时代亿信认证访问控制墙技术白皮书

1、时代亿信认证访问控制墙技术白皮书Version 2.31.总述时代亿信认证访问控制墙是一款提供认证和访问控制的硬件设 备，为企业B/S和C/S业务系统、网络设备、主机、数据库等企业 资源，提供高性能的安全认证、统一接入、访问控制、安全管理、安 全审计服务。产品能够满足不同企业集中认证、访问控制和安全管理 的需求。认证访问控制墙通过网络层和应用层联动，采用网络层协议分析 与应用层访问策略相结合的访问控制技术，形成用户信息、协议号、 目的IP地址、目的端口的用户身份动态资源访问控制策略；在不改 动用户应用的前提下，通过协议分析，实现资源的细粒度访问控制； 使用流量限速的差异化访问技术，克服传统只能

2、针对应用进行QoS 设定的缺陷，实现了用户身份与应用绑定的流量控制功能，提高系统 性能；同时，本产品可应用到WLAN无线网络，实现基于无线网络 的统一认证与访问控制。本产品已在中国电信总部OA统一认证与访 问控制工程、中央国债统一认证及访问控制工程等项目中成功使用。认证访问控制墙着眼于应用层和网络层两个层面的认证与访问 控制联动，为电信级企业或集团的各类用户和应用系统、主机、网络 设备等资源提供高性能的安全认证服务、安全接入与访问控制服务、 安全管理服务、安全审计服务，详见下图。0时代亿信E ETRUST用户同步务多神认证方式用户同步务多神认证方式图时代亿信认证访问控制墙服务架构时代亿信推出的

3、认证访问控制墙，是当前市场中唯一整合了 CA、 动态口令、短信认证等多种身份认证技术、应用动态加密通道、网络 流量差异化服务、网络层访问控制、应用代理、信息中转和推送、协 议分析、URL重写、内容过滤、内容重写、端到端加密通道、服务器 插件信息提取等多项关键技术，综合提供身份统一管理、角色统一管 理、资源统一管理、授权统一管理、身份统一认证、访问控制等功能 的产品，能有效整合各种应用系统用户资源，增强应用资源安全性， 提高工作效率，降低沟通成本，是对多种信息安全技术、身份认证技 术和访问控制技术的综合应用，可广泛满足用户的多种需求，而无须 进行二次开发，快速部署和应用。2.产品分类认证访问控制

4、墙从产品形态上分为应用版、网络版和无线版。应 用版主要应用于B/S、C/S系统的统一用户管理、认证和访问控制； 网络版主要应用于数据库、主机和网络设备的访问控制；无线版主要 应用于WLAN无线网络的准入。2.1应用版应用版（简称AWA）作为企业用户管理、应用系统管理、统一 认证和权限管理中心，以企业用户、B/S和C/S系统为整合目标，实 现统一认证、统一授权和访问控制。认证墙应用版管理员界面图认证墙应用版管理员界面图2.2网络版网络版认证墙（简称AWN）是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标，集成强身份认证、会话审计、集中管理功能的一体化硬件设备。可对企业内部用户

5、应用访问、 管理员维护等各类操作进行访问控制。AWN基于包过滤及代理技术， 可实现对http、telnet、ssh、ftp、rdp远程桌面、cifs文件共享 等应用协议的访问控制及会话审计。IF地址jnirr.V欢迎使用时代亿信认证墙产品昼心时ft E ft I iA证1晋网络版詈理配置系纽版本信息:V 2.1.20100113当前管理员：技术支持，您好！管理首页安全退出勤入流通 醐寇已胃空间：38,28%可用空间:61,72%|可用空间已用空间150KB-.1Q0KB-50KB 序列号:AWN-2-20100101-10IF地址jnirr.V欢迎使用时代亿信认证墙产品昼心时ft E ft I

