应用安全域解决方案一本通

福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝 应用安全域解决方案V2.1<仅供内部使用>评审者部门/专业组评审者评审日期注：1）文档提交评审时需要给评审者预留足够的评审时间。需要哪些人评审依据项目的范围由项目团队界定。2）在本文档的撰写过程中，需要与相关利益人进行沟通交流（请勿到开始评审时才与相关利益人进行交流，这样效率低，而且评审效果也比较差），请将撰写过程中交流人员的名单列在附件里面。修订记录日期修订版本修改者修改描述2012-5-12V1.1魏丽英编写整文2013-12-4V2.0王哲煊修订：去除ePortal组件2014-5-19V2.0何新彪根据TAC陈雄要求添加明确版本、配置、部署及其必要的FAQ、技术白皮书2014-5-21V2.0何新彪根据林杭提供更新流程图和流程说明，去除流程图和流程说明步骤中的RG-ePortal组件去除拓扑图片中存在ePortal组件的图样2014-9-9V2.1何新彪更新软硬件配套版本号应用安全域解决方案V2.1福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝 PAGE5目录应用安全域解决方案V2.0 11 目的 51.1 应用安全域解决方案V1.0、V1.1回顾 51.2 应用安全域解决方案V2.0变化 52 需求概况 52.1 应用安全域解决方案 52.1.1 多种策略执行设备支持问题 52.1.2 基于Web认证的CA证书联动问题 62.2 应用安全域解决方案V1.0中的遗留问题改进 62.2.1 安全域切换的易用性问题 62.2.2 用户界面定制化需求 72.2.3 WEB认证的保活问题 72.2.4 Web认证降噪方案 82.2.5 防火墙卡的冗余备份及扩容需求 83 功能概况 83.1 应用安全域电子政务外网方案分析 93.1.1 多种策略执行设备支持方案分析 93.1.2 基于web的证书认证方案分析 143.1.3 路由器SDG+web方案分析 203.2 应用安全域解决方案V1.0中的遗留问题改进分析 233.2.1 安全域切换分析 233.2.2 用户界面定制化分析 283.2.3 WEB认证保活问题分析 283.2.4 WEB认证降噪方案分析 293.3 可靠性方案分析 303.3.1 防火墙卡热备方案 304 各部件产品列表 324.1.1 描述 324.1.2 产品功能列表 324.1.3 产品配套版本 385 解决方案特性列表 385.1.1 身份认证功能 385.1.2 网络访问权限控制 385.1.3 外部接口 395.2 未包含的特性 395.3 可测试性考虑 395.4 网管考虑 395.5 专利考虑 396 各部件产品需求或规格说明 397 应用安全域2.0部署实施指导 398 方案升级变更项及测试重点 408.1 升级变更说明 408.2 测试重点 428.3 方案测试版本信息 428.4 测试环境说明 438.5 测试项目及结果 438.6 测试结论 468.7 限制说明 469 问题风险和依赖 479.1 相关项目 479.2 技术需求 479.3 技术风险 4710 参考资料 4711 术语表 4712 附件 4712.1 评审活动记录 4712.2 本文档协助人员 48

目的应用安全域解决方案V1.0、V1.1回顾应用安全域解决方案V1.0版本，旨在解决局域网范围内的同一套物理网络分时复用问题，究其根本原因，在于”节能减排、资源复用”与”政务公开、提升安全”等多方要求带来的新时代的网络需求，即只建设一套网络，却能够实现多种业务、多种安全等级的数据在同一套网络上的安全传输。自2009年底应用安全域解决方案从政府行业SSN解决方案体系中脱颖而出后，迄今已在十四个客户中实现了应用落地，其中不乏大连金州电子政务外网、内蒙古发改委、贵阳电子政务外网这样的大型项目，已逐渐为公司一线和客户所接受，成为政府行业业务推进的重要武器。当前趋势政府行业电子政务网对安全要求越来越高，从省、市、县各级网络中部署CA证书认证中心的网络越来越多。从贵阳、遵义、大连等用户信息方案客户倾向于使用证书作为用户身份准入的可信身份源。身份准入控制时应用安全域解决方案的一个关键基本功能，因此要做应用安全域能支持证书认证。应用安全域解决方案V1.1版本，旨在增加多种策略执行设备支持方案，并支持证书认证和增加支持路由器SDG部署模式下的NAT穿越，并且改进了一些1.0中遗留的易用性问题。应用安全域解决方案V2.0变化1、由于ePortal组件停产，撤出ePortal组件，使用SMP内置portal。2、防火墙卡新增RG-WALL1600-B-E型号支持，版本仍然是10.3（4b12），功能指标和M8600-FW一致。3、原有SU+交换机部署模式，更新为SA+交换机部署模式，功能指标不变。