文件服务器部署方案之五:网关控制模式
万华数据
五、 网关控制模式
用户可以使用windows自身的路由和远程访问功能,辅助以secWall的集控会话插件来控制允许访问文件服务器的客户端机器。
使用secWall集控服务器会话插件控制IP筛选器
secWall集控服务器支持会话插件,通过服务器端脚本可以获取当前的客户端登录用户的认证状态,会话插件在有用户登录或注销时都会触发事件,同时传出用户名、IP地址、MAC地址、事件类型等信息,可以通过这些触发事件实时控制路由器的IP筛选。从而达到和secWall端口加密同样的功能。
由于secWall端口加密功能仅能应用于Windows系统,而对路由器的控制则不受此制约。而且路由器IP筛选直接控制网络访问具有更高的效率。
实例: 环境:server2003,已启用路由和远程访问功能,两块网卡,一块连接客户端,另一块连接文件服务器。客户端的机器通过server2003来访问文件服务器。
实现功能:只有登录secWall客户端的机器才能访问文件服务器。
server2003的两块网卡,“本地连接”是连接客户端的,客户端机器都是通过连接server2003的“本地连接”网卡转发到文件服务器的,所以应该在“本地连接”网卡上设置入站筛选器,这样才能对内网机器访问文件服务器起到控制作用。
1. 服务启用后,在“IP路由选择”中选择“常规”项,双击“本地连接”,弹出属性对话框,其中有“入站筛选器”和“出站筛选器”两个选项。
2. 点击“入站筛选器”进入,进行IP筛选配置。
数据包筛选器分为入站筛选器和出站筛选器两个选项,分别对应接收到的数据包和发出的数据包,对于某一个接口而言,入站数据包指的是从此接口接收到的数据包,而不论此数据包的源IP地址和目的IP地址。出站数据包指的是从此接口发出的数据包,而不论此数据包的源IP地址和目的IP地址。
3. 对于筛选器的设置,在子网掩码中设置为“0”的位,在IP地址中必须设置为“0”,如果设置错误,系统会有提示。
对于源网络和目标网络的匹配,路由和远程访问服务器是按照以下原则进行:将IP数据包的源IP地址和目的IP地址分别与IP筛选器中设置的源网络和目标网络的子网掩码进行相与操作,然后再和IP筛选器中的源网络的IP地址和目的网络的IP地址进行比较。在相与操作中,与“0”相与永远为“0”,因此任何IP地址和子网掩码的“0”位相与后均为“0”。而如果你设置的筛选器中IP地址对应的位却设置为“1”,那么你的筛选器将永远都得不到匹配,因此此筛选器就没有任何作用。
4. 因为要求是只有登录secWall客户端的机器才能访问文件服务器,所以入站筛选器的操作应该为“丢弃所有包,满足下面条件的除外”。
由于筛选器在没有记录时会回到默认状态“接受所有除符合下列条件以外的数据包”,所以应该先在筛选器中添加一条操作为“丢弃所有包,满足下面条件的除外”的记录,服务器的访问不需要受限制,可以将服务器的IP添加到筛选器中。这样设置后,之后所有添加的IP筛选都会保持现有的操作状态。
步骤: 1. 注册集控服务器会话数据导出插件 将MWSesPlg.dll复制到集控服务器所在计算机的硬盘文件夹中,以下假定复制到C:\Session。
注册插件。执行以下命令注册插件:RegSvr32 C:\Session\MWSesPlg.dll,系统提示“成功”。
重新启动集控服务器服务“Mawadata secWall Passport Serevr”。
2. 使用外部触发器 外部触发器可以在会话记录发生变化时得到通知,可以在注册表中注册外部触发器的命令
注册表位置为:HKLM\Software\Mawadata\secWall\MWSesCB\Trigger,在该位置下添加如下字符串。
1) 客户机登录时在IP筛选器中添加一条记录 Name:Add
Type:REG_SZ
Value:netsh -r server2003 -u administrator -p secwall routing ip add filter "本地连接" input %IP% 255.255.255.255 0.0.0.0 0.0.0.0 any
2) 客户机注销时在IP筛选器中删除该记录 Name:Delete
Type:REG_SZ
Value:netsh -r server2003 -u administrator -p secwall routing ip delete filter "本地连接" input %IP% 255.255.255.255 0.0.0.0 0.0.0.0 any
在value值内直接输入netsh的运行命令,%IP%为命令行可用参数,输出当前登录会话的客户机IP。
如果在服务器上没有系统用户登录,netsh命令不能执行。而一般服务器都是锁在机房内,只要开机就可,并不一定会有用户登录。所以还需在注册表内添加两个字符串值记录系统用户的用户名和密码,这个用户必须是系统上已经存在的用户。
3) 执行netsh命令所用的系统用户名 Name:ImpersonateUser
Type:REG_SZ
Value:username
4) 执行netsh命令所用的系统用户密码 Name:ImpersonatePassword
Type:REG_SZ
Value:passsword
3. 注册表设置好后,重新启动集控服务器服务“Mawadata secWall Passport Serevr”。
服务重启后,设置就生效了。客户机登录secWall时,会话插件会自动执行命令,将当前客户机的IP添加到IP筛选器中,secWall注销时,会将该IP地址从筛选器中删除。这样,就能控制客户机访问文件服务器了。
关联文档
分享到: