SACG

xiaomayi_2015

SACG

一、终端安全与TSM

二、SACG的工作原理

     2.1 SACG作用及流程

     2.2 认证方式

     2.3 控制策略下发流程

     2.4 策略查找流程

三、SACG的部署方式   

     3.1 旁挂模式

      3.2 直连模式

      3.3 两种部署方式在配置上的区别

四、SACG与TSM联动配置

     4.1 配置SACG与TSM控制器的连接

     4.2 管理用户与角色

五、配置举例

     5.1 配置旁挂模式

     5.2 配置直挂模式

       Ps：举例的时候没写具体配置      

一、终端安全与TSM

随着网络的发展与防火墙设备的普及，企业的网络安全威胁的主要来源正逐渐从外网转移到内网，包括：

1.非法终端和非授权终端对业务系统的访问，主要包括以下几种情况；

  1）非自有的终端设备接入企业内网

  2）不合法人员利用企业设备接入企业内网

  3）合法人员越权访问网络资源

2.终端不安全导致病毒的扩散

3.终端数量大、系统复杂、员工的违规行为得不到监控。

根据这一问题，我们提出了TSM方案。它将网络划分为以下几类区域：

1.用户域

所有接入企业内网的终端设备，例如台式机、便携机以及通过Internet继而的出差员工、驻外机构、合作伙伴等。

2.网络域

进行流量转发的网络设备所组成的域，承载业务流量，实现各网络的互联。SACG就部署在这个域中。

3.认证前域

认证前域是终端设备在完成认证之前可以访问的区域。该区域主要用于对终端设备和用户进行认证、授权、策略管理、补丁下发等。TSM方案中的大部分组件都部署在该区域中。

4.受控域

受控域是终端在完成认证后才可以访问的区域。包括两种：

  隔离域

    隔离域是指终端用户通过了身份认证但未通过授权时访问的区域。通常将能够帮助终端用户消除安全隐患的相关资源（如补丁服务器、防病毒服务器等）部署在本区域。

  认证后域

   认证后域是企业真正的核心资源所在的区域，终端设备和用户都必须进行认证和授权之后才能访问自己的权限相对应的安全区域。

二、SACG的工作原理

2.1  SACG的作用及流程

SACG（安全接入控制网关）

NGFW在TSM方案中承担SACG这个角色，主要作用是进行网络访问权限控制。在TSM方案中，对各类用户进行访问控制的策略不需要手工创建，而是由TSM系统根据相关的策略配置，自动下发到NGFW上。

如下图为SACG的认证流程

2.2 认证方式

终端通过SACG进行认证请求的方式主要有以下两种：

1.TSM代理认证

  TSM代理是TSM的一个组件，作为TSM的客户端安装在终端设备上。主要承担用户身份认证、终端设备安全检查以及与TSM后台服务器的自动交互等工作。安装TSM代理后，与TSM控制器联动的所有过程都是由TSM代理自动完成，实现了对用户的透明。

2.无代理web认证

  如果终端设备上不能安装TSM代理软件，例如终端设备的操作系统为UNIX，那么在用户没有经过认证就访问Web的情况下，会被强制跳转到一个用于认证的Web界面。用户可以通过该界面进行相应的认证请求。无代理Web认证不能实现TSM方案的所有功能，所以不推荐使用。

2.3 控制策略下发原理

TSM服务器将访问控制策略下发给SACG的原理是：

通过在SACG上配置TSM联动功能，将SACG上的ACL3099～3999作为接纳TSM下发控制策略的容器，这901条ACL分别对应ID号为0～900的901种角色，每种角色对应TSM系统中的一个受控域。其中ACL3099对应角色0，是所有接入用户的缺省角色，可以用来允许未经认证的用户访问认证前域。剩余的ACL3100～3999对应角色1～900号角色，这些角色是由TSM系统下发的普通角色。

每一个受控域对应FW上的两个ACL。奇数号ACL对应DENY规则，偶数号ACL对应PERMIT规则

执行default acl 3099命令指定缺省ACL后，ACL3099中的原有规则会被自动清除，并且不能被人工配置。

执行right-manager server-group enable开启与TSM服务器的连接后，ACL3100～ACL3999将不能被人工配置。如果在开启之前，这些ACL已经包含规则或者正在被其他功能使用，必须先手工清除规则，并且取消在其他功能中的使用，才能开启与TSM服务器的连接。

一个终端设备接入后，通过SACG向TSM服务器发起认证请求，认证通过后，TSM服务器将该终端设备的IP地址以及对应的角色信息发给SACG。

SACG根据TSM服务器下发的各条ACL中的信息，建立一个源IP监控表，记录IP地址、角色、角色的权限以及可访问的资源等信息的对应关系。

2.4策略查找流程

SACG收到一个来自终端设备的报文后，在进行域间包过滤时，如下图所示流程进行处理：

如图 TSM联动下的策略查找流程

三、SACG的部署方式

SACG主要提供直挂和旁挂两种不同的部署模式，不同模式中设备的配置存在少量差异。

3.1旁挂模式：

通常情况下，使用TSM功能时内网环境已经存在，终端用户和业务已经通过一个核心转发设备（三层交换机和路由器）连接在一起。如果在部署TSM系统时，使用SACG替换掉这个转发设备，就会涉及到重新构建内网环境和路由的重新学习等问题。为了避免这些问题，可以使用旁挂模式来部署SACG。同时通过旁挂模式也可以避免由于SACG故障导致网络不通的问题。