应用安全域解决方案V2.1变化更新软硬件版本号需求概况应用安全域解决方案作为一个原本为局域网环境设计的安全解决方案，应用安全域解决方案在电子政务外网环境中使用还有诸多的功能不满足，这也是该方案在2.0阶段重点要解决的问题，主要表现在以下几个方面：多种策略执行设备支持问题电子政务外网是一个大型的城域网络，各个单位的接入设备种类繁多，例如常见的路由器、三层交换机、防火墙等等。而当前方案仅支持接入交换机和高端交换机防火墙卡两种接入模式，这使得该方案在很多环境下无法部署。政务外网要求交换机S29E/S57E/S26I，路由器RSR20-14E/F/20-04E/RSR10-02E/30-44及S86/S12000—防火墙卡能支持基于web认证安全域功能。场景描述：接入控制设备：一区、三区部署了防火墙卡；二区设备支持1x但为友商设备；四区设备为锐捷安全交换机；五区vpn接入用户出口设备部署锐捷SDG路由器配套的安全服务器：SMP服务器、Portal服务器；终端接入：一区、三区采用web认证接入方式，防护墙卡做NAS设备；二区安装锐捷安全客户端软件SA，兼容友商设备；四区采用web认证接入方式或1x接入认证，安装SA客户端软件，锐捷交换机做NAS设备五区采用web认证接入方式；锐捷SDG路由器做NAS设备拓扑示意图：基于Web认证的CA证书联动问题当前电子政务外网中很多项目都采用CA证书+usbkey的方式做为认证的元素，而我们在电子政务外网中主推的web认证模式无法支持CA证书，无法满足客户的需求。应用安全域解决方案V1.0中的遗留问题改进在应用安全域解决方案V1.0的部署及使用中，还有以下几个亟待解决的问题安全域切换的易用性问题当前解决方案将认证跟安全域切动作绑定在一起，即用户在切换安全域时必须要重新登录，这给用户的使用带来了很大的不便，从用户的角度理解，安全域的切换无需与登录动作绑定在一起，完全可以一次登陆，多次切换。同时安全域的切换界面也比较不易用，例如内蒙古发改委的用户就提出了”类似IPAD”界面的安全域切换需求，即将不同的安全域做成不同的按钮，用户点击不同的安全域按钮即实现了安全域的切换。图用户需求举例——QQ应用盒子用户界面定制化需求上了安全域以后，上网认证是每个公务员每天都要进行的操作，作为电子政务外网的建设方，各级信息中心都希望让终端用户通过认证页面体会到电子政务外网的存在和好处，所以几乎每个用户都会提出对于认证页面、管理页面的定制化需求，需要做成具有当地政府特色的样子，例如贵阳电子政务外网的实施过程中，就反复提到了这个需求。界面定制举例WEB认证的保活问题当前电子政务外网中主要采用Web认证的方式进行部署，用户认证成功后会存留一个保活页面，该页面是客户端与服务器端通信的必要因素。但经常会有用户在认证后无意中关闭了保活页面，或者由于某些网站的设计问题（利用当前活动窗口打开页面），会冲掉保活页面，这样就使得用户“无故”下线了，给管理员带来了很多的麻烦。所以用户希望我们的保活页面在认证成功以后，可以缩小到系统栏成为一个图标，即基于Web的客户端，这样就可以避免上述问题。另外，根据相关政策要求，如果一段时间内没有用户流量，应该将其自动踢下线。Web认证降噪方案实际环境中，用户的PC上装有各类第三方软件，此类软件需要同外网服务器进行数据更新，比如360系列软件，在web认证环境下，这类软件在没有认证打开上网通道前，会尝试不停的发送http请求获取外网服务器的数据库，而且频率比较高，设备拦截后会重定向到Portal认证页面，但这类跳转到Portal没有任何意义—也就是所谓的噪音压力（经数据库分析，这类请求数可能达到10w以上级别），导致了Portal承受很大的请求压力，从而影响了正常的用户访问外网的认证跳转。Web认证降噪方案主要在NAS设备上实现，如：交换机重定向的URL格式变化了，跟portal本身没什么关系。后续应用安全域的组件产品必须把降噪方案纳入，涉及到的产品主要有交换机、SDG路由器、防火墙卡设备。防火墙卡的冗余备份及扩容需求当前解决方案中，防火墙卡仅能支持一块，无法进行扩容和备份，而电子政务外网，尤其是市级及以上级别的，其用户数量大多超过5000用户，这是超出当前的防火墙卡性能的，如果不提供扩容、备份方案，用户不会选择，因为该方案牵扯到全市公务员的上网问题，用户不会在这个环节冒风险。