應(yīng)用安全域解決方案一本通

福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司未經(jīng)本公司同意，嚴(yán)禁以任何形式拷貝 應(yīng)用安全域解決方案V2.1<僅供內(nèi)部使用>評(píng)審者部門/專業(yè)組評(píng)審者評(píng)審日期注：1）文檔提交評(píng)審時(shí)需要給評(píng)審者預(yù)留足夠的評(píng)審時(shí)間。需要哪些人評(píng)審依據(jù)項(xiàng)目的范圍由項(xiàng)目團(tuán)隊(duì)界定。2）在本文檔的撰寫過程中，需要與相關(guān)利益人進(jìn)行溝通交流（請(qǐng)勿到開始評(píng)審時(shí)才與相關(guān)利益人進(jìn)行交流，這樣效率低，而且評(píng)審效果也比較差），請(qǐng)將撰寫過程中交流人員的名單列在附件里面。修訂記錄日期修訂版本修改者修改描述2012-5-12V1.1魏麗英編寫整文2013-12-4V2.0王哲煊修訂：去除ePortal組件2014-5-19V2.0何新彪根據(jù)TAC陳雄要求添加明確版本、配置、部署及其必要的FAQ、技術(shù)白皮書2014-5-21V2.0何新彪根據(jù)林杭提供更新流程圖和流程說明，去除流程圖和流程說明步驟中的RG-ePortal組件去除拓?fù)鋱D片中存在ePortal組件的圖樣2014-9-9V2.1何新彪更新軟硬件配套版本號(hào)應(yīng)用安全域解決方案V2.1福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司未經(jīng)本公司同意，嚴(yán)禁以任何形式拷貝 PAGE5目錄應(yīng)用安全域解決方案V2.0 11 目的 51.1 應(yīng)用安全域解決方案V1.0、V1.1回顧 51.2 應(yīng)用安全域解決方案V2.0變化 52 需求概況 52.1 應(yīng)用安全域解決方案 52.1.1 多種策略執(zhí)行設(shè)備支持問題 52.1.2 基于Web認(rèn)證的CA證書聯(lián)動(dòng)問題 62.2 應(yīng)用安全域解決方案V1.0中的遺留問題改進(jìn) 62.2.1 安全域切換的易用性問題 62.2.2 用戶界面定制化需求 72.2.3 WEB認(rèn)證的?；顔栴} 72.2.4 Web認(rèn)證降噪方案 82.2.5 防火墻卡的冗余備份及擴(kuò)容需求 83 功能概況 83.1 應(yīng)用安全域電子政務(wù)外網(wǎng)方案分析 93.1.1 多種策略執(zhí)行設(shè)備支持方案分析 93.1.2 基于web的證書認(rèn)證方案分析 143.1.3 路由器SDG+web方案分析 203.2 應(yīng)用安全域解決方案V1.0中的遺留問題改進(jìn)分析 233.2.1 安全域切換分析 233.2.2 用戶界面定制化分析 283.2.3 WEB認(rèn)證?；顔栴}分析 283.2.4 WEB認(rèn)證降噪方案分析 293.3 可靠性方案分析 303.3.1 防火墻卡熱備方案 304 各部件產(chǎn)品列表 324.1.1 描述 324.1.2 產(chǎn)品功能列表 324.1.3 產(chǎn)品配套版本 385 解決方案特性列表 385.1.1 身份認(rèn)證功能 385.1.2 網(wǎng)絡(luò)訪問權(quán)限控制 385.1.3 外部接口 395.2 未包含的特性 395.3 可測(cè)試性考慮 395.4 網(wǎng)管考慮 395.5 專利考慮 396 各部件產(chǎn)品需求或規(guī)格說明 397 應(yīng)用安全域2.0部署實(shí)施指導(dǎo) 398 方案升級(jí)變更項(xiàng)及測(cè)試重點(diǎn) 408.1 升級(jí)變更說明 408.2 測(cè)試重點(diǎn) 428.3 方案測(cè)試版本信息 428.4 測(cè)試環(huán)境說明 438.5 測(cè)試項(xiàng)目及結(jié)果 438.6 測(cè)試結(jié)論 468.7 限制說明 469 問題風(fēng)險(xiǎn)和依賴 479.1 相關(guān)項(xiàng)目 479.2 技術(shù)需求 479.3 技術(shù)風(fēng)險(xiǎn) 4710 參考資料 4711 術(shù)語表 4712 附件 4712.1 評(píng)審活動(dòng)記錄 4712.2 本文檔協(xié)助人員 48

目的應(yīng)用安全域解決方案V1.0、V1.1回顧應(yīng)用安全域解決方案V1.0版本，旨在解決局域網(wǎng)范圍內(nèi)的同一套物理網(wǎng)絡(luò)分時(shí)復(fù)用問題，究其根本原因，在于”節(jié)能減排、資源復(fù)用”與”政務(wù)公開、提升安全”等多方要求帶來的新時(shí)代的網(wǎng)絡(luò)需求，即只建設(shè)一套網(wǎng)絡(luò)，卻能夠?qū)崿F(xiàn)多種業(yè)務(wù)、多種安全等級(jí)的數(shù)據(jù)在同一套網(wǎng)絡(luò)上的安全傳輸。自2009年底應(yīng)用安全域解決方案從政府行業(yè)SSN解決方案體系中脫穎而出后，迄今已在十四個(gè)客戶中實(shí)現(xiàn)了應(yīng)用落地，其中不乏大連金州電子政務(wù)外網(wǎng)、內(nèi)蒙古發(fā)改委、貴陽電子政務(wù)外網(wǎng)這樣的大型項(xiàng)目，已逐漸為公司一線和客戶所接受，成為政府行業(yè)業(yè)務(wù)推進(jìn)的重要武器。當(dāng)前趨勢(shì)政府行業(yè)電子政務(wù)網(wǎng)對(duì)安全要求越來越高，從省、市、縣各級(jí)網(wǎng)絡(luò)中部署CA證書認(rèn)證中心的網(wǎng)絡(luò)越來越多。從貴陽、遵義、大連等用戶信息方案客戶傾向于使用證書作為用戶身份準(zhǔn)入的可信身份源。身份準(zhǔn)入控制時(shí)應(yīng)用安全域解決方案的一個(gè)關(guān)鍵基本功能，因此要做應(yīng)用安全域能支持證書認(rèn)證。應(yīng)用安全域解決方案V1.1版本，旨在增加多種策略執(zhí)行設(shè)備支持方案，并支持證書認(rèn)證和增加支持路由器SDG部署模式下的NAT穿越，并且改進(jìn)了一些1.0中遺留的易用性問題。應(yīng)用安全域解決方案V2.0變化1、由于ePortal組件停產(chǎn)，撤出ePortal組件，使用SMP內(nèi)置portal。2、防火墻卡新增RG-WALL1600-B-E型號(hào)支持，版本仍然是10.3（4b12），功能指標(biāo)和M8600-FW一致。3、原有SU+交換機(jī)部署模式，更新為SA+交換機(jī)部署模式，功能指標(biāo)不變。應(yīng)用安全域解決方案V2.1變化更新軟硬件版本號(hào)需求概況應(yīng)用安全域解決方案作為一個(gè)原本為局域網(wǎng)環(huán)境設(shè)計(jì)的安全解決方案，應(yīng)用安全域解決方案在電子政務(wù)外網(wǎng)環(huán)境中使用還有諸多的功能不滿足，這也是該方案在2.0階段重點(diǎn)要解決的問題，主要表現(xiàn)在以下幾個(gè)方面：多種策略執(zhí)行設(shè)備支持問題電子政務(wù)外網(wǎng)是一個(gè)大型的城域網(wǎng)絡(luò)，各個(gè)單位的接入設(shè)備種類繁多，例如常見的路由器、三層交換機(jī)、防火墻等等。