CheckPoint的用户认证支持(一)

原创 2004年09月04日 17:09:00

CheckPoint的认证实现有2大部分:基本的认证支持,全面的授权服务。

基本的认证支持

所谓基本的认证支持,就是防火墙在选择授权前首先确认主体的身份。
这其实是个很别扭的事情,但这是由于防火墙自包过滤以来,似乎天然地就是把ip当作主体这个更别扭的事实。
举例:
没有防火墙F的时候,FTP这样的协议,用户A访问FTP服务器S,则FTP是实现了基本的认证机制的,就是要求输入用户名和密码,于是用户A输入分配给自己的用户名和密码,就能顺利访问了。
插入防火墙后,防火墙上可以额外地设置一个认证,防火墙知道的是基于IP的连接,并不知道这个连接对应哪个用户,因此会要求用户A额外的一次认证。这就是防火墙认证支持的意思。

事实上,任何一个网络应用都可以支持认证。防火墙不是网络应用,但是介于网络应用的C和S之间,能了解所有的通讯内容,因此支持认证也是很不奇怪的。

但是,支持认证而引出来的2个问题如果解决不好就会让人奇怪了:
1、每个应用都有用于认证的用户名和密码,那么10个应用就会要求一个用户记住10个用户名和10个对应的密码。即使这是个安全、有效的做法,但绝对也是个烦人的、低效的做法。
2、用户何时输入密码?密码如何传输?应用如何执行验证?这个问题很容易让人得到一个结论:安全是一个属性--一个任何软件都需要的公共属性,以AOP的方式在代码中表达和实现太自然不过的方式了(OPSEC的思路也正是想帮大家集中做这件事情)。可惜世界没有那么美好,已经有多套不同的认证方案被分别实现和部署了。

为了解决这个问题,CheckPoint做了一些努力,但是终究没有什么特色,也远远谈不上完美。
他根据需要认证的主体的不同,分了三种方式:用户、会话、终端。

1他为了解决何时输入密码的问题,需要解析TELNET FTP, HTTP, HTTPS, RLOGIN包的内容以能够不需要在用户使用这些协议的时候额外安装其它客户端,但是对于其他协议,索性就不支持User Authentication方式。

2于是,其他协议的认证就回到了老路上:不但需要安装客户端,而且需要一遍一遍地输入防火墙的认证信息。首先实现的客户端是基于会话的,于是被称为基于会话的认证,其实如果输入的认证信息就是用户名和密码,一样可以叫做基于用户的认证(Checkpoint的基本认证的命名一开始还让我觉得比NetSreen妙,可是明白后发现简直是无聊)。

3Web应用的认证一下子把基于会话的认证打入死牢。这时候终于回到了真正的老路上了:防火墙不再执行认证,把认证推倒客户端上去,称作Client认证(注意:这不是基于Client的IP的认证,而是由安装在用户机器上的客户端去执行对不同会话的认证Client Authentication can be used to authenticate any service. It allows access from a specific IP address for an unlimited number of connections. The user working on a client performs the authentication by successfully meeting an authentication challenge, but it is the client machine that is granted access.)。

这是一段CP自己关于这3种认证方式的说法:
With User Authentication, the administrator can allow the user who is away from his or
her desk, to work on the local network without extending access to all users on the
same host. However, User Authentication is available only for the services TELNET,
FTP, HTTP, HTTPS, and RLOGIN.
Client Authentication is less secure than User Authentication because it allows multiple
users and connections from the authorized IP address or host. The authorization is per
machine. For example, if FINGER is authorized for a client machine, then all users on
the client are authorized to use FINGER, and will not be asked to supply a password
during the authorization period. For this reason, Client Authentication is best enabled
for single user machines.
The advantage of Client Authentication is that it can be used for any number of
connections, for any service, and the authentication can be set to be valid for a specific
length of time.
Session Authentication supplies an authentication mechanism for any service, and
demands that users supply their credentials per connection (session). It therefore
requires either UserAuthority, or a Session Authentication agent for every
authenticating client. It is therefore not suitable for authenticating HTTP, which opens
multiple connections per session. As with Client Authentication, only use it on single
user machines, where only one user can come from a given IP at any one time.

一言以蔽之:这实在太乱了,估计和国内公司一样也是为了疲于奔命应付客户的需求而提供的一推临时解决方案的大杂烩。

全面的授权服务

不过,UserAuthority看上去似乎是个终极的完美方案,可惜这需要应用开发厂商的支持,而“认证”这一关键模块要想让应用厂商绑死到CheckPoint的OPSEC这一条道上走到黑,那是不现实的。

UserAuthority is the security glue connecting Check Point network applications, and
so UserAuthority components are installed on both the VPN-1/FireWall-1 gateway and
the application server. This simple API (Application Programming Interface)
implements a secured (encrypted) protocol that enables any application to be integrated
with UserAuthority. The same capabilities (Single Sign On, centralized credentials
management, etc.) are available.

UserAuthority必须安装客户端和服务器,服务器就是UAM,称作用户认证模块,可以和FW1安装在一起,也可以独立安装到Windows的活动目录服务器上或者一个什么Terminal服务器上。
客户端有连个选择,一个是SecureClient,一个SecureRemote,这2个软件是打包在一起,安装是可以选择而者之一进行实际部署。(需要说明的是,这个SecureClient就是上面提到的基于Client的认证中的那个客户端)

支持web应用的授权,我都看糊涂了..................

检查点(Checkpoint)的本质

1.检查点(Checkpoint)的本质   许多文档把Checkpint描述得非常复杂,为我们正确理解检查点带来了障碍,结果现在检查点变成了一个非常复杂的问题。实际上,检查点只是一个数据...
  • xiaobluesky
  • xiaobluesky
  • 2015年12月13日 20:08
  • 3682

Spark中的checkpoint作用与用法

checkpoint的意思就是建立检查点,类似于快照,例如在spark计算里面 计算流程DAG特别长,服务器需要将整个DAG计算完成得出结果,但是如果在这很长的计算流程中突然中间算出的数据丢失了,sp...
  • qq_20641565
  • qq_20641565
  • 2017年07月27日 23:19
  • 2639

统一用户认证和单点登录解决方案

■ 康威 李凯 --------------------------------------------------------------------------------  本文以某新闻单位...
  • zhq651
  • zhq651
  • 2016年10月15日 14:57
  • 3499

checkpoint 用户指南

  • 2015年12月23日 11:36
  • 3.07MB
  • 下载

checkpoint用户手册

  • 2008年07月10日 14:55
  • 8.34MB
  • 下载

用户认证系统5.1 版本仅disuczX3支持gbk商业插件版

  • 2013年11月13日 10:49
  • 399KB
  • 下载

一种网络多用户量子认证和密钥分配理论方案.

  • 2017年12月06日 18:21
  • 134KB
  • 下载

一个简单的用户认证程序

  • 2013年04月08日 22:24
  • 4KB
  • 下载

CAS-4.0.3服务端通过数据库认证用户Demo

  • 2015年07月18日 11:08
  • 24.92MB
  • 下载

蓝信AAA认证系统用户手册

  • 2011年08月18日 20:35
  • 1.81MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:CheckPoint的用户认证支持(一)
举报原因:
原因补充:

(最多只允许输入30个字)