功能概况电子政务外网场景的支持，解决已知电子政务外网两个问题点一是，多种策略执行设备支持问题二是，基于Web认证的CA证书联动问题解决应用安全域1.0方案中的限制问题，主要是：安全域切换功能支持防火墙卡的冗余备份机扩容问题用户界面定制化需求，实现客户端软件、portal认证界面、SMP服务器的页面定制化功能Web认证保活问题，客户端保活及设备流量保活功能Web认证降噪功能应用安全域电子政务外网方案分析多种策略执行设备支持方案分析方案描述场景描述：接入控制设备：一区、三区部署了防火墙卡；二区设备支持1x但为友商设备；四区设备为锐捷安全交换机；五区vpn接入用户出口设备部署锐捷SDG路由器配套的安全服务器：SMP服务器(内置Portal服务器)；终端接入：web浏览器、SA客户端、ESA客户端；一区、三区采用web认证接入方式，防护墙卡做NAS设备；二区安装锐捷安全客户端软件SA，兼容友商设备；四区采用web认证接入方式或1x接入认证，安装SA客户端软件，锐捷交换机做NAS设备；五区采用web认证接入方式；锐捷SDG路由器做NAS设备。拓扑示意图：解决方案描述：一区、三区用户采用web认证接入控制方式，接入控制点和策略控制点在防护墙卡上二区用户采用SA+1X认证的部署方案，策略控制点在PC上四区用户采用web认证或1x认证接入控制方式，接入控制点和策略控制点在锐捷安全交换机上五区用户采用wen认证接入控制方式，接入控制点和策略控制点在锐捷SDG路由器上共用一套SMP服务器，一区、三区用户web认证成功后访问控制策略下发到防火墙卡；二区用户1x认证成功后访问控制策略下发到SA安装到PC网卡上；四区用户web认证成功后访问控制策略下发到锐捷安全交换机；五区用户web认证成功后访问控制策略下发到锐捷SDG路由器用户退出认证SMP回收相应设备上的访问控制策略，用户无法访问任何网络资源方案实现关键是SMP同时支持多种接入认证方式，且支持将访问控制策略下发到不同的控制设备上。存在多张防火墙卡/多个路由器组网部署时，SMP支持策略只下发到用户认证的设备上流程细化web认证接入控制部署方案流程图web认证流程步骤说明：1、Web认证流程同已经实现的应用安全域v1.0方案的认证流程基本是一样的没有做变动，在此不再详细说明。2、应用安全域V2.0方案中增加的功能是认证下线流程中的”设备流量检测功能”，当设备一段时间内检测到用户的流量为发生变化或者在设定的流量值以下时认为用户是没有业务操作的，设备发起用户下线流程二区用户SA+1x认证的部署方案流程协议说明：SA在接入认证过程中均采用EAPOL与1X设备进行交互SA与SMP之间使用直通协议（目的端口默认53），认证成功后SMP通过UDP协议给SA下发访问控制策略，SA将访问控制策略安装到网卡驱动上，开启用户对信息系统的访问权限SA与SMP之间还使用直通协议完成安全域列表下发、信息系统自助页面下发，在线用户保活检测。步骤描述：步骤3：如果用户认证失败，返回Access-Reject报文，报文中携带失败原因；如果用户认证成功，返回Access-Accept报文步骤4：如果认证成功(接收到Access-Accept报文)，SMP通过直通协议给SA下发访问控制策略，SA将访问控制策略安装到网卡驱动上，开启用户对信息系统的访问权限。同时给用户推送信息列表页面，页面中包含用户相可访问的信息系统链接列表。四区用户SA+锐捷安全域交换机1x认证的部署方案流程协议说明：SA在整个过程中均采用EAPOL与1X设备进行交互。SA与SMP之间使用直通协议完成安全域列表下发、信息系统自助页面下发，在线用户保活检测。1X设备与SMP之间使用Radius协议完成身份认证。1X设备与SMP之间使用SNMP协议完成安全域访问权限的下发与回收，及清除在线用户。步骤说明：步骤3：如果认证失败(接收到Access-Reject报文)，SA返回认证失败页面给客户端，提示认证失败原因，此时用户可以重新选择安全域，提交用户名密码重新进入步骤1；步骤4：如果认证成功(接收到Access-Accept报文)，SMP通过SNMP协议给交换机下发访问控制策略，同时给用户推送信息列表页面，页面中包含用户相可访问的信息系统链接列表。基于web的证书认证方案分析Portal客户端的部署方案的优势、劣势分析优势：解决SA客户端软件安装部署困难的问题，这样就能提供基于web的证书认证的场景需求彻底解决web认证保活问题，因此用户保活是通过Portal客户端实现，不在需要web页面来保活策略控制点设置在PC端，从整网安全考虑来说是最安全的部署方案；该部署方案即使存在跨级访问的需求，也不会引入多次认证的问题劣势：无法兼容其它厂商的接入设备一、Portal客户端WEB认证（用户名，密码）方案流程细化：图Portal客户端认证流程（用户名、密码）协议说明：PC浏览器在整个过程中均采用Http和Portal服务器进行交互Portal客户端采用直通协议同SMP服务器交换，完成用户名、密码、安全域信息传递访问控制策略在接入控制设备生效，SMP服务器通过SNMP协议将访问控制策略下发给接入控制设备访问控制策略在客户端PC生效，SMP通过UDP直通协议直接将访问控制策略下发到Portal客户端接口协议栈步骤说明步骤1：接入控制设备同步安全域信息，如接入控制设备是防火墙卡或者SDG路由需要通过TELNET协议同步安全域信息到设备上，如设备是交换机无需此步骤操作步骤2至步骤5：WEB认证重定向流程步骤6：如上网用户未安装Portal客户端，登入页面提示用户安装Portal客户端步骤7：用户输入用户名、密码，选择登入安全域，Portal客户端软件自动运行步骤8-10：SMP服务器接收到用户提交用户名、密码、安全域信息，核对用户信息业务信息，如果成功通过SNMP协议给接入控制设备下发安全域访问控制策略，并通知Portal客户端认证成功；如果失败则同时Portal客户端认证失败，Portal客户端提示上网用户失败原因步骤11：Portal客户端与SMP直接通过直通协议报文定时发送心跳报文，进行用户在线保活步骤12a-12c：心跳检测到用户离线，发起下线请求；用户主动发起下线请求；强制用户下线步骤13：SMP服务器回收安全域访问控制权限：回收接入控制设备上的安全域访问控制策略；回收客户端PC上的安全域访问控制策略步骤14：通知客户端用户下线二、Portal客户端WEB认证（证书认证）方案流程细化认证上线流程图Portal客户端认证流程（证书认证）协议说明PC浏览器在整个过程中均采用Http和SMP服务器进行交互Portal客户端采用直通协议同SMP服务器交换，完成用户名、密码、安全域信息传递访问控制策略在接入控制设备生效，SMP服务器通过SNMP协议将访问控制策略下发给接入控制设备访问控制策略在客户端PC生效，SMP服务器通过UDP直通协议直接将访问控制策略下发到Portal客户端接口协议栈步骤说明步骤1：接入控制设备同步安全域信息，如接入控制设备是防火墙卡或者SDG路由需要通过TELNET协议同步安全域信息到设备上，如设备是交换机无需此步骤操作步骤2至步骤5：web认证重定向流程步骤6：如上网用户未安装Portal客户端，登入页面提示用户安装Portal客户端步骤7：上网用户插入U-KEY，在portal页面输入pin密码，点击进行认证步骤8-9：Portal客户与SMP服务器直接进行EAP-TLS的证书认证交互流程步骤10：SMP服务器使用根证书进行客户证书校验，校验通过后请求CA服务器对证书进行校验步骤11：CA服务器返回证书校验结果步骤12：SMP服务器再对用户信息业务信息进行核对；步骤13a：如果步骤12验成功，SMP服务器通过SNMP协议给接入控制设备下发安全域访问控制策略步骤13b：如果步骤12验成功，SMP服务器通过直通协议给Portal客户软件下发安全域访问控制策略步骤14：SMP服务器通知客户端认证成功步骤15：Portal客户端与SMP直接通过直通协议报文定时发送心跳报文，进行用户在线保活步骤16a-16c：心跳检测到用户离线，发起下线请求；用户主动发起下线请求；强制用户下线步骤17a-17b：回收安全域访问控制权限：回收接入控制设备上的安全域访问控制策略；回收客户端PC上的安全域访问控制策略步骤18：通知客户端用户下线EAP-TLS认证流程路由器SDG+web方案分析方案描述场景描述：横向网委办局接入电子政务外网，或纵向网下级单位上联，通过路由器作为控制节点。方案实现关键点在用SDG路由即作为安全域访问策略控制设备，又作为用户网络出口的NAT设备，从而满足政务外网NAT场景的应用接入控制设备：锐捷SDG路由器（RSR20-14E/F/20-04E/RSR10-02E/30-44）；配套的安全服务器：SMP服务器（内置Portal服务器）；终端接入：基于web的认证方式。拓扑示意：流程说明传统纯web页面方式认证 流程及协议同章节方案描述同Portal客户端联动的认证方式 流程及协议同章节Portal客户端方案描述原有路由器SDG方案遗留问题分析重定向问题分析原有实现方式重定向流程该实现方式存在的问题分析：如以上流程图所示，用户认证前就能与HTTP服务器建立TCP连接，恶意软件有可能利用此TCP三次握手对服务器发起攻击，服务存在安全隐患用户使用过程中，例如要访问的服务器故障了，按照此种实现方式呈现给用户的现象是认证重定向失败，给用户以误导认为是网络设备问题SDG路由器的实习方式与我司的防火墙卡、交换机等产品不一致，影响产品的推广我司防火墙卡、交换机的重定向实现方式如下所示新SDG路由器重定向实现建议按照防火墙卡、交换机web认证重定向的方式来实现，这样能解决旧方案存在的问题重定向流程测试发现SDG路由器+web方案，用户下线后需要在等待30s的时间业务才能中断，该实现结果在应用安全域方案来说是不可接收的。建议SDG路由器产品参考防火墙卡方式实现，用户下线后业务立即中断。支持SDG功能的路由器的产品型号较少，且无低端产品，对于人数较少的委办接入客户购买RSR30或RSR50作为出口设备的可能性不是很大。应用安全域解决方案V1.0中的遗留问题改进分析安全域切换分析用户认证上线后，访问A安全域信息系统，工作要求需要切换到B安全域下的信息系统。用户期望能平滑进行安全域切换，而不需要手动的去执行下线，然后再上线。