而當(dāng)前方案僅支持接入交換機(jī)和高端交換機(jī)防火墻卡兩種接入模式，這使得該方案在很多環(huán)境下無法部署。政務(wù)外網(wǎng)要求交換機(jī)S29E/S57E/S26I，路由器RSR20-14E/F/20-04E/RSR10-02E/30-44及S86/S12000—防火墻卡能支持基于web認(rèn)證安全域功能。場(chǎng)景描述：接入控制設(shè)備：一區(qū)、三區(qū)部署了防火墻卡；二區(qū)設(shè)備支持1x但為友商設(shè)備；四區(qū)設(shè)備為銳捷安全交換機(jī)；五區(qū)vpn接入用戶出口設(shè)備部署銳捷SDG路由器配套的安全服務(wù)器：SMP服務(wù)器、Portal服務(wù)器；終端接入：一區(qū)、三區(qū)采用web認(rèn)證接入方式，防護(hù)墻卡做NAS設(shè)備；二區(qū)安裝銳捷安全客戶端軟件SA，兼容友商設(shè)備；四區(qū)采用web認(rèn)證接入方式或1x接入認(rèn)證，安裝SA客戶端軟件，銳捷交換機(jī)做NAS設(shè)備五區(qū)采用web認(rèn)證接入方式；銳捷SDG路由器做NAS設(shè)備拓?fù)涫疽鈭D：基于Web認(rèn)證的CA證書聯(lián)動(dòng)問題當(dāng)前電子政務(wù)外網(wǎng)中很多項(xiàng)目都采用CA證書+usbkey的方式做為認(rèn)證的元素，而我們?cè)陔娮诱?wù)外網(wǎng)中主推的web認(rèn)證模式無法支持CA證書，無法滿足客戶的需求。應(yīng)用安全域解決方案V1.0中的遺留問題改進(jìn)在應(yīng)用安全域解決方案V1.0的部署及使用中，還有以下幾個(gè)亟待解決的問題安全域切換的易用性問題當(dāng)前解決方案將認(rèn)證跟安全域切動(dòng)作綁定在一起，即用戶在切換安全域時(shí)必須要重新登錄，這給用戶的使用帶來了很大的不便，從用戶的角度理解，安全域的切換無需與登錄動(dòng)作綁定在一起，完全可以一次登陸，多次切換。同時(shí)安全域的切換界面也比較不易用，例如內(nèi)蒙古發(fā)改委的用戶就提出了”類似IPAD”界面的安全域切換需求，即將不同的安全域做成不同的按鈕，用戶點(diǎn)擊不同的安全域按鈕即實(shí)現(xiàn)了安全域的切換。圖用戶需求舉例——QQ應(yīng)用盒子用戶界面定制化需求上了安全域以后，上網(wǎng)認(rèn)證是每個(gè)公務(wù)員每天都要進(jìn)行的操作，作為電子政務(wù)外網(wǎng)的建設(shè)方，各級(jí)信息中心都希望讓終端用戶通過認(rèn)證頁面體會(huì)到電子政務(wù)外網(wǎng)的存在和好處，所以幾乎每個(gè)用戶都會(huì)提出對(duì)于認(rèn)證頁面、管理頁面的定制化需求，需要做成具有當(dāng)?shù)卣厣臉幼?，例如貴陽電子政務(wù)外網(wǎng)的實(shí)施過程中，就反復(fù)提到了這個(gè)需求。界面定制舉例WEB認(rèn)證的?；顔栴}當(dāng)前電子政務(wù)外網(wǎng)中主要采用Web認(rèn)證的方式進(jìn)行部署，用戶認(rèn)證成功后會(huì)存留一個(gè)?；铐撁?，該頁面是客戶端與服務(wù)器端通信的必要因素。但經(jīng)常會(huì)有用戶在認(rèn)證后無意中關(guān)閉了?；铐撁?，或者由于某些網(wǎng)站的設(shè)計(jì)問題（利用當(dāng)前活動(dòng)窗口打開頁面），會(huì)沖掉?；铐撁?，這樣就使得用戶“無故”下線了，給管理員帶來了很多的麻煩。所以用戶希望我們的保活頁面在認(rèn)證成功以后，可以縮小到系統(tǒng)欄成為一個(gè)圖標(biāo)，即基于Web的客戶端，這樣就可以避免上述問題。另外，根據(jù)相關(guān)政策要求，如果一段時(shí)間內(nèi)沒有用戶流量，應(yīng)該將其自動(dòng)踢下線。Web認(rèn)證降噪方案實(shí)際環(huán)境中，用戶的PC上裝有各類第三方軟件，此類軟件需要同外網(wǎng)服務(wù)器進(jìn)行數(shù)據(jù)更新，比如360系列軟件，在web認(rèn)證環(huán)境下，這類軟件在沒有認(rèn)證打開上網(wǎng)通道前，會(huì)嘗試不停的發(fā)送http請(qǐng)求獲取外網(wǎng)服務(wù)器的數(shù)據(jù)庫(kù)，而且頻率比較高，設(shè)備攔截后會(huì)重定向到Portal認(rèn)證頁面，但這類跳轉(zhuǎn)到Portal沒有任何意義—也就是所謂的噪音壓力（經(jīng)數(shù)據(jù)庫(kù)分析，這類請(qǐng)求數(shù)可能達(dá)到10w以上級(jí)別），導(dǎo)致了Portal承受很大的請(qǐng)求壓力，從而影響了正常的用戶訪問外網(wǎng)的認(rèn)證跳轉(zhuǎn)。Web認(rèn)證降噪方案主要在NAS設(shè)備上實(shí)現(xiàn)，如：交換機(jī)重定向的URL格式變化了，跟portal本身沒什么關(guān)系。后續(xù)應(yīng)用安全域的組件產(chǎn)品必須把降噪方案納入，涉及到的產(chǎn)品主要有交換機(jī)、SDG路由器、防火墻卡設(shè)備。防火墻卡的冗余備份及擴(kuò)容需求當(dāng)前解決方案中，防火墻卡僅能支持一塊，無法進(jìn)行擴(kuò)容和備份，而電子政務(wù)外網(wǎng)，尤其是市級(jí)及以上級(jí)別的，其用戶數(shù)量大多超過5000用戶，這是超出當(dāng)前的防火墻卡性能的，如果不提供擴(kuò)容、備份方案，用戶不會(huì)選擇，因?yàn)樵摲桨笭砍兜饺泄珓?wù)員的上網(wǎng)問題，用戶不會(huì)在這個(gè)環(huán)節(jié)冒風(fēng)險(xiǎn)。功能概況電子政務(wù)外網(wǎng)場(chǎng)景的支持，解決已知電子政務(wù)外網(wǎng)兩個(gè)問題點(diǎn)一是，多種策略執(zhí)行設(shè)備支持問題二是，基于Web認(rèn)證的CA證書聯(lián)動(dòng)問題解決應(yīng)用安全域1.0方案中的限制問題，主要是：安全域切換功能支持防火墻卡的冗余備份機(jī)擴(kuò)容問題用戶界面定制化需求，實(shí)現(xiàn)客戶端軟件、portal認(rèn)證界面、SMP服務(wù)器的頁面定制化功能Web認(rèn)證?；顔栴}，客戶端?；罴霸O(shè)備流量?；罟δ躓eb認(rèn)證降噪功能應(yīng)用安全域電子政務(wù)外網(wǎng)方案分析多種策略執(zhí)行設(shè)備支持方案分析方案描述場(chǎng)景描述：接入控制設(shè)備：一區(qū)、三區(qū)部署了防火墻卡；二區(qū)設(shè)備支持1x但為友商設(shè)備；四區(qū)設(shè)備為銳捷安全交換機(jī)；五區(qū)vpn接入用戶出口設(shè)備部署銳捷SDG路由器配套的安全服務(wù)器：SMP服務(wù)器(內(nèi)置Portal服務(wù)器)；終端接入：web瀏覽器、SA客戶端、ESA客戶端；一區(qū)、三區(qū)采用web認(rèn)證接入方式，防護(hù)墻卡做NAS設(shè)備；二區(qū)安裝銳捷安全客戶端軟件SA，兼容友商設(shè)備；四區(qū)采用web認(rèn)證接入方式或1x接入認(rèn)證，安裝SA客戶端軟件，銳捷交換機(jī)做NAS設(shè)備；五區(qū)采用web認(rèn)證接入方式；銳捷SDG路由器做NAS設(shè)備。拓?fù)涫疽鈭D：解決方案描述：一區(qū)、三區(qū)用戶采用web認(rèn)證接入控制方式，接入控制點(diǎn)和策略控制點(diǎn)在防護(hù)墻卡上二區(qū)用戶采用SA+1X認(rèn)證的部署方案，策略控制點(diǎn)在PC上四區(qū)用戶采用web認(rèn)證或1x認(rèn)證接入控制方式，接入控制點(diǎn)和策略控制點(diǎn)在銳捷安全交換機(jī)上五區(qū)用戶采用wen認(rèn)證接入控制方式，接入控制點(diǎn)和策略控制點(diǎn)在銳捷SDG路由器上共用一套SMP服務(wù)器，一區(qū)、三區(qū)用戶web認(rèn)證成功后訪問控制策略下發(fā)到防火墻卡；二區(qū)用戶1x認(rèn)證成功后訪問控制策略下發(fā)到SA安裝到PC網(wǎng)卡上；四區(qū)用戶web認(rèn)證成功后訪問控制策略下發(fā)到銳捷安全交換機(jī)；五區(qū)用戶web認(rèn)證成功后訪問控制策略下發(fā)到銳捷SDG路由器用戶退出認(rèn)證SMP回收相應(yīng)設(shè)備上的訪問控制策略，用戶無法訪問任何網(wǎng)絡(luò)資源方案實(shí)現(xiàn)關(guān)鍵是SMP同時(shí)支持多種接入認(rèn)證方式，且支持將訪問控制策略下發(fā)到不同的控制設(shè)備上。存在多張防火墻卡/多個(gè)路由器組網(wǎng)部署時(shí)，SMP支持策略只下發(fā)到用戶認(rèn)證的設(shè)備上流程細(xì)化web認(rèn)證接入控制部署方案流程圖web認(rèn)證流程步驟說明：1、Web認(rèn)證流程同已經(jīng)實(shí)現(xiàn)的應(yīng)用安全域v1.0方案的認(rèn)證流程基本是一樣的沒有做變動(dòng)，在此不再詳細(xì)說明。2、應(yīng)用安全域V2.0方案中增加的功能是認(rèn)證下線流程中的”設(shè)備流量檢測(cè)功能”，當(dāng)設(shè)備一段時(shí)間內(nèi)檢測(cè)到用戶的流量為發(fā)生變化或者在設(shè)定的流量值以下時(shí)認(rèn)為用戶是沒有業(yè)務(wù)操作的，設(shè)備發(fā)起用戶下線流程二區(qū)用戶SA+1x認(rèn)證的部署方案流程協(xié)議說明：SA在接入認(rèn)證過程中均采用EAPOL與1X設(shè)備進(jìn)行交互SA與SMP之間使用直通協(xié)議（目的端口默認(rèn)53），認(rèn)證成功后SMP通過UDP協(xié)議給SA下發(fā)訪問控制策略，SA將訪問控制策略安裝到網(wǎng)卡驅(qū)動(dòng)上，開啟用戶對(duì)信息系統(tǒng)的訪問權(quán)限SA與SMP之間還使用直通協(xié)議完成安全域列表下發(fā)、信息系統(tǒng)自助頁面下發(fā)，在線用戶?；顧z測(cè)。步驟描述：步驟3：如果用戶認(rèn)證失敗，返回Access-Reject報(bào)文，報(bào)文中攜帶失敗原因；如果用戶認(rèn)證成功，返回Access-Accept報(bào)文步驟4：如果認(rèn)證成功(接收到Access-Accept報(bào)文)，SMP通過直通協(xié)議給SA下發(fā)訪問控制策略，SA將訪問控制策略安裝到網(wǎng)卡驅(qū)動(dòng)上，開啟用戶對(duì)信息系統(tǒng)的訪問權(quán)限。同時(shí)給用戶推送信息列表頁面，頁面中包含用戶相可訪問的信息系統(tǒng)鏈接列表。四區(qū)用戶SA+銳捷安全域交換機(jī)1x認(rèn)證的部署方案流程協(xié)議說明：SA在整個(gè)過程中均采用EAPOL與1X設(shè)備進(jìn)行交互。SA與SMP之間使用直通協(xié)議完成安全域列表下發(fā)、信息系統(tǒng)自助頁面下發(fā)，在線用戶?；顧z測(cè)。1X設(shè)備與SMP之間使用Radius協(xié)議完成身份認(rèn)證。1X設(shè)備與SMP之間使用SNMP協(xié)議完成安全域訪問權(quán)限的下發(fā)與回收，及清除在線用戶。步驟說明：步驟3：如果認(rèn)證失敗(接收到Access-Reject報(bào)文)，SA返回認(rèn)證失敗頁面給客戶端，提示認(rèn)證失敗原因，此時(shí)用戶可以重新選擇安全域，提交用戶名密碼重新進(jìn)入步驟1；步驟4：如果認(rèn)證成功(接收到Access-Accept報(bào)文)，SMP通過SNMP協(xié)議給交換機(jī)下發(fā)訪問控制策略，同時(shí)給用戶推送信息列表頁面，頁面中包含用戶相可訪問的信息系統(tǒng)鏈接列表?；趙eb的證書認(rèn)證方案分析Portal客戶端的部署方案的優(yōu)勢(shì)、劣勢(shì)分析優(yōu)勢(shì)：解決SA客戶端軟件安裝部署困難的問題，這樣就能提供基于web的證書認(rèn)證的場(chǎng)景需求徹底解決web認(rèn)證?；顔栴}，因此用戶?；钍峭ㄟ^Portal客戶端實(shí)現(xiàn)，不在需要web頁面來?；畈呗钥刂泣c(diǎn)設(shè)置在PC端，從整網(wǎng)安全考慮來說是最安全的部署方案；該部署方案即使存在跨級(jí)訪問的需求，也不會(huì)引入多次認(rèn)證的問題劣勢(shì)：無法兼容其它廠商的接入設(shè)備一、Portal客戶端WEB認(rèn)證（用戶名，密碼）方案流程細(xì)化：圖Portal客戶端認(rèn)證流程（用戶名、密碼）協(xié)議說明：PC瀏覽器在整個(gè)過程中均采用Http和Portal服務(wù)器進(jìn)行交互Portal客戶端采用直通協(xié)議同SMP服務(wù)器交換，完成用戶名、密碼、安全域信息傳遞訪問控制策略在接入控制設(shè)備生效，SMP服務(wù)器通過SNMP協(xié)議將訪問控制策略下發(fā)給接入控制設(shè)備訪問控制策略在客戶端PC生效，SMP通過UDP直通協(xié)議直接將訪問控制策略下發(fā)到Portal客戶端接口協(xié)議棧步驟說明步驟1：接入控制設(shè)備同步安全域信息，如接入控制設(shè)備是防火墻卡或者SDG路由需要通過TELNET協(xié)議同步安全域信息到設(shè)備上，如設(shè)備是交換機(jī)無需此步驟操作步驟2至步驟5：WEB認(rèn)證重定向流程步驟6：如上網(wǎng)用戶未安裝Portal客戶端，登入頁面提示用戶安裝Portal客戶端步驟7：用戶輸入用戶名、密碼，選擇登入安全域，Portal客戶端軟件自動(dòng)運(yùn)行步驟8-10：SMP服務(wù)器接收到用戶提交用戶名、密碼、安全域信息，核對(duì)用戶信息業(yè)務(wù)信息，如果成功通過SNMP協(xié)議給接入控制設(shè)備下發(fā)安全域訪問控制策略，并通知Portal客戶端認(rèn)證成功；如果失敗則同時(shí)Portal客戶端認(rèn)證失敗，Portal客戶端提示上網(wǎng)用戶失敗原因步驟11：Portal客戶端與SMP直接通過直通協(xié)議報(bào)文定時(shí)發(fā)送心跳報(bào)文，進(jìn)行用戶在線?