图标，可查看相应的用户在系统中的关系结构图。将显示用户所属的组、被分配的角色及用户属性和条件。6 服务管理Chapter5 认证作为一个边界接入设备，网关提供了对终端用户做认证、授权和访问控制的功能。网关不仅提供了内部用户认证数据库（本地认证服务器），支持使用证书认证，更融合了一些通用的第三方认证服务系统，如：Raduis，Windows AD和LDAP。本章将介绍如何配置这些认证方法。5.1使用本地认证服务器网关系统内部认证服务器可以设置密码长度，点击“认证 本地”可打开页面：系统用户的密码长度必须在6-32个字符之间。5.2使用证书作为认证凭证网关允许远程客户使用证书作为认证的凭证。网关使用证书信任链的方式管理信任关系。在系统中可添加多个可信CA，点击“认证 可信CA”页面选择【添加】按钮可打开页面：在“证书”字段输入可信CA的证书链，CRL 选项标示该CA是否使用CRL来对客户端证书进行认证。对每一个可信CA，网关支持多种CRL获取方式，可以导入CRL文件，也可以设置FTP、HTTP路径由网关自动获取，还可以依据CA证书中携带的CRL发布点信息来自动获取CRL信息。5.2.1 证书认证服务器为减小管理员添加/导入证书用户的工作量，网关提供了添加证书认证服务器功能。点击【添加】按钮可添加多个过滤条件至下拉列表框中，从列表中选择一个条件并点击【删除】按钮可将之删除。管理员可对每个证书认证服务器设定过滤条件，通过判断证书用户是否符合条件过滤出属于此群组的用户。这样简化了证书用户的管理，因为属于同一群组的所有证书用户可使用相同的角色进行授权。系统将校验证书的有效性以及此群组是否使用此证书进行认证。点击“认证 证书” 管理证书认证服务器。 请参见15.6关于添加证书认证服务器的配置范例。5.3使用LDAP作为认证服务器网关可使用LDAP服务器作为远程认证服务器，并且允许管理员通过网关从LDAP服务器下载帐号信息。考虑到多数应用中会以组作为授权单位，因此网关支持从LDAP服务器仅下载组信息而不下载帐号信息，这样可以减少管理员在网关上的维护工作。网关也支持从配置好的LDAP服务器中下载用户/群组信息。EntryUUIDLDAP使用EntryUUID来唯一标识一个用户。但是有些LDAP服务器的实现中并没有使用这个属性，仅当确认LDAP服务器使用该属性时才能勾选“启动EntryUUID”选项，否则将导致无法下载“组”和“用户”。认证未添加的用户通过配置“默认允许访问”选项，您可以控制是否允许还未添加到网关中的用户进行远程认证。当该用户选择认证服务器进行认证时，若勾选上该选项，且该用户所属的组已经添加到系统，系统会将用户的输入提交到LDAP认证服务器进行认证，并在认证成功后将此用户添加至网关的用户列表中；否则，即使用户名和密码输入正确，也会认证失败，而用户将不能成功登入。注意：在不下载用户的情况下，必须下载组，并勾选“默认允许访问”选项，对应的用户才能通过认证。如果用户组较多，而不想下载所有的组，可以只下载最顶层的根组来保证用户能够登入。也可配置系统，当远端LDAP认证服务器发生变更时，自动将LDAP服务器上用户选中的“组”和“用户”信息以每天1次的频率同步到系统上。勾选“自动同步选项”，而用户也可以通过点击上图中的【同步帐号】按钮做手动同步，强制网关比较本次保存的已下载帐号与LDAP服务器上帐号的异同，并修改本地的帐号信息以保持同LDAP服务器上的信息一致。5.4使用Active Directory作为认证服务器网关可使用AD (Active Directory) 服务器作为远程认证服务器，并且允许管理员通过网关从AD服务器下载帐号信息。考虑到多数应用中会以组作为授权单位，因此网关支持从AD服务器仅下载组信息而不下载帐号信息，这样可以减少管理员在网关上的维护工作，当然，网关也支持将相关帐号下载下来。点击“认证 AD” 管理AD服务器。AD服务器的【下载用户】和【同步帐号】与LDAP服务器的对应功能是完全相同的。请参见15.5的详细配置信息。5.5使用Radius作为认证服务器网关支持使用Radius服务器作为远程认证服务器。系统中可以增加多个Radius认证服务器。点击“认证 Radius”管理Radius认证服务器。Chapter6 服务管理在网关中，服务是指用户内部的应用业务系统，如一个Web门户网站，一个FTP服务器等，每一个服务可能对应了一台或多台硬件服务器。在网关中与服务相关的概念有：服务类型、客户端应用、访问模式、角色、应用权限。服务要分配给用户需要通过角色来关联，详细配置请参见“授权 角色”页面的在线帮助。本章重点介绍服务类型，客户端应用，访问模式和应用权限的概念。