例如在线阶段选择切换安全域――>>选择切换的目标安全域――>>确定执行切换――>>完成安全域切换。安全域切换指标<10s（具体指标值可以讨论）——安全域切换后只能访问新安全域的信息系统资源，不能访问原有安全域的信息系统资源Web认证方式安全域切换流程细化图web认证安全域切换流程协议说明：客户终端和SMP服务器采用Http协议进交互接入设备和SMP服务器之间通过SNMP协议交互，完成安全域访问控制策略卸载和安装SMP服务器和Portal客户端之间采用直通协议交互步骤说明：用户认证成功后，选择安全域切换选项，选择切换到的目的安全域。系统自动切换到目标安全域运行。用户界面参见下图。备注：web认证方式包含纯web页面的认证方式（传统的web认证），及和ESA客户端联动的web认证方式1X认证方式安全域切换流程细化协议说明：客户端软件SA和SMP之间采用直通协议进行交互，完成安全域切换NAS设备和SMP之间采用SNMP协议进行交互，完成安全域访问控制策略的切换步骤描述：用户认证成功后，选择安全域切换选项，选择切换到的目的安全域。系统自动切换到目标安全域运行。用户界面参见下图安全域切换失败流程分析流程细化Web认证方式1x认证方式协议说明：Web认证方式，客户终端与SMP内置Portal服务器之间采用Http协议进行交互。Web认证方式，接入控制设备和SMP内置Portal服务器之间采用SNMP协议交互，完成访问控制策略卸载和安装。1x认证方式，客户端软件SA与SMP服务器之间采用直通协议进行交互。步骤描述参见流程描述用户界面定制化分析对于应用安全域方案中所有向用户可见的页面和标识均要求可实现定制化，包含客户端快捷方式标识、重定向页面、认证页面、访问控制列表页面、系统通知及提示页面等。现有的应用安全域方案已经实现了通过客户端管理中心完成SA客户端软件的定制化功能，Portal客户端ESA的定制化版本。web认证主要是SMP内置Portal服务器的界面定制化功能的开发。用户访问的信息列表是SMP推送给用户的，这一页面的定制化功能主要有SMP来完成，如该页面有SMP内置Portal服务器推送则有Portal开发对应定制化功能WEB认证保活问题分析Web认证保活方式有两种：一是，用户采用Portal客户端的部署方式，可以彻底解决页面保活的问题；二是，纯web页面认证方式，接入认证设备支持流量保活功能，目前交换机已经实现该功能，防火墙卡和路由器作为应用安全域V2.0的新需求增加流量保活功能。交换机流量保活实现方案Web认证周期性的调用硬件接口读取用户的流量信息，如果在配置好的周期内，流量值低于预先配置的阈值，则将用户下线。WEB认证降噪方案分析降噪方案与SMP内置Portal服务器无任何关系，只是改变NAS设备重定向的方法，是NAS的行为，可参考现有实现的方法，未降噪与降噪实现对比如下：未降噪实现：直接通过HTTP302重定向。降噪的实现：通过HTTP200带Script的方式。可靠性方案分析防火墙卡热备方案 防火墙卡作为应用安全域的关键组件，特别是在防火墙卡+web的部属方案中是不可或缺的，此部属模式下一旦防火墙卡发生故障将引起整个网络瘫痪，因此防火墙卡的热备方案是至关重要的。 AS热备方式，该方案防火墙卡10.3（4b6）版本中已经实现；纳入应用安全域V1.1解决方案中。 此两种热备方式均包含单S86双防火墙卡和双S86+VSU双防火墙卡的部署模式。 单机双防火墙卡热备方式S86设备上允许插入多张防火墙模块，防火墙模块之间两两可以形成故障切换对。正常情况下，业务流完全由主用防火墙模块处理，而不会流经备用防火墙（除非对备用防火墙进行管理）。当主用防火墙模块故障时（复位、下电），备用防火墙会主动切换为主用防火墙模块，使流量快速地切换到备用防火墙模块上。（下图中同一个颜色的线条表示同一个VLAN。）单机双防火墙卡热备示意图S86+VSU双防火墙卡热备方式由于连接防火墙模块的S86对于防火墙模块是松耦合，对于防火墙模块来说，S86就是一个外部网络，因此防火墙模块连接单台S86还是连接两台S86构成的VSU，对于防火墙的处理逻辑来说并无不同，因此应防火墙卡实现方式是同单机双防火墙卡一样的S86+VSU双防火墙卡热备示意图各部件产品列表描述RG-SMP服务器RG-SMP(SecurityManagementPlatform，安全管理平台)实现Radius服务器、Portal服务器功能，完成接入用户的身份认证和授权。SA客户端软件SA是安装到上网用户所在计算机的客户端软件。同SMP配合完成802.1X认证和其他安全控制的相关功能（如微软补丁更新、入网规则控制等），接受SMP下发的安全域列表、信息系统列表展示给管理员。另外SA还需要接收SMP服务器下发ACL，安装到网卡驱动上，控制用户的访问权限。Portal客户端软件(ESA)ESA是通过自动下载安装到上网用户所在计算机的客户端软件。