；畈襟E12a-12c：心跳檢測(cè)到用戶離線，發(fā)起下線請(qǐng)求；用戶主動(dòng)發(fā)起下線請(qǐng)求；強(qiáng)制用戶下線步驟13：SMP服務(wù)器回收安全域訪問控制權(quán)限：回收接入控制設(shè)備上的安全域訪問控制策略；回收客戶端PC上的安全域訪問控制策略步驟14：通知客戶端用戶下線二、Portal客戶端WEB認(rèn)證（證書認(rèn)證）方案流程細(xì)化認(rèn)證上線流程圖Portal客戶端認(rèn)證流程（證書認(rèn)證）協(xié)議說明PC瀏覽器在整個(gè)過程中均采用Http和SMP服務(wù)器進(jìn)行交互Portal客戶端采用直通協(xié)議同SMP服務(wù)器交換，完成用戶名、密碼、安全域信息傳遞訪問控制策略在接入控制設(shè)備生效，SMP服務(wù)器通過SNMP協(xié)議將訪問控制策略下發(fā)給接入控制設(shè)備訪問控制策略在客戶端PC生效，SMP服務(wù)器通過UDP直通協(xié)議直接將訪問控制策略下發(fā)到Portal客戶端接口協(xié)議棧步驟說明步驟1：接入控制設(shè)備同步安全域信息，如接入控制設(shè)備是防火墻卡或者SDG路由需要通過TELNET協(xié)議同步安全域信息到設(shè)備上，如設(shè)備是交換機(jī)無需此步驟操作步驟2至步驟5：web認(rèn)證重定向流程步驟6：如上網(wǎng)用戶未安裝Portal客戶端，登入頁面提示用戶安裝Portal客戶端步驟7：上網(wǎng)用戶插入U(xiǎn)-KEY，在portal頁面輸入pin密碼，點(diǎn)擊進(jìn)行認(rèn)證步驟8-9：Portal客戶與SMP服務(wù)器直接進(jìn)行EAP-TLS的證書認(rèn)證交互流程步驟10：SMP服務(wù)器使用根證書進(jìn)行客戶證書校驗(yàn)，校驗(yàn)通過后請(qǐng)求CA服務(wù)器對(duì)證書進(jìn)行校驗(yàn)步驟11：CA服務(wù)器返回證書校驗(yàn)結(jié)果步驟12：SMP服務(wù)器再對(duì)用戶信息業(yè)務(wù)信息進(jìn)行核對(duì)；步驟13a：如果步驟12驗(yàn)成功，SMP服務(wù)器通過SNMP協(xié)議給接入控制設(shè)備下發(fā)安全域訪問控制策略步驟13b：如果步驟12驗(yàn)成功，SMP服務(wù)器通過直通協(xié)議給Portal客戶軟件下發(fā)安全域訪問控制策略步驟14：SMP服務(wù)器通知客戶端認(rèn)證成功步驟15：Portal客戶端與SMP直接通過直通協(xié)議報(bào)文定時(shí)發(fā)送心跳報(bào)文，進(jìn)行用戶在線?；畈襟E16a-16c：心跳檢測(cè)到用戶離線，發(fā)起下線請(qǐng)求；用戶主動(dòng)發(fā)起下線請(qǐng)求；強(qiáng)制用戶下線步驟17a-17b：回收安全域訪問控制權(quán)限：回收接入控制設(shè)備上的安全域訪問控制策略；回收客戶端PC上的安全域訪問控制策略步驟18：通知客戶端用戶下線EAP-TLS認(rèn)證流程路由器SDG+web方案分析方案描述場(chǎng)景描述：橫向網(wǎng)委辦局接入電子政務(wù)外網(wǎng)，或縱向網(wǎng)下級(jí)單位上聯(lián)，通過路由器作為控制節(jié)點(diǎn)。方案實(shí)現(xiàn)關(guān)鍵點(diǎn)在用SDG路由即作為安全域訪問策略控制設(shè)備，又作為用戶網(wǎng)絡(luò)出口的NAT設(shè)備，從而滿足政務(wù)外網(wǎng)NAT場(chǎng)景的應(yīng)用接入控制設(shè)備：銳捷SDG路由器（RSR20-14E/F/20-04E/RSR10-02E/30-44）；配套的安全服務(wù)器：SMP服務(wù)器（內(nèi)置Portal服務(wù)器）；終端接入：基于web的認(rèn)證方式。拓?fù)涫疽猓毫鞒陶f明傳統(tǒng)純web頁面方式認(rèn)證 流程及協(xié)議同章節(jié)方案描述同Portal客戶端聯(lián)動(dòng)的認(rèn)證方式 流程及協(xié)議同章節(jié)Portal客戶端方案描述原有路由器SDG方案遺留問題分析重定向問題分析原有實(shí)現(xiàn)方式重定向流程該實(shí)現(xiàn)方式存在的問題分析：如以上流程圖所示，用戶認(rèn)證前就能與HTTP服務(wù)器建立TCP連接，惡意軟件有可能利用此TCP三次握手對(duì)服務(wù)器發(fā)起攻擊，服務(wù)存在安全隱患用戶使用過程中，例如要訪問的服務(wù)器故障了，按照此種實(shí)現(xiàn)方式呈現(xiàn)給用戶的現(xiàn)象是認(rèn)證重定向失敗，給用戶以誤導(dǎo)認(rèn)為是網(wǎng)絡(luò)設(shè)備問題SDG路由器的實(shí)習(xí)方式與我司的防火墻卡、交換機(jī)等產(chǎn)品不一致，影響產(chǎn)品的推廣我司防火墻卡、交換機(jī)的重定向?qū)崿F(xiàn)方式如下所示新SDG路由器重定向?qū)崿F(xiàn)建議按照防火墻卡、交換機(jī)web認(rèn)證重定向的方式來實(shí)現(xiàn)，這樣能解決舊方案存在的問題重定向流程測(cè)試發(fā)現(xiàn)SDG路由器+web方案，用戶下線后需要在等待30s的時(shí)間業(yè)務(wù)才能中斷，該實(shí)現(xiàn)結(jié)果在應(yīng)用安全域方案來說是不可接收的。建議SDG路由器產(chǎn)品參考防火墻卡方式實(shí)現(xiàn)，用戶下線后業(yè)務(wù)立即中斷。支持SDG功能的路由器的產(chǎn)品型號(hào)較少，且無低端產(chǎn)品，對(duì)于人數(shù)較少的委辦接入客戶購(gòu)買RSR30或RSR50作為出口設(shè)備的可能性不是很大。應(yīng)用安全域解決方案V1.0中的遺留問題改進(jìn)分析安全域切換分析用戶認(rèn)證上線后，訪問A安全域信息系統(tǒng)，工作要求需要切換到B安全域下的信息系統(tǒng)。用戶期望能平滑進(jìn)行安全域切換，而不需要手動(dòng)的去執(zhí)行下線，然后再上線。例如在線階段選擇切換安全域――>>選擇切換的目標(biāo)安全域――>>確定執(zhí)行切換――>>完成安全域切換。安全域切換指標(biāo)<10s（具體指標(biāo)值可以討論）——安全域切換后只能訪問新安全域的信息系統(tǒng)資源，不能訪問原有安全域的信息系統(tǒng)資源Web認(rèn)證方式安全域切換流程細(xì)化圖web認(rèn)證安全域切換流程協(xié)議說明：客戶終端和SMP服務(wù)器采用Http協(xié)議進(jìn)交互接入設(shè)備和SMP服務(wù)器之間通過SNMP協(xié)議交互，完成安全域訪問控制策略卸載和安裝SMP服務(wù)器和Portal客戶端之間采用直通協(xié)議交互步驟說明：用戶認(rèn)證成功后，選擇安全域切換選項(xiàng)，選擇切換到的目的安全域。系統(tǒng)自動(dòng)切換到目標(biāo)安全域運(yùn)行。用戶界面參見下圖。備注：web認(rèn)證方式包含純web頁面的認(rèn)證方式（傳統(tǒng)的web認(rèn)證），及和ESA客戶端聯(lián)動(dòng)的web認(rèn)證方式1X認(rèn)證方式安全域切換流程細(xì)化協(xié)議說明：客戶端軟件SA和SMP之間采用直通協(xié)議進(jìn)行交互，完成安全域切換NAS設(shè)備和SMP之間采用SNMP協(xié)議進(jìn)行交互，完成安全域訪問控制策略的切換步驟描述：用戶認(rèn)證成功后，選擇安全域切換選項(xiàng)，選擇切換到的目的安全域。系統(tǒng)自動(dòng)切換到目標(biāo)安全域運(yùn)行。用戶界面參見下圖安全域切換失敗流程分析流程細(xì)化Web認(rèn)證方式1x認(rèn)證方式協(xié)議說明：Web認(rèn)證方式，客戶終端與SMP內(nèi)置Portal服務(wù)器之間采用Http協(xié)議進(jìn)行交互。Web認(rèn)證方式，接入控制設(shè)備和SMP內(nèi)置Portal服務(wù)器之間采用SNMP協(xié)議交互，完成訪問控制策略卸載和安裝。1x認(rèn)證方式，客戶端軟件SA與SMP服務(wù)器之間采用直通協(xié)議進(jìn)行交互。步驟描述參見流程描述用戶界面定制化分析對(duì)于應(yīng)用安全域方案中所有向用戶可見的頁面和標(biāo)識(shí)均要求可實(shí)現(xiàn)定制化，包含客戶端快捷方式標(biāo)識(shí)、重定向頁面、認(rèn)證頁面、訪問控制列表頁面、系統(tǒng)通知及提示頁面等?，F(xiàn)有的應(yīng)用安全域方案已經(jīng)實(shí)現(xiàn)了通過客戶端管理中心完成SA客戶端軟件的定制化功能，Portal客戶端ESA的定制化版本。web認(rèn)證主要是SMP內(nèi)置Portal服務(wù)器的界面定制化功能的開發(fā)。用戶訪問的信息列表是SMP推送給用戶的，這一頁面的定制化功能主要有SMP來完成，如該頁面有SMP內(nèi)置Portal服務(wù)器推送則有Portal開發(fā)對(duì)應(yīng)定制化功能WEB認(rèn)證?；顔栴}分析Web認(rèn)證?；罘绞接袃煞N：一是，用戶采用Portal客戶端的部署方式，可以徹底解決頁面保活的問題；二是，純web頁面認(rèn)證方式，接入認(rèn)證設(shè)備支持流量保活功能，目前交換機(jī)已經(jīng)實(shí)現(xiàn)該功能，防火墻卡和路由器作為應(yīng)用安全域V2.0的新需求增加流量保活功能。交換機(jī)流量?；顚?shí)現(xiàn)方案Web認(rèn)證周期性的調(diào)用硬件接口讀取用戶的流量信息，如果在配置好的周期內(nèi)，流量值低于預(yù)先配置的閾值，則將用戶下線。WEB認(rèn)證降噪方案分析降噪方案與SMP內(nèi)置Portal服務(wù)器無任何關(guān)系，只是改變NAS設(shè)備重定向的方法，是NAS的行為，可參考現(xiàn)有實(shí)現(xiàn)的方法，未降噪與降噪實(shí)現(xiàn)對(duì)比如下：未降噪實(shí)現(xiàn)：直接通過HTTP302重定向。降噪的實(shí)現(xiàn)：通過HTTP200帶Script的方式?？煽啃苑桨阜治龇阑饓醾浞桨?防火墻卡作為應(yīng)用安全域的關(guān)鍵組件，特別是在防火墻卡+web的部屬方案中是不可或缺的，此部屬模式下一旦防火墻卡發(fā)生故障將引起整個(gè)網(wǎng)絡(luò)癱瘓，因此防火墻卡的熱備方案是至關(guān)重要的。 AS熱備方式，該方案防火墻卡10.3（4b6）版本中已經(jīng)實(shí)現(xiàn)；納入應(yīng)用安全域V1.1解決方案中。 此兩種熱備方式均包含單S86雙防火墻卡和雙S86+VSU雙防火墻卡的部署模式。 單機(jī)雙防火墻卡熱備方式S86設(shè)備上允許插入多張防火墻模塊，防火墻模塊之間兩兩可以形成故障切換對(duì)。正常情況下，業(yè)務(wù)流完全由主用防火墻模塊處理，而不會(huì)流經(jīng)備用防火墻（除非對(duì)備用防火墻進(jìn)行管理）。當(dāng)主用防火墻模塊故障時(shí)（復(fù)位、下電），備用防火墻會(huì)主動(dòng)切換為主用防火墻模塊，使流量快速地切換到備用防火墻模塊上。（下圖中同一個(gè)顏色的線條表示同一個(gè)VLAN。）單機(jī)雙防火墻卡熱備示意圖S86+VSU雙防火墻卡熱備方式由于連接防火墻模塊的S86對(duì)于防火墻模塊是松耦合，對(duì)于防火墻模塊來說，S86就是一個(gè)外部網(wǎng)絡(luò)，因此防火墻模塊連接單臺(tái)S86還是連接兩臺(tái)S86構(gòu)成的VSU，對(duì)于防火墻的處理邏輯來說并無不同，因此應(yīng)防火墻卡實(shí)現(xiàn)方式是同單機(jī)雙防火墻卡一樣的S86+VSU雙防火墻卡熱備示意圖各部件產(chǎn)品列表描述RG-SMP服務(wù)器RG-SMP(SecurityManagementPlatform，安全管理平臺(tái))實(shí)現(xiàn)Radius服務(wù)器、Portal服務(wù)器功能，完成接入用戶的身份認(rèn)證和授權(quán)。SA客戶端軟件SA是安裝到上網(wǎng)用戶所在計(jì)算機(jī)的客戶端軟件。同SMP配合完成802.1X認(rèn)證和其他安全控制的相關(guān)功能（如微軟補(bǔ)丁更新、入網(wǎng)規(guī)則控制等），接受SMP下發(fā)的安全域列表、信息系統(tǒng)列表展示給管理員。另外SA還需要接收SMP服務(wù)器下發(fā)ACL，安裝到網(wǎng)卡驅(qū)動(dòng)上，控制用戶的訪問權(quán)限。Portal客戶端軟件(ESA)ESA是通過自動(dòng)下載安裝到上網(wǎng)用戶所在計(jì)算機(jī)的客戶端軟件。同SMP、SMP內(nèi)置portal服務(wù)器配合完成用戶接入認(rèn)證，接受SMP下發(fā)的安全域列表、信息系統(tǒng)列表展示給管理員。另外ESA還需要接收SMP服務(wù)器下發(fā)ACL，安裝到網(wǎng)卡驅(qū)動(dòng)上，控制用戶的訪問權(quán)限。防火墻卡防火墻卡的功能是對(duì)不同安全區(qū)域進(jìn)行邏輯隔離。它通過控制用戶在同一時(shí)刻只能訪問特定的安全區(qū)域，從而防止用戶在訪問不安全區(qū)域的同時(shí)，將病毒擴(kuò)散到其他受保護(hù)的區(qū)域；或者在訪問受保護(hù)區(qū)域的同時(shí)，將重要信息泄漏到不安全區(qū)域。路由器路由器與防火墻卡類似，但是應(yīng)用場(chǎng)景不一樣而已，主要應(yīng)用在電子政務(wù)外網(wǎng)上。它也是通過控制用戶在同一時(shí)刻只能訪問特定的安全區(qū)域，從而防止用戶在訪問不安全區(qū)域的同時(shí)，將病毒擴(kuò)散到其他受保護(hù)的區(qū)域；或者在訪問受保護(hù)區(qū)域的同時(shí)，將重要信息泄漏到不安全區(qū)域。