6、 iA证1晋网络版詈理配置系纽版本信息:V 2.1.20100113当前管理员：技术支持，您好！管理首页安全退出勤入流通 醐寇已胃空间：38,28%可用空间:61,72%|可用空间已用空间150KB-.1Q0KB-50KB 序列号:AWN-2-20100101-101运行时长：1天3小时4S分钟53秒版本：V 2. 1.20100113上次更新时间：20100113工作模式:网桥模式|在线用户敬密100%100%80%80%60%60%40%20明20% q技术支持：北京时代亿信科技有限公司联系我们：o 10-82055353, 82051801网卡流里15:111:53在城用户磁盘信息内存交

7、犊分区顷系统配置安全JT用户域访问控制R日志鸯系统臻护认证墙网络版管理界面图2.3无线认证版无线认证版（简称SpotFront）为用户的WLAN接入提供安全、 方便、灵活的身份认证功能，实现对无线网络的保护以及用户安全域 的划分，有效满足企业对无线网络的安全管理需求。无线认证墙可以 和无线厂商控制器紧密配合，支持对多SSID分别进行网络准入以及， 形成从身份认证、VLAN划分、访客管理、日志审计、访问控制的综 合解决方案。%中固电信世界触手可及， CHINA TTITCOM 1 *技术支持：58501844行1（|技术支持：58501844行1（|集团WLAN已实现金融街、 东四、天银3地统一

8、认证使用滋明 麦任声明如果需要为中国电信集团开通账号访客，请登陆后点击访客管理创建访客。,员工在连接名为CToffic勃SSID后，可通过密钥或手机验证码两种方式进行登录。持有密钥的用户，可使用密钥进行登录认证，用户应首先插入密钥，然后点击密钥登陆按 钮。然后在弹出窗口中输入密钥口令，认证成功后页面将跳转到成功页面。员工使用手机号登录，请选择手机登录，输入您的手机号，系统会以每信的方式发谖登陆验 中国电信集团公司版枚所有Copyright 2009 China Telecom, All Rights Reserved.0 Internet 0 Internet |保护模式：禁用 105% 无线

9、认证墙举例3.认证访问控制墙应用版3.1认证访问控制墙应用版概述3.1.1认证访问控制墙应用版简介时代亿信认证访问控制墙应用版（以下简称AWA产品）是新一 代的应用系统认证及资源整合产品，可作为企业用户管理、应用系统 管理、统一认证和权限管理中心，为B/S、C/S架构应用系统提供统 一认证与单点登录功能，可配置多种认证方式，可管理各个应用系统 用户账号，为应用系统提供账号管理、用户生命周期管理等功能。同 时，内置的CA组件还可使AWA成为企业CA中心，为用户提供证 书申请、证书审批、证书签发及证书认证等功能。业务层USB智能卡访问层统一用户管理应用系统接入管理日志审计苴点登录接入 认证接入 访

10、问控制接入组织睥静 用户信息管理 用户属性管理 用户同步数狷源管理 用户同步订阅管理 用户证书管理系统竖控用广认证日志系统访问日志甬户同步日志系统管理日志应用系统注册AWA是一个针对B/S、业务层USB智能卡访问层统一用户管理应用系统接入管理日志审计苴点登录接入 认证接入 访问控制接入组织睥静 用户信息管理 用户属性管理 用户同步数狷源管理 用户同步订阅管理 用户证书管理系统竖控用广认证日志系统访问日志甬户同步日志系统管理日志应用系统注册AWA是一个针对B/S、C/S架构应用系统的强身份认证及资源统一授权管理应用系统管理认证管理MySQL DBMS AD资源管理 角色管理 授枳管理认证方式管理

11、 一次性口令管芸数据层整合解决方案，对各类信息系统均可提供统一认证、单点登录、用户 授权和统一身份管理功能，可统一制定企业安全策略，有效降低企业 应用系统管理维护量，提高系统安全水平。4.认证访问控制墙网络版4.1认证访问控制墙网络版概述4.1.1认证访问控制墙网络版简介认证访问控制墙网络版（下文简称AWN）可以对多种业务系 统（B/S*和 C/S）、网络设备、服务器（Windows、Linux、Unix等） 提供身份认证（Authentication）、访问控制 Access Control），日志审计（Audit）等功能，为上层应用提供安全基础支撑，下图为AWN系统的层次结构图。主机服务器