同SMP、SMP内置portal服务器配合完成用户接入认证，接受SMP下发的安全域列表、信息系统列表展示给管理员。另外ESA还需要接收SMP服务器下发ACL，安装到网卡驱动上，控制用户的访问权限。防火墙卡防火墙卡的功能是对不同安全区域进行逻辑隔离。它通过控制用户在同一时刻只能访问特定的安全区域，从而防止用户在访问不安全区域的同时，将病毒扩散到其他受保护的区域；或者在访问受保护区域的同时，将重要信息泄漏到不安全区域。路由器路由器与防火墙卡类似，但是应用场景不一样而已，主要应用在电子政务外网上。它也是通过控制用户在同一时刻只能访问特定的安全区域，从而防止用户在访问不安全区域的同时，将病毒扩散到其他受保护的区域；或者在访问受保护区域的同时，将重要信息泄漏到不安全区域。同时路由在应用安全域场景中还作为网络的NAT设备。交换机交换机的功能与防火墙卡基本是一致的，交换机除了支持web认证外，还支持与SA客户联动实现802.1x认证的接入控制方式。产品功能列表RG-SMP功能模块功能说明支持以用户、密码为凭据的用户身份认证支持以用户名、密码为凭据，来校验用户身份的合法性。支持以CA证书为凭据的用户身份认证支持以CA证书为凭据，来校验用户身份的合法性。支持与客户端SA联动实现身份认证支持与客户端SA联动实现身份认证支持SMP内置Portal服务器实现web用户名密码认证以及其他功能1）支持普通用户认证(安全域仅支持一代web认证)支持与本地用户、LDAP联动用户、AD域联动用户、数据库联动用户、远程Radius联动用户、WebService联动用户联动认证支持昵称认证，支持短信校验码认证支持保存密码、账号过期提醒、修改密码、密码复杂度提醒、密保问题找回密码、短信找回密码、邮箱找回密码支持邮箱箱自助注册、短信自助注册、第三方数据库自助注册支持公告栏信息、上线公告信息、自动弹出上线公告地址、自动弹出登录前访问的地址、自动弹出单点SSO登录界面支持认证客户端下载地址、ESA客户端下载地址WIFI小助手下载地址展示支持自助服务平台链接支持流量保活/ESA心跳保活、界面心跳保活、一代关闭浏览器后立即下线、强制下线支持可切换安全域、信息系统可点击支持下线后能够记住上次选择的安全域支持http\https支持SMP内置Portal服务器实现web证书认证支持与RG-ESA配置实现web证书认证用户身份管理1）自动销户、暂停用户功能2）黑名单3）用户自助修改密码4）单帐号单PC使用应用安全域划分和权限管理功能提供信息系统管理功能，管理员可增删改查信息系统；提供安全域管理的功能，管理员可增删改查安全域；管理员可指派信息系统到安全域，设定安全域包含哪些信息系统，一个信息系统只能属于一个安全域；管理员可以为已经存在的用户或用户组分配安全域的访问权限；管理员可以将以上配置的内容同步给防火墙卡、路由器等；用户认证通过后，SMP通过SNMP协议向防火墙卡、路由器、交换机下发用户权限；通过UDP直通协议给认证客户端下发访问控制权限用户退出认证后，SMP通过SNMP协议向防火墙卡、路由器、交换机下发回收权限命令；通过UDP直通协议回收访问控制权限和交换机设备联动，1x认证方式下支持访问测试下发到交换和SA客户端软件和ESA联动方式认证，策略下发到访问控制设备支持基于网段、和基于主机IP地址两种方式的安全域信息系统策略支持同步防火墙卡、路由器的安全配配置信息防火墙卡、路由器同步时使用telnet协议支持多策略点部署支持一个网络同时部署多种设备联动（交换机、路由器、防火墙卡等）不同设备联动，实现身份认证和访问控制功能支持防火墙卡扩容支持网络中部署多张独立运行的防火墙卡设备在线保活和客户端联动场景定时检测用户是否在线，当检测到用户已不在线时，发起认证下线流程支持设备的流量保活或会话保活能接收设备的保活下线信息，将服务器上对应用户下线操作支持页面定制化支持页面定制化功能支持安全域切换支持安全域切换功能支持最大在线用户数20000人单用户上线时长<3s支持每秒认证用户数20个/s安全域切换时间<10sRG-SA功能模块功能说明支持以用户、密码为凭据的用户身份认证支持以用户名、密码为凭据，与SMP进行802.1X完成用户身份的合法性校验。支持以CA证书为凭据的用户身份认证支持以CA证书为凭据，来校验用户身份的合法性。应用安全域权限控制功能用户认证通过后，根据SMP下发的ACL，控制已认证用户的网络访问权限；用户退出认证后，清除ACL策略。在线保活SA会定时（默认每隔60分钟）向SMP发送保活报文，如果SMP判断SA已经连续3次未发送保活报文，则执行退出认证流程；支持NAT穿越功能SA软件支持上传用户NAT前的IP、MAC地址等信息支持页面定制化支持页面定制化功能支持安全域切换支持安全域切换功能单用户上线时长<3s安全域切换时间<10sRG-ESA（Portal客户端）功能模块功能说明支持软件自动下载和安装支持通过Portal服务器提供下载连接，自动下载安装客户端软件支持以用户、密码为凭据的用户身份认证支持以用户名、密码为凭据，与SMP联动完成用户身份的合法性校验。支持以CA证书为凭据的用户身份认证支持以CA证书为凭据，来校验用户身份的合法性。通过UDP直通协议上传用户证书信息给Portal服务器在线保活ESA会定时（默认每隔60分钟）向SMP发送保活报文，如果SMP判断SA已经连续3次未发送保活报文，则执行退出认证流程；支持页面定制化支持页面定制化功能支持安全域切换功能支持安全域切换功能单用户上线时长<3s安全域切换时间<10s防火墙卡功能模块功能说明http报文过滤接收未认证用户的http报文，进行访问控制，让合法报文通过，劫持不合法的报文并跳转到Portal的用户认证页面。身份认证转发包含用户认证信息的协议报文给Portal服务器，完成身份认证1）支持纯web页面的认证方式2）支持同Protal客户端联动的web认证方式应用安全域划分和权限控制功能提供安全域配置的CLI命令，管理员可划分安全域，并指定安全域的信息系统；用户认证通过后，根据SMP下发的用户权限，控制已认证用户的网络访问权限；用户退出认证后，根据SMP下发的回收权限命令，回收用户的网络访问权限。安全域及信息系统配置同步SMP向防火墙卡同步安全域配置信息，使用telnet协议支持web认证流量保活功能Web认证方式下，设备支持流量保活，当用户流量一定时间内小于某个值时，强制用户下线支持web认证降噪功能支持web认证降噪功能支持设备热备功能支持设备热备功能，支持AS方式的热备支持最大在线用户数5000人单用户上线时长<3s支持每秒认证用户数20个/s安全域切换时间<10s路由器功能模块功能说明http报文过滤接收未认证用户的http报文，进行访问控制，让合法报文通过，劫持不合法的报文并跳转到Portal的用户认证页面。身份认证转发包含用户认证信息的协议报文给Portal服务器，完成身份认证1）支持纯web页面的认证方式2）支持同Protal客户端联动的web认证方式应用安全域划分和权限控制功能提供用户角色配置的CLI命令，管理员可配置用户角色；提供安全域配置的CLI命令，管理员可划分安全域，并指定安全域的信息系统；提供隔离访问权限配置的CLI命令，管理员可以为用户角色分配不同安全域的访问权限；用户认证通过后，根据服务器下发的用户权限，控制已认证用户的网络访问权限；用户退出认证后，根据服务器下发的回收权限命令，回收用户的网络访问权限。安全域及信息系统配置同步SMP向路由器同步安全域配置信息，使用telnet协议支持作为NAT设备和安全域控制设备支持作为NAT功能与安全域功能并存支持web认证会话保活功能Web认证方式下，设备支持基于会话保活功能，当用户一定时间内没有业务访问，强制用户下线支持web认证降噪功能支持web认证降噪功能支持最大在线用户数人（产品指标为准）单用户上线时长<3s支持每秒认证用户数20个/s安全域切换时间<10s交换机功能模块功能说明http报文过滤接收未认证用户的http报文，进行访问控制，让合法报文通过，劫持不合法的报文并跳转到Portal的用户认证页面。身份认证转发包含用户认证信息的协议报文给Portal服务器，完成身份认证1）支持1x认证方式2）支持web认证方式，3）支持同Portal客户端联动的web认证方式应用安全域划分和权限控制功能用户认证通过后，根据服务器下发的用户权限，控制已认证用户的网络访问权限；用户退出认证后，根据服务器下发的回收权限命令，回收用户的网络访问权限。支持web认证流量保活功能Web认证方式下，设备支持流量保活，当用户流量一定时间内小于某个值时，强制用户下线支持web认证降噪功能支持web认证降噪功能支持最大在线用户数人（产品指标为准）单用户上线时长<3s支持每秒认证用户数20个/s安全域切换时间<10s产品配套版本RG-SMP：2.62专业版_build20131108发布时间：13年11月RG-SA：RG-SAV1.5发布时间：12年9月RG-ESA（Portal客户端）：RG-ESAV1.2

发布时间：12年9月防火墙卡：10.3（4b6p3）发布时间：13年6月路由器：10.4（3b12）发布时间：12年10月交换机：10.4（3b16）p1发布时间：13年7月解决方案特性列表身份认证功能描述为适应不同用户的身份认证需求，如领导、普通员工、临时访客等，提供多种身份认证手段。基于标准802.1X的身份认证，采用RG-SA客户端，支持标准的802.1X交换机，可进行硬盘序列号、交换机端口、交换机IP、IP、MAC、用户名、密码的七元素灵活绑定。基于Web页面的身份认证。通过防火墙卡/交换机/路由器的Web认证功能，进行身份认证。支持与CA中心联动，实现证书认证方式。对于临时访客，可由已认证用户建立临时访客帐号，并对临时访客进行权限控制。