同時(shí)路由在應(yīng)用安全域場(chǎng)景中還作為網(wǎng)絡(luò)的NAT設(shè)備。交換機(jī)交換機(jī)的功能與防火墻卡基本是一致的，交換機(jī)除了支持web認(rèn)證外，還支持與SA客戶聯(lián)動(dòng)實(shí)現(xiàn)802.1x認(rèn)證的接入控制方式。產(chǎn)品功能列表RG-SMP功能模塊功能說明支持以用戶、密碼為憑據(jù)的用戶身份認(rèn)證支持以用戶名、密碼為憑據(jù)，來校驗(yàn)用戶身份的合法性。支持以CA證書為憑據(jù)的用戶身份認(rèn)證支持以CA證書為憑據(jù)，來校驗(yàn)用戶身份的合法性。支持與客戶端SA聯(lián)動(dòng)實(shí)現(xiàn)身份認(rèn)證支持與客戶端SA聯(lián)動(dòng)實(shí)現(xiàn)身份認(rèn)證支持SMP內(nèi)置Portal服務(wù)器實(shí)現(xiàn)web用戶名密碼認(rèn)證以及其他功能1）支持普通用戶認(rèn)證(安全域僅支持一代web認(rèn)證)支持與本地用戶、LDAP聯(lián)動(dòng)用戶、AD域聯(lián)動(dòng)用戶、數(shù)據(jù)庫(kù)聯(lián)動(dòng)用戶、遠(yuǎn)程Radius聯(lián)動(dòng)用戶、WebService聯(lián)動(dòng)用戶聯(lián)動(dòng)認(rèn)證支持昵稱認(rèn)證，支持短信校驗(yàn)碼認(rèn)證支持保存密碼、賬號(hào)過期提醒、修改密碼、密碼復(fù)雜度提醒、密保問題找回密碼、短信找回密碼、郵箱找回密碼支持郵箱箱自助注冊(cè)、短信自助注冊(cè)、第三方數(shù)據(jù)庫(kù)自助注冊(cè)支持公告欄信息、上線公告信息、自動(dòng)彈出上線公告地址、自動(dòng)彈出登錄前訪問的地址、自動(dòng)彈出單點(diǎn)SSO登錄界面支持認(rèn)證客戶端下載地址、ESA客戶端下載地址WIFI小助手下載地址展示支持自助服務(wù)平臺(tái)鏈接支持流量?；?ESA心跳?；?、界面心跳?；?、一代關(guān)閉瀏覽器后立即下線、強(qiáng)制下線支持可切換安全域、信息系統(tǒng)可點(diǎn)擊支持下線后能夠記住上次選擇的安全域支持http\https支持SMP內(nèi)置Portal服務(wù)器實(shí)現(xiàn)web證書認(rèn)證支持與RG-ESA配置實(shí)現(xiàn)web證書認(rèn)證用戶身份管理1）自動(dòng)銷戶、暫停用戶功能2）黑名單3）用戶自助修改密碼4）單帳號(hào)單PC使用應(yīng)用安全域劃分和權(quán)限管理功能提供信息系統(tǒng)管理功能，管理員可增刪改查信息系統(tǒng)；提供安全域管理的功能，管理員可增刪改查安全域；管理員可指派信息系統(tǒng)到安全域，設(shè)定安全域包含哪些信息系統(tǒng)，一個(gè)信息系統(tǒng)只能屬于一個(gè)安全域；管理員可以為已經(jīng)存在的用戶或用戶組分配安全域的訪問權(quán)限；管理員可以將以上配置的內(nèi)容同步給防火墻卡、路由器等；用戶認(rèn)證通過后，SMP通過SNMP協(xié)議向防火墻卡、路由器、交換機(jī)下發(fā)用戶權(quán)限；通過UDP直通協(xié)議給認(rèn)證客戶端下發(fā)訪問控制權(quán)限用戶退出認(rèn)證后，SMP通過SNMP協(xié)議向防火墻卡、路由器、交換機(jī)下發(fā)回收權(quán)限命令；通過UDP直通協(xié)議回收訪問控制權(quán)限和交換機(jī)設(shè)備聯(lián)動(dòng)，1x認(rèn)證方式下支持訪問測(cè)試下發(fā)到交換和SA客戶端軟件和ESA聯(lián)動(dòng)方式認(rèn)證，策略下發(fā)到訪問控制設(shè)備支持基于網(wǎng)段、和基于主機(jī)IP地址兩種方式的安全域信息系統(tǒng)策略支持同步防火墻卡、路由器的安全配配置信息防火墻卡、路由器同步時(shí)使用telnet協(xié)議支持多策略點(diǎn)部署支持一個(gè)網(wǎng)絡(luò)同時(shí)部署多種設(shè)備聯(lián)動(dòng)（交換機(jī)、路由器、防火墻卡等）不同設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)身份認(rèn)證和訪問控制功能支持防火墻卡擴(kuò)容支持網(wǎng)絡(luò)中部署多張獨(dú)立運(yùn)行的防火墻卡設(shè)備在線保活和客戶端聯(lián)動(dòng)場(chǎng)景定時(shí)檢測(cè)用戶是否在線，當(dāng)檢測(cè)到用戶已不在線時(shí)，發(fā)起認(rèn)證下線流程支持設(shè)備的流量?；罨驎?huì)話?；钅芙邮赵O(shè)備的?；钕戮€信息，將服務(wù)器上對(duì)應(yīng)用戶下線操作支持頁面定制化支持頁面定制化功能支持安全域切換支持安全域切換功能支持最大在線用戶數(shù)20000人單用戶上線時(shí)長(zhǎng)<3s支持每秒認(rèn)證用戶數(shù)20個(gè)/s安全域切換時(shí)間<10sRG-SA功能模塊功能說明支持以用戶、密碼為憑據(jù)的用戶身份認(rèn)證支持以用戶名、密碼為憑據(jù)，與SMP進(jìn)行802.1X完成用戶身份的合法性校驗(yàn)。支持以CA證書為憑據(jù)的用戶身份認(rèn)證支持以CA證書為憑據(jù)，來校驗(yàn)用戶身份的合法性。應(yīng)用安全域權(quán)限控制功能用戶認(rèn)證通過后，根據(jù)SMP下發(fā)的ACL，控制已認(rèn)證用戶的網(wǎng)絡(luò)訪問權(quán)限；用戶退出認(rèn)證后，清除ACL策略。在線?；頢A會(huì)定時(shí)（默認(rèn)每隔60分鐘）向SMP發(fā)送?；顖?bào)文，如果SMP判斷SA已經(jīng)連續(xù)3次未發(fā)送?；顖?bào)文，則執(zhí)行退出認(rèn)證流程；支持NAT穿越功能SA軟件支持上傳用戶NAT前的IP、MAC地址等信息支持頁面定制化支持頁面定制化功能支持安全域切換支持安全域切換功能單用戶上線時(shí)長(zhǎng)<3s安全域切換時(shí)間<10sRG-ESA（Portal客戶端）功能模塊功能說明支持軟件自動(dòng)下載和安裝支持通過Portal服務(wù)器提供下載連接，自動(dòng)下載安裝客戶端軟件支持以用戶、密碼為憑據(jù)的用戶身份認(rèn)證支持以用戶名、密碼為憑據(jù)，與SMP聯(lián)動(dòng)完成用戶身份的合法性校驗(yàn)。支持以CA證書為憑據(jù)的用戶身份認(rèn)證支持以CA證書為憑據(jù)，來校驗(yàn)用戶身份的合法性。通過UDP直通協(xié)議上傳用戶證書信息給Portal服務(wù)器在線?；頔SA會(huì)定時(shí)（默認(rèn)每隔60分鐘）向SMP發(fā)送?；顖?bào)文，如果SMP判斷SA已經(jīng)連續(xù)3次未發(fā)送?；顖?bào)文，則執(zhí)行退出認(rèn)證流程；支持頁面定制化支持頁面定制化功能支持安全域切換功能支持安全域切換功能單用戶上線時(shí)長(zhǎng)<3s安全域切換時(shí)間<10s防火墻卡功能模塊功能說明http報(bào)文過濾接收未認(rèn)證用戶的http報(bào)文，進(jìn)行訪問控制，讓合法報(bào)文通過，劫持不合法的報(bào)文并跳轉(zhuǎn)到Portal的用戶認(rèn)證頁面。身份認(rèn)證轉(zhuǎn)發(fā)包含用戶認(rèn)證信息的協(xié)議報(bào)文給Portal服務(wù)器，完成身份認(rèn)證1）支持純web頁面的認(rèn)證方式2）支持同Protal客戶端聯(lián)動(dòng)的web認(rèn)證方式應(yīng)用安全域劃分和權(quán)限控制功能提供安全域配置的CLI命令，管理員可劃分安全域，并指定安全域的信息系統(tǒng)；用戶認(rèn)證通過后，根據(jù)SMP下發(fā)的用戶權(quán)限，控制已認(rèn)證用戶的網(wǎng)絡(luò)訪問權(quán)限；用戶退出認(rèn)證后，根據(jù)SMP下發(fā)的回收權(quán)限命令，回收用戶的網(wǎng)絡(luò)訪問權(quán)限。安全域及信息系統(tǒng)配置同步SMP向防火墻卡同步安全域配置信息，使用telnet協(xié)議支持web認(rèn)證流量?；罟δ躓eb認(rèn)證方式下，設(shè)備支持流量?；?，當(dāng)用戶流量一定時(shí)間內(nèi)小于某個(gè)值時(shí)，強(qiáng)制用戶下線支持web認(rèn)證降噪功能支持web認(rèn)證降噪功能支持設(shè)備熱備功能支持設(shè)備熱備功能，支持AS方式的熱備支持最大在線用戶數(shù)5000人單用戶上線時(shí)長(zhǎng)<3s支持每秒認(rèn)證用戶數(shù)20個(gè)/s安全域切換時(shí)間<10s路由器功能模塊功能說明http報(bào)文過濾接收未認(rèn)證用戶的http報(bào)文，進(jìn)行訪問控制，讓合法報(bào)文通過，劫持不合法的報(bào)文并跳轉(zhuǎn)到Portal的用戶認(rèn)證頁面。身份認(rèn)證轉(zhuǎn)發(fā)包含用戶認(rèn)證信息的協(xié)議報(bào)文給Portal服務(wù)器，完成身份認(rèn)證1）支持純web頁面的認(rèn)證方式2）支持同Protal客戶端聯(lián)動(dòng)的web認(rèn)證方式應(yīng)用安全域劃分和權(quán)限控制功能提供用戶角色配置的CLI命令，管理員可配置用戶角色；提供安全域配置的CLI命令，管理員可劃分安全域，并指定安全域的信息系統(tǒng)；提供隔離訪問權(quán)限配置的CLI命令，管理員可以為用戶角色分配不同安全域的訪問權(quán)限；用戶認(rèn)證通過后，根據(jù)服務(wù)器下發(fā)的用戶權(quán)限，控制已認(rèn)證用戶的網(wǎng)絡(luò)訪問權(quán)限；用戶退出認(rèn)證后，根據(jù)服務(wù)器下發(fā)的回收權(quán)限命令，回收用戶的網(wǎng)絡(luò)訪問權(quán)限。安全域及信息系統(tǒng)配置同步SMP向路由器同步安全域配置信息，使用telnet協(xié)議支持作為NAT設(shè)備和安全域控制設(shè)備支持作為NAT功能與安全域功能并存支持web認(rèn)證會(huì)話?；罟δ躓eb認(rèn)證方式下，設(shè)備支持基于會(huì)話?；罟δ?，當(dāng)用戶一定時(shí)間內(nèi)沒有業(yè)務(wù)訪問，強(qiáng)制用戶下線支持web認(rèn)證降噪功能支持web認(rèn)證降噪功能支持最大在線用戶數(shù)人（產(chǎn)品指標(biāo)為準(zhǔn)）單用戶上線時(shí)長(zhǎng)<3s支持每秒認(rèn)證用戶數(shù)20個(gè)/s安全域切換時(shí)間<10s交換機(jī)功能模塊功能說明http報(bào)文過濾接收未認(rèn)證用戶的http報(bào)文，進(jìn)行訪問控制，讓合法報(bào)文通過，劫持不合法的報(bào)文并跳轉(zhuǎn)到Portal的用戶認(rèn)證頁面。身份認(rèn)證轉(zhuǎn)發(fā)包含用戶認(rèn)證信息的協(xié)議報(bào)文給Portal服務(wù)器，完成身份認(rèn)證1）支持1x認(rèn)證方式2）支持web認(rèn)證方式，3）支持同Portal客戶端聯(lián)動(dòng)的web認(rèn)證方式應(yīng)用安全域劃分和權(quán)限控制功能用戶認(rèn)證通過后，根據(jù)服務(wù)器下發(fā)的用戶權(quán)限，控制已認(rèn)證用戶的網(wǎng)絡(luò)訪問權(quán)限；用戶退出認(rèn)證后，根據(jù)服務(wù)器下發(fā)的回收權(quán)限命令，回收用戶的網(wǎng)絡(luò)訪問權(quán)限。支持web認(rèn)證流量?；罟δ躓eb認(rèn)證方式下，設(shè)備支持流量?；?，當(dāng)用戶流量一定時(shí)間內(nèi)小于某個(gè)值時(shí)，強(qiáng)制用戶下線支持web認(rèn)證降噪功能支持web認(rèn)證降噪功能支持最大在線用戶數(shù)人（產(chǎn)品指標(biāo)為準(zhǔn)）單用戶上線時(shí)長(zhǎng)<3s支持每秒認(rèn)證用戶數(shù)20個(gè)/s安全域切換時(shí)間<10s產(chǎn)品配套版本RG-SMP：2.62專業(yè)版_build20131108發(fā)布時(shí)間：13年11月RG-SA：RG-SAV1.5發(fā)布時(shí)間：12年9月RG-ESA（Portal客戶端）：RG-ESAV1.2

發(fā)布時(shí)間：12年9月防火墻卡：10.3（4b6p3）發(fā)布時(shí)間：13年6月路由器：10.4（3b12）發(fā)布時(shí)間：12年10月交換機(jī)：10.4（3b16）p1發(fā)布時(shí)間：13年7月解決方案特性列表身份認(rèn)證功能描述為適應(yīng)不同用戶的身份認(rèn)證需求，如領(lǐng)導(dǎo)、普通員工、臨時(shí)訪客等，提供多種身份認(rèn)證手段?；跇?biāo)準(zhǔn)802.1X的身份認(rèn)證，采用RG-SA客戶端，支持標(biāo)準(zhǔn)的802.1X交換機(jī)，可進(jìn)行硬盤序列號(hào)、交換機(jī)端口、交換機(jī)IP、IP、MAC、用戶名、密碼的七元素靈活綁定?；赪eb頁面的身份認(rèn)證。通過防火墻卡/交換機(jī)/路由器的Web認(rèn)證功能，進(jìn)行身份認(rèn)證。支持與CA中心聯(lián)動(dòng)，實(shí)現(xiàn)證書認(rèn)證方式。對(duì)于臨時(shí)訪客，可由已認(rèn)證用戶建立臨時(shí)訪客帳號(hào)，并對(duì)臨時(shí)訪客進(jìn)行權(quán)限控制。