6.1服务类型 服务类型：指的是该网络服务属于哪一种服务，如：SMTP/POP3邮件服务，FTP服务等，服务类型定义了此类型的服务需要使用哪些TCP/UDP端口或IP协议端口。针对不同的服务类型，网关需要做不同的处理，以便远程客户能够使用，如针对FTP的主动模式和被动模式，网关可进行不同的处理从而帮助用户完成业务。警告：系统仅能对默认服务类型做特殊处理，如果用户自定义FTP服务类型，系统将无法保证其正常使用。在配置服务时可选择不同的服务类型；管理员也可自定义系统中能够使用的服务类型，选择 “服务 服务类型” 可查看各种服务类型。证书角色转换：在服务类型中，网关支持一种特殊的https服务（specialHttps），即在后台应用需要自己专用的证书才能登陆的情况下，为了让不具有该证书的用户也能访问该应用，网关可以先到指定的CA上申请一张应用的专用证书，普通用户登陆时，网关将用户的证书转换为专用证书来登陆后台应用，以达到可以让普通用户访问专用应用的目的。网关申请专用证书的配置见“服务”-“证书申请配置”。6.2客户端应用客户端应用是指运行在用户计算机上的一个应用程序。这个应用程序需要与服务器进行通信以便为用户提供一定的服务；如CuteFTP是一个FTP客户端，为用户提供FTP服务。管理员可以在管理端定义客户端应用程序，并设置网关的客户端在连接到网关网关时自动启动这个应用程序。也可以设置自动运行的客户端应用程序，当客户端登录或访问服务时，系统将会自动运行这个指定的应用程序。在配置服务时可以指定一个服务对应的客户端应用。终端用户也可以不使用管理配置的应用，通过客户端的应用关联功能指定自己喜欢使用的关联应用，例如客户端可以自己关联CuteFTP客户端作为自己的FTP客户端软件。6.3访问方式和内容控制网关有多种客户端访问方式，如代理 (Proxy) ，网络连接(NC) ，FilePass，UDesk等。每一种方式下对服务的控制力度不同，因此在配置服务时需要指明该服务允许通过何种访问方式来访问。点击“服务 服务” 管理服务。每一种服务可以选择Proxy（代理，Proxy），NC， Web和UDesk四种访问方式。四种方式的区别和联系请参考1.2.2。四种方式所提供的对应用的控制力度也不同，如下表所示：访问方式支持应用内容控制力度代理基于TCP/UDP的B/S, C/S架构应用可控制FTP， HTTP的命令，通过内容过滤定义；NC任意基于IP的应用不支持FilePassFTP, SMB, CIFS, Filesharing可控制到每一个文件的操作权限UDeskMS Terminal Service可控制客户使用远程服务器上某一个具体应用针对UDesk中的服务，可以控制客户端可用的特定资源，包括远程桌面剪贴板，打印机，硬盘和声卡。 针对FilePass中的服务，可以控制对于文件/文件夹的操作有：新建，重命名，删除，剪切，粘贴，上传，下载，Zip下载。选择Proxy方式，可以决定是否强制执行流量控制。若启用了流量控制，当客户端在使用此服务的间隔中，传输的数据流量超出了管理员设定的流量，则客户端将停止使用该服务，直到下一次间隔时间开始。6.4单点登录单点登录 (SSO) 功能，可以将终端用户的登录信息存储在登录不同的应用服务器上，则用户登录时大大减少了操作量。网关给用户提供了两种单点登录功能： 1. PIAPIA（密码辅助输入）由用户在系统的客户端界面进行配置。当客户端登录网关 时，系统将自动保存登录信息并在用户访问其它应用服务器时使用。用户也可修改PIA使用的信息。PIA只能维护一套登录信息，且仅当登录窗口为标准的Windows窗口时有效。2. Web SSO网关为HTTP和HTTPS服务提供了Web 单点登录的加强功能。当用户首次访问服务时，web SSO会记录下登录信息，在用户以后的访问中将自动使用此登录信息。Web SSO能为不同的服务器保存不同的登录信息。管理员可指定将Web SSO信息存储在网关服务器端或客户端。首先在“系统 安全”界面启动Web SSO功能。然后在“服务 服务”界面为Web服务配置相应的SSO信息。关于如何为服务配置Web SSO，请参考15.10的案例。7 授权管理与客户端安全Chapter7 授权管理与客户端安全网关使用基于客户端安全的动态角色访问控制，每一个用户登入时网关客户端都会检查客户端本地的安全状态，可以包括：防病毒软件状态检查，木马程序检查等等，具体检查内容管理员可作为条件定义并应用在角色上。 7.1基于角色的访问控制模型网关提供边界接入服务，用户通过网络连接到网关，经过认证之后就会获得相应的对内部网络资源访问的权限。但实际应用中并不是所有的终端接入用户具有相同的资源访问权限。为实现不同的人员能够访问不同的资源，需要使用基于角色的访问控制方法。