概念
安全访问控制网关。
是AC和防火墙配合实现的用户准入控制。
只能针对用户通过有线网络接入,不能针对无线,不能针对哑终端。不改变网络拓扑。
可以认为是有线802.1x的升级版。
分为硬件SACG:使用NGFW旁挂;软件SACG已经被淘汰。
本质是通过防火墙上的从ac获取的ACL来控制用户的权限。
SACG包括三个实体:客户端、设备端(SACG)和认证服务器。
一个终端设备接入后,通过SACG向controller服务器发起认证请求,认证通过后,controller服务器将该终端设备的IP地址以及对应的角色信息发给SACG.
目的
随着网络的发展与防火墙设备的普及,企业的网络安全威胁的主要来源正逐渐从外网转移到内网。主要有:
- 非法终端和非授权终端对业务系统的访问,主要包括以下几种情况:
- 非自有的终端设备接入企业内网
- 不合法人员利用企业设备接入企业内网
- 合法人员越权访问网络资源
- 终端不安全导致病毒的扩散
- 终端数量大、系统复杂、员工的违规行为得不到监控
SACG联动方案的提出主要就是为了解决内网终端用户带来的安全隐患。FW可以在SACG联动方案中承担SACG的角色,主要起到不同区域之间的隔离,以及对终端用户访问权限进行实际控制的作用。
原理
受控域与fw上的acl的对应关系,每一个受控域对应fw上的两个acl,奇数号acl对应deny规则,偶数号acl对应permit规则。
通过在SACG上配置AC联动功能,将SACG上的acl3099-3999作为接纳controller下发控制策略的容器,这901条acl分别对应ID号为0-900的901种角色,每种角色对应controller系统中的一个受控域。其中acl3099对应角色0,是所有接入用户的缺省角色,可以用来允许未经认证的用户访问认证前域。剩余的ACL3100-3999对应角色1-900号角色,这些角色是由AC下发的普通角色。
- 一个终端设备接入后,通过SACG向Agile Controller发起认证请求,认证通过后,Agile Controller将该终端设备的IP地址以及对应的角色信息发给SACG。
- SACG根据Agile Controller下发的各条ACL中的信息,建立一个源IP监控表,记录IP地址、角色、角色的权限以及可访问的资源等信息的对应关系。
SACG收到一个来自终端设备的报文后,在进行域间包过滤时,按如图1所示流程进行处理:
图1 SACG下的策略查找流程
SACG认证流程
SACG联动的主要工作流程是:
根据所在域判断他的授权。对应acl允许他访问什么,才可以访问什么。认证是判断你是谁,而授权是决定你能干什么。
- SACG向Agile Controller-Campus请求同步认证前域的规则、隔离域的规则和认证后域的规则,把规则转换为ACL。管理员配置完交换机、防火墙的接口,防火墙安全策略后,防火墙定期(每10分钟)主动向Agile Controller-Campus发起连接请求,因此在配置防火墙时需要允许Local安全区域(防火墙自身)访问Agile Controller-Campus所在的安全区域。
- 连接成功后Agile Controller-Campus向防火墙下发配置的认证前域、隔离域和认证后域的规则。
- 终端用户在EasyAccess或其他客户端输入帐号密码发起身份认证请求。若终端用户未安装EasyAccess则向终端用户推送在防火墙上配置的URL链接(Web或Web Agent),方便终端用户通过Web页面进行身份认证。
- Agile Controller-Campus返回认证结果,如果认证失败,那么终端用户只能访问认证前域的资源。
- 终端用户身份认证成功后,向Agile Controller-Campus发起安全认证请求。终端用户通过E
最低0.47元/天 解锁文章
1791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