網(wǎng)絡(luò)訪問權(quán)限控制描述對(duì)入網(wǎng)主機(jī)的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制，實(shí)現(xiàn)安全域之間的隔離，避免不同業(yè)務(wù)、不同安全等級(jí)的信息交叉，帶來信息安全風(fēng)險(xiǎn)可根據(jù)用戶身份設(shè)置網(wǎng)絡(luò)訪問權(quán)限可根據(jù)業(yè)務(wù)不同和用戶身份不同劃分不同的安全域，同一用戶同一時(shí)間只能訪問一個(gè)安全域可根據(jù)安全域中的資源向用戶推送資源訪問列表，方便用戶訪問。外部接口暫無未包含的特性無可測(cè)試性考慮無網(wǎng)管考慮無專利考慮無各部件產(chǎn)品需求或規(guī)格說明部件產(chǎn)品軟硬件基線是否新產(chǎn)品或者需要開發(fā)特性RG-SMP專業(yè)版V2.X否RG-SA否RG-ESA否M8600-FW否RG-WALL1600-B-E是RSR-30-44RSR20-14E/F/20-04ERSR10-02E否RG-S26IRG-S29ERG-S57E否應(yīng)用安全域2.0部署實(shí)施指導(dǎo)測(cè)試人員給予SMP的部署配置，SA\ESA\WEB界面的操作步驟和效果截圖，文字說明。簡(jiǎn)單設(shè)備配置指導(dǎo)。測(cè)試人員給予SMP的部署配置，SA\ESA\WEB界面的操作步驟和效果截圖，文字說明。簡(jiǎn)單設(shè)備配置指導(dǎo)。待需要時(shí)補(bǔ)充。方案升級(jí)變更項(xiàng)及測(cè)試重點(diǎn)升級(jí)變更說明項(xiàng)目是否變更備注方案價(jià)值點(diǎn)否方案功能否方案接口有1.設(shè)備與ePortal服務(wù)器接口變化為，與SMP連接2.Portal與SMP認(rèn)證radius接口變化為直接函數(shù)方案組件有“控制設(shè)備+ePortal+SMP”變更為”控制設(shè)備+SMP”方案配套版本有SMP配套版本更新為V2.62原有web認(rèn)證流程接口說明：web認(rèn)證過程設(shè)備與Portal服務(wù)器（ePortal）之間通過http和snmp協(xié)議進(jìn)行認(rèn)證授權(quán)交互Portal服務(wù)器（ePortal）與SMP之間通過radius協(xié)議和SNMP協(xié)議進(jìn)行認(rèn)證授權(quán)交互當(dāng)前變更說明接口說明：web認(rèn)證過程設(shè)備與SMP通過http和SNMP協(xié)議進(jìn)行認(rèn)證授權(quán)交互，Portal服務(wù)器與SMP服務(wù)器功能合并SMP的內(nèi)置Portal與SMP認(rèn)證模塊之間通過直接函數(shù)交互，不再是radius協(xié)議接口測(cè)試重點(diǎn)設(shè)備與SMP直接的交互接口測(cè)試，安全域方案涉及到改接口的功能均須重點(diǎn)測(cè)試覆蓋，如：Web認(rèn)證相關(guān)，認(rèn)證上下線，多用戶性能容量ESA方式的認(rèn)證相關(guān)，用戶名/密碼、證書認(rèn)證安全區(qū)域策略下發(fā)與回收安全域切換SMP的內(nèi)置Portal與SMP認(rèn)證模塊之間的接口，與軟件產(chǎn)品林雁敏溝通該接口軟件產(chǎn)品保障質(zhì)量，解決方案只進(jìn)行黑盒測(cè)試覆蓋即可測(cè)試重點(diǎn)難點(diǎn)匯總測(cè)試重點(diǎn)備注SMP多用戶性能容量，多用戶重定向、多用戶認(rèn)證上下線（包含策略下發(fā)）、多用戶在線?；钫J(rèn)證重定向、在線用戶?；钤莈Portal服務(wù)器功能Web、ESA認(rèn)證交互基本功能，以及日常運(yùn)行管理設(shè)備與ePortal接口遷移到SMP瀏覽器兼容性測(cè)試原來瀏覽器主要是ePortal兼容用戶方案安裝上點(diǎn)SMP服務(wù)器安裝配置要求方案測(cè)試版本信息產(chǎn)品組件對(duì)應(yīng)版本版本階段RG-SMP2.62專業(yè)版_build20131108正式發(fā)布RG-ESARG-ESAV1.4正式發(fā)布防火墻卡(FW)10.3（4b6）p3_R(157224)正式發(fā)布路由器(RSR20)10.4（3b12）_R(151012)正式發(fā)布交換機(jī)(S5750E)10.4(3b16)p1_R162455正式發(fā)布交換機(jī)(S26I)10.4(3b16)_R151126正式發(fā)布測(cè)試環(huán)境說明應(yīng)用安全域測(cè)試拓?fù)渫負(fù)湔f明本次測(cè)試方案主要覆蓋了FW+SMP；S5750E+SMP；S26I+SMP；RSR20+SMP四種安全域接入控制場(chǎng)景其中各種接入控制設(shè)備聯(lián)動(dòng)場(chǎng)景均用戶接入認(rèn)證方式均覆蓋了web用戶名/密碼認(rèn)證，ESA聯(lián)動(dòng)的證書認(rèn)證等SMP認(rèn)證服務(wù)器部屬在網(wǎng)關(guān)中心位置安全域劃分為網(wǎng)管安全域、數(shù)據(jù)中心安全域、互聯(lián)網(wǎng)安全域等測(cè)試項(xiàng)目及結(jié)果如下表格中的測(cè)試點(diǎn)及測(cè)試內(nèi)容分別在FW+SMP；交換機(jī)+SMP；路由器+SMP三大聯(lián)動(dòng)場(chǎng)景中都測(cè)試執(zhí)行，本次方案升級(jí)變更主要是認(rèn)證服務(wù)器SMP端引入的變化，因此針對(duì)接入控制設(shè)備特有的測(cè)試用例不進(jìn)行測(cè)試覆蓋。測(cè)試點(diǎn)測(cè)試內(nèi)容測(cè)試結(jié)果備注web頁面認(rèn)證方式，安全域基本功能驗(yàn)證，選擇對(duì)應(yīng)安全域進(jìn)行認(rèn)證SMP添加3-5個(gè)安全域，用戶選擇對(duì)應(yīng)安全域進(jìn)行認(rèn)證，認(rèn)證成功后僅能訪問對(duì)應(yīng)安全域的資源，無法訪問其他安全域資源pass安全域切換用戶選擇互聯(lián)網(wǎng)安全域認(rèn)證成功后，進(jìn)行安全域切換操作。切換前只能訪問互聯(lián)網(wǎng)，切換后只能訪問新安全域的資源pass多用戶多安全域同時(shí)在線(3-5個(gè)安全域）5個(gè)用戶分別選擇5個(gè)不同的安全域進(jìn)行認(rèn)證，認(rèn)證成功后分別僅能訪問對(duì)應(yīng)的安全域pass非法用戶接入未開戶用戶，過期用戶，接入用戶密碼錯(cuò)誤，接入網(wǎng)絡(luò)失敗有相應(yīng)的錯(cuò)誤提示passVIP用戶，無需認(rèn)證可訪問所有資源VIP用戶，無需認(rèn)證可訪問所有資源。在交換機(jī)上添加免認(rèn)證用戶實(shí)現(xiàn)pass用戶無需認(rèn)證也能訪問的網(wǎng)絡(luò)資源（DNS服務(wù)器，portal服務(wù)器等）訪問控制設(shè)備上配置免認(rèn)證網(wǎng)絡(luò)資源實(shí)現(xiàn)pass全局服務(wù)器訪問控制，無論選擇哪個(gè)安全域認(rèn)證均可訪問全局信息系統(tǒng)下的網(wǎng)絡(luò)資源SMP上配置全局安全域信息系統(tǒng)，用戶無論選擇哪個(gè)安全域認(rèn)證均