网关采用基于角色的访问控制模型，如下图所示：基于角色的用户访问控制基于角色的访问控制模型中通过构建角色来实现对不同用户的访问控制。其中角色是连接用户和服务的关键点。当用户登入系统，并认证通过之后，网关根据用户名称及其客户端安全状态来查询该用户属于什么角色，再根据角色决定用户可以访问哪些资源。网关的访问控制模型中涉及到以下概念：角色：是用户、服务、客户端安全条件、用户安全属性的集合，一个角色代表了一类用户，他明确了这类用户包括哪些帐号，他们通过网关可以访问哪些资源，客户端需要具备什么样的条件，以及用户在访问内部资源时需要遵守的一些要求。 用户：需要通过网关访问内部资源的人员。这些人员可以使用不同的计算终端访问网关，关于用户的类型、生命周期和管理方法请参考第4章。服务：是指提供数据的存储、计算、展现等服务的应用系统。一个服务可以是一个应用服务软件，或者是一台机器，或者是若干台机器一起执行的应用系统。7.1.1角色的定义在网关中，角色定义了用户的类型，包括该用户需要具备的安全条件，可以访问的资源，以及对其访问行为的一些约束。一个角色由用户、组、服务、客户端安全条件、用户属性和内容过滤构成。一个角色可以包含若干个服务，若干个用户/组；一个用户可以属于多个角色；一个服务也可以属于多个角色。对用户的客户端的安全条件可以选择多个，但是一个角色只能给用户赋予一个属性集合。 对于客户端安全条件和属性的计算方法请参考7.2。 角色中可以定义内容过滤，由于内容过滤只能作用于FTP和HTTP服务，因此在角色中定义的内容过滤将会被应用到该角色包含的相应的服务中。角色中定义的用户/组是否可以获得该角色授予的服务的访问权限，取决于两个因素，第一是该用户是否被认证通过；第二是该用户使用的客户端是否符合角色中定义的条件的要求。关于角色中的条件及其作用方式请参见7.2。7.2对客户端安全条件和属性的说明在角色配置中加入“条件”和“属性”，就能实现用户动态授权和用户动态属性分配。条件：是用来判断一个终端接入的用户是否可以获得一个角色的依据。 属性：则是具备某一类角色的用户在远程访问时需要遵守的安全设置。 7.2.1 条件一个条件由以下规则组成：1. 主机检查网关支持对客户端的计算机进行安全性检查，管理员可以定义具体检查的内容。网关支持对Windows 2000/xp/2003/Vista平台的客户端机器进行检查，不支持对Windows Mobile系统进行安全性检查。您可以点击“客户端安全 主机检查”以配置主机检查规则。检查内容可以是下列内容的组合：系统进程；注册表项；注册表值；系统文件；服务；驱动器；模块；补丁；端口；文件版本。要完成对一个安全条目的检查，有时需要多个检查项目才能确定，如检查客户端的防病毒软件是否已经更新等。因此在网关中，配置客户端安全检查有两个层次：策略和规则；一条策略由多条规则组成。如果客户端不符合主机检查规则，则将在客户端上执行规则中设置的动作。例如，可配置停止运行一个注册项的规则动作。可指定仅应用于一条具体规则的动作，也可设置适用于所有规则的全局动作。一条规则只能定义一个检查条目，如一个系统进程是否存在等。更多详细内容参考：“客户端安全 主机检查”的在线帮助。一个条件里可以使用多个主机检查策略，点击“授权 条件”选择一个合适的条件进行编辑，在页面下侧有对主机检测信息的设置。如上图所示，管理员可以为该条件选择多条主机检测策略，针对多条已经选择的策略可以分成多个组，每一组之间用“- AND -”进行连接，意思是先进行组内策略的“或”运算，然后进行组间的AND运算，每个组中至少需要有一条策略被满足。如上图中“Kaspersky Anti-Virus 6.0”和“McAfee 8.0.0”中仅需要有一个被满足，而“Windows Firewall”，“Windows auto update”则必须都被满足。只有当图示中三个组的结果都满足时，那么此条件定义的主机检查的最后取值才为真。2. 认证凭证网关允许客户端使用不同的形式作为认证凭证，不同的认证凭证具有不同的安全级别，因此管理员可以要求特定的客户登入系统时必须使用指定的相应认证凭证。网关提供四种凭证类型：“密码”、“证书”、“密码证书”，以及“全部”，“全部”是指用户通过其他三种认证方式都是可行的。3. 访问限制网关可对管理员或者终端用户进行二层的接入控制，即要求用户必须通过指定接口/IP地址才能连接到网关。 这包括了访问控制列表和访问控制默认动作的设置。更多详细内容参考“客户端安全 访问控制”的在线帮助。7.2.2 属性属性是角色的一个构成部分，每一个属性可以分配给多个角色，但是一个角色只能包含一个属性。点击“授权 属性”，选择已有的属性或添加新属性均可进入属性管理页面。一个属性由8个项目组成，本节将对这8个项目的作用和使用方式进行说明。1. 重认证为了保障用户通过网