旁挂模式的典型的组网图如图1所示

在该组网中，连接Trust和Untrust区域的路由器也可以使用交换机来代替。通过在路由器或交换机上配置重定向或者策略路由，将Untrust区域的终端设备访问Trust区域的业务系统的流量从路由器或交换机转发到SACG上，由SACG对其进行处理。期间SACG会和TSM服务器进行一系列交互，以确定该流量所属的用户的权限，并进行相应的处理。当这些流量被允许通过SACG后，由业务系统回应的流量会直接通过路由器或交换机转发给Untrust区域。

这种组网是在用户原有组网基础上直接添加SACG和TSM服务器群，不需要破坏原有网络结构。而且由于只有一个方向的流量会经过SACG，所以对SACG的负载要求较小。推荐使用这种模式部署TSM系统。但是使用旁挂时，如果来的流量是UDP是可以通过的。如果是TCP时，是非首包无法通过SACG的。建议关闭状态检测。如果不关闭，会导致当流量从外网访问内网时，不是首包无法建立会话出防火墙。

在图1中，从Internet接入的出差员工和分支机构也都作为不信任的终端，划入到SACG的Untrust区域中，但是在某些场景下，Internet本身就是一种需要认证后才可访问的资源，应当作为认证后域加以保护。所以在这种情况下，可以采用TSM系统的多SACG的组网，如图2所示。

图2 多SACG的TSM联动旁挂模式组网

在该组网中，各个SACG的主要作用如下：

· SACG_A
分支机构的SACG，部署在分支机构出口，用于控制分支机构访问Internet以及总部内网的行为。如果分支机构不需要单独控制，可以不部署此SACG。

· SACG_B
企业总部的SACG，部署在企业出口，用于控制内网用户访问Internet的行为。如果不需要控制此类行为，即不将Internet看做认证后域，可以不部署此SACG。

· SACG_C
企业总部业务系统的SACG，部署在进入业务系统的入口，用于控制所有终端设备访问业务系统的行为。

· SACG_D
内网用户的SACG，部署在内网用户汇聚的交换机旁，用于控制内网用户之间互访的行为。如果不部署此SACG，内网用户就可以通过交换机直接相互访问，不受控制。

3.2直挂模式

直挂模式是指将设备直接串接在用户原有组网中。典型的组网图如图3所示。

图3 直挂模式的TSM联动组网图

该组网模式下，有两种使用方式：

· 使用二层接口连接Untrust、DMZ、Trust三个安全区域
这种方式适合于使用TSM前，SACG所在网络位置是一个交换机的情况。相当于通过NGFW的二层口替代了之前的交换机。
此处的二层接口为三层接口工作在二层模式下的接口。

· 使用三层接口连接Untrust、DMZ、Trust三个安全区域
这种方式适合于使用TSM前，SACG所在网络位置是一个路由器的情况。相当于通过NGFW的三层接口替代了之前的路由器。这种方式中，SACG上需要正确配置内网的路由。

3.3 两种部署模式在配置上的区别

表1 TSM的两种部署模式在配置上的区别

项目	旁挂模式	直挂模式
接口	SACG通过两个三层接口与交换机相连。交换机的两个接口需要划入不同的VLAN，使用VLANIF与SACG通信。	可以使用三个二层接口与各个区域相连。 这种情况下相当于在网络中串接一个交换机。此时各个二层接口应该属于同一VLAN，所以不能位于同一接口卡，否则不能触发TSM功能检查。可以使用三个三层接口与各个区域相连。 这种情况下相当于在网络中串接一个路由器。三个接口必须属于不同网段。所以这些接口既可以属于同一个接口卡，也可以属于不同的接口卡。
安全区域	SACG通过交换机与终端设备相连的接口划入Untrust区域，与业务系统相连的接口划入Trust区域。	SACG与终端设备相连的接口划入Untrust区域，与业务系统相连的接口划入Trust区域，与TSM服务器相连的接口划入DMZ区域。
重定向与路由配置	需要在与SACG相连的交换机或路由器上配置端口重定向，将从终端设备收到的流量全部转发到SACG上。需要在SACG上配置一条指向交换机或路由器的缺省路由，以便将检测完成的流量回注到交换机或路由器上，使其可以被转发到业务系统中。	需要在SACG上配置路由协议，保证内网网络的连通。如果由于SACG的部署，导致原有网络的IP地址分配和路由发生变化，需要在与SACG相连的路由器上修改相应的路由表项，以保证内网网络的连通。
其他安全功能的使用	由于旁挂模式中，只有一个方向的流量会经过SACG，所以需要关闭SACG的状态检测功能。NGFW上基于状态检测实现的功能在旁挂模式中均不可用。	直挂模式中，NGFW的大部分安全功能均可正常使用，但是由于直挂模式下两个方向的流量都需要经过设备的检测，流量负载较大，所以开启其他安全功能时要考虑设备的性能承受情况。

zmjeffwc