网络访问权限控制描述对入网主机的网络访问权限进行控制，实现安全域之间的隔离，避免不同业务、不同安全等级的信息交叉，带来信息安全风险可根据用户身份设置网络访问权限可根据业务不同和用户身份不同划分不同的安全域，同一用户同一时间只能访问一个安全域可根据安全域中的资源向用户推送资源访问列表，方便用户访问。外部接口暂无未包含的特性无可测试性考虑无网管考虑无专利考虑无各部件产品需求或规格说明部件产品软硬件基线是否新产品或者需要开发特性RG-SMP专业版V2.X否RG-SA否RG-ESA否M8600-FW否RG-WALL1600-B-E是RSR-30-44RSR20-14E/F/20-04ERSR10-02E否RG-S26IRG-S29ERG-S57E否应用安全域2.0部署实施指导测试人员给予SMP的部署配置，SA\ESA\WEB界面的操作步骤和效果截图，文字说明。简单设备配置指导。测试人员给予SMP的部署配置，SA\ESA\WEB界面的操作步骤和效果截图，文字说明。简单设备配置指导。待需要时补充。方案升级变更项及测试重点升级变更说明项目是否变更备注方案价值点否方案功能否方案接口有1.设备与ePortal服务器接口变化为，与SMP连接2.Portal与SMP认证radius接口变化为直接函数方案组件有“控制设备+ePortal+SMP”变更为”控制设备+SMP”方案配套版本有SMP配套版本更新为V2.62原有web认证流程接口说明：web认证过程设备与Portal服务器（ePortal）之间通过http和snmp协议进行认证授权交互Portal服务器（ePortal）与SMP之间通过radius协议和SNMP协议进行认证授权交互当前变更说明接口说明：web认证过程设备与SMP通过http和SNMP协议进行认证授权交互，Portal服务器与SMP服务器功能合并SMP的内置Portal与SMP认证模块之间通过直接函数交互，不再是radius协议接口测试重点设备与SMP直接的交互接口测试，安全域方案涉及到改接口的功能均须重点测试覆盖，如：Web认证相关，认证上下线，多用户性能容量ESA方式的认证相关，用户名/密码、证书认证安全区域策略下发与回收安全域切换SMP的内置Portal与SMP认证模块之间的接口，与软件产品林雁敏沟通该接口软件产品保障质量，解决方案只进行黑盒测试覆盖即可测试重点难点汇总测试重点备注SMP多用户性能容量，多用户重定向、多用户认证上下线（包含策略下发）、多用户在线保活认证重定向、在线用户保活原是ePortal服务器功能Web、ESA认证交互基本功能，以及日常运行管理设备与ePortal接口迁移到SMP浏览器兼容性测试原来浏览器主要是ePortal兼容用户方案安装上点SMP服务器安装配置要求方案测试版本信息产品组件对应版本版本阶段RG-SMP2.62专业版_build20131108正式发布RG-ESARG-ESAV1.4正式发布防火墙卡(FW)10.3（4b6）p3_R(157224)正式发布路由器(RSR20)10.4（3b12）_R(151012)正式发布交换机(S5750E)10.4(3b16)p1_R162455正式发布交换机(S26I)10.4(3b16)_R151126正式发布测试环境说明应用安全域测试拓扑拓扑说明本次测试方案主要覆盖了FW+SMP；S5750E+SMP；S26I+SMP；RSR20+SMP四种安全域接入控制场景其中各种接入控制设备联动场景均用户接入认证方式均覆盖了web用户名/密码认证，ESA联动的证书认证等SMP认证服务器部属在网关中心位置安全域划分为网管安全域、数据中心安全域、互联网安全域等测试项目及结果如下表格中的测试点及测试内容分别在FW+SMP；交换机+SMP；路由器+SMP三大联动场景中都测试执行，本次方案升级变更主要是认证服务器SMP端引入的变化，因此针对接入控制设备特有的测试用例不进行测试覆盖。测试点测试内容测试结果备注web页面认证方式，安全域基本功能验证，选择对应安全域进行认证SMP添加3-5个安全域，用户选择对应安全域进行认证，认证成功后仅能访问对应安全域的资源，无法访问其他安全域资源pass安全域切换用户选择互联网安全域认证成功后，进行安全域切换操作。切换前只能访问互联网，切换后只能访问新安全域的资源pass多用户多安全域同时在线(3-5个安全域）5个用户分别选择5个不同的安全域进行认证，认证成功后分别仅能访问对应的安全域pass非法用户接入未开户用户，过期用户，接入用户密码错误，接入网络失败有相应的错误提示passVIP用户，无需认证可访问所有资源VIP用户，无需认证可访问所有资源。在交换机上添加免认证用户实现pass用户无需认证也能访问的网络资源（DNS服务器，portal服务器等）访问控制设备上配置免认证网络资源实现pass全局服务器访问控制，无论选择哪个安全域认证均可访问全局信息系统下的网络资源SMP上配置全局安全域信息系统，用户无论选择哪个安全域认证均