12、网络基础设施AWN系统层次结构图AWN是一个集中网络访问认证、授权、审计的解决方案。对信息系统中的各类资源，如WEB资源、非WEB资源、数据资源、网络 设备、服务器以及数据库等，提供统一的认证授权和访问控制功能， 可以提高整个信息系统的安全管理水平，有效降低管理成本。5.认证访问控制墙无线版5.1认证访问控制墙无线版概述认证访问控制墙网络版（下文简称SpotFront）是时代亿信公司 为企业无线网络安全身份准入认证以及来宾访客管理提供的解决方 案，可以为W旧无线网络供接入访问认证，员工、访客管理等功能， 为无线网络提供方便、简洁，功能强大的认证和管理服务。SpotFront产品针对不同的用户和

13、环境要求，可制定不同的认证模式，比单一功能的传统无线认证更能满足多变的实际应用需求。SpotFront产品的用户可划分为正式用户与访客两种主要角色，对于正式用户，可以对其颁发数字证书，进行基于USB智能卡的身份认 证，此种方式有利于提高企业信息系统的安全性。对于访客用户，由 于访客的身份是未知的，所以需要进行访客的统一管理，每个访客若 想使用企业内部的WLAN，就必须向接待该访客的内部员工提出申 请，由内部员工在“WLAN访客管理”中申请访客账号，此时访客接 入的无线网络与内部员工使用的无线网络为不同网段，有效保护内部 应用的安全。安全密钥数字证书帐号/口令图1-2 SpotFront系统原理

14、图6.成功案例电信行业中国电信集团公司安全公务平台系统中国电信集团公司远程移动安全办公系统中国电信门户/OA（EIAC）互连互访工程中国电信集团公司OA密钥认证系统中国电信集团公司门户密钥认证系统中国电信集团公司财务部信息系统及密钥认证系统中国电信集团公司法律部信息系统及密钥认证系统中国电信集团公司监管事务部信息系统及密钥认证系统中国电信集团公司企业发展部信息系统及密钥认证系统中国电信集团公司大客户CRM密钥认证系统中国电信集团公司政企客户事业部信息系统及密钥认证系统中国电信集团公司运维部密钥认证系统重庆电信公司门户远程移动安全办公系统江苏电信RA数字证书受理系统陕西省电信RA数字证书受理系统

15、贵州省电信OA密钥认证系统安徽省电信OA密钥认证系统新疆电信协同办公密钥认证系统新疆电信公司人力资源远程移动安全办公系统西藏电信公司OA安全认证系统湖南电信公司统一身份认证平台甘肃电信公司门户安远程移动安全办公系统江西电信公司OA远程移动安全办公系统天津电信公司OA远程移动安全办公系统天津电信公司文档安全系统山东电信公司OA远程移动安全办公系统吉林电信公司OA远程移动安全办公系统海南电信公司门户系统及密钥认证系统海南电信公司文档安全系统政府全国人大办公业务资源网统一身份认证系统外交部OA系统安全认证中科院数字图书馆统一身份认证系统南京市政府统一政务平台中央国债登记结算公司统一身份管理平台系统军队与军工解放军某总部数字证书受理与密钥认证系统某海军基地网络安全项目武警某部数字证书受理与密钥认证系统中国船舶工业集团公司某单位安全防护系统中国船舶重工集团公司某单位安全防护系统国家某机关单位航空工业集团某企业统一认证平台航天科技集团某企业统一认证平台空军某研究所安全保密项目其他行业首创股份有限公司统一身份认证平台开滦集团统一身份认证平台首创集团安全认证项目中国再保险安全认证与远程移动办公项目中国银行（江苏）网上外汇交易安全认证系统赛迪网安全电子邮局连云港港口集团统一身份认证系统联系我们时代亿信总部公司地址：北京市西