1.1 UAP-G系統(tǒng)能做什么？

　　UAP-G系統(tǒng)能夠提供用戶網(wǎng)絡(luò)訪問的訪問控制、認(rèn)證和授權(quán)以及資源訪問日志審計(jì)功能和三權(quán)分立的管理機(jī)制。

　　1.1.1 網(wǎng)絡(luò)訪問的認(rèn)證和授權(quán)

　　針對(duì)用戶對(duì)網(wǎng)絡(luò)資源的訪問，UAP-G系統(tǒng)采用分析網(wǎng)絡(luò)包的形式，來發(fā)現(xiàn)用戶的目的，并對(duì)認(rèn)證過的用戶進(jìn)行帳號(hào)與IP、MAC的動(dòng)態(tài)綁定，支持經(jīng)過NAT設(shè)備的主機(jī)訪問。

圖3-9 身份認(rèn)證配置界面

圖3-10 網(wǎng)絡(luò)資源授權(quán)管理界面

　　UAP-G系統(tǒng)的訪問認(rèn)證和授權(quán)功能如下：

　　物理隔離受控資源

　　UAP-G系統(tǒng)對(duì)所有協(xié)議的包過濾控制，以網(wǎng)橋的模式部署在用戶終端和資源系統(tǒng)之間。用戶在訪問資源系統(tǒng)前，必須先登錄UAP-G用戶登錄平臺(tái)；或者用戶在訪問WEB資源系統(tǒng)前，如果沒有認(rèn)證的話，UAP-G系統(tǒng)會(huì)提示或自動(dòng)重定向UAP-G用戶登錄平臺(tái)。用戶在通過認(rèn)證后，在用戶終端可啟動(dòng)資源系統(tǒng)客戶端（Telnet/SSH、FTP、瀏覽器等）直接登錄用戶被授權(quán)的資源系統(tǒng)，而不需要資源系統(tǒng)的登錄認(rèn)證。

　　安全穩(wěn)固的身份驗(yàn)證

　　UAP-G系統(tǒng)的認(rèn)證機(jī)制基于帳號(hào) / 口令、PKI證書、Radius、LDAP等標(biāo)準(zhǔn)的協(xié)議和機(jī)制，在以上協(xié)議的基礎(chǔ)上，進(jìn)行各種擴(kuò)展和安全策略，保證用戶身份的唯一性。

　　在用戶身份認(rèn)證方面，UAP-G系統(tǒng)可以配置各種認(rèn)證源，可以將帳號(hào)口令以及PKI證書等人正方式進(jìn)行擴(kuò)展，支持多種認(rèn)證源。

　　目前支持的認(rèn)證源類型有：

• 第三方CA（X509）
• LDAP / AD
• Radius
• SMTP（SMTP帳號(hào)驗(yàn)證）
• 短信網(wǎng)關(guān)（短信驗(yàn)證碼）
• 除此之外，UAP-G系統(tǒng)還為用戶提供了基于SOAP、RADIUS、LDAP、NTLM、SOCKET等協(xié)議的認(rèn)證接口；

　　準(zhǔn)確的訪問授權(quán)

　　UAP-G系統(tǒng)采用用戶、組對(duì)應(yīng)角色的授權(quán)機(jī)制，管理員為角色設(shè)定好可以訪問的受控資源后，只需將用戶或組授予角色權(quán)限，便完成了用戶的訪問授權(quán)工作，在以后的運(yùn)行維護(hù)中，只需更改角色的授權(quán)資源便可和用戶所屬角色便可完成用戶的授權(quán)和修改工作。

　　用戶在成功登錄后，UAP-G系統(tǒng)將根據(jù)用戶的帳號(hào)進(jìn)行動(dòng)態(tài)綁定IP和MAC，以保證用戶身份的唯一性，杜絕重復(fù)登錄。系統(tǒng)將在用戶每次登錄前，動(dòng)態(tài)設(shè)定該用戶的資源訪問權(quán)限，用戶下線后，用戶所擁有的資源訪問策略自行消除。

　　在資源設(shè)定上，UAP-G系統(tǒng)將C / S的受控資源進(jìn)行了分類，方便用戶進(jìn)行C / S單點(diǎn)訪問以及管理員調(diào)整資源策略。

　　1.1.2 日志審計(jì)功能

　　UAP-G系統(tǒng)通過分析網(wǎng)絡(luò)包為用戶提供受控資源訪問控制服務(wù)，在用戶完成登錄并獲得正確授權(quán)之后，UAP-G系統(tǒng)還將記錄用戶訪問受保護(hù)資源的日志記錄。日志中記錄了用戶名稱、用戶IP、用戶MAC地址、目的IP和目的端口以及訪問時(shí)間等主要信息。

　　審計(jì)管理員登錄系統(tǒng)后，可對(duì)日志進(jìn)行查詢并導(dǎo)出為Excel文件，方便管理員利用Excel工具對(duì)日志內(nèi)容進(jìn)行各種統(tǒng)計(jì)工作。

　　另外，對(duì)于UAP-G系統(tǒng)采用三權(quán)分立的授權(quán)機(jī)制，管理員對(duì)UAP-G系統(tǒng)所作的所有修改和系統(tǒng)自身發(fā)生的情況都會(huì)被記入日志中，并且只有日志審計(jì)管理員才可對(duì)日志進(jìn)行操作。

圖3-11 日志審計(jì)界面

　　1.1.3 WEB資源的訪問控制管理

　　UAP-G系統(tǒng)對(duì)WEB應(yīng)用中的WEB資源即網(wǎng)頁進(jìn)行授權(quán)管理。用戶訪問WEB資源時(shí)根據(jù)用戶和資源性質(zhì)以及管理員設(shè)定的安全策略，判斷用戶對(duì)該WEB資源的訪問權(quán)限，從而允許或拒絕該用戶的訪問請(qǐng)求。

　　該種訪問控制對(duì)上層的應(yīng)用是透明的，即上層的WEB應(yīng)用不需要做任何改變，適合于任何類型的、已經(jīng)建設(shè)完畢的應(yīng)用和即將建設(shè)的WEB應(yīng)用，只需要在WEB服務(wù)器安裝一個(gè)安全代理即可。

圖3-12 WEB資源訪問控制配置界面

　　1.1.4 C/S資源的訪問控制管理

　　在實(shí)際應(yīng)用環(huán)境中，存在著大量的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）和主機(jī)服務(wù)器（如Linux服務(wù)器、UNIX服務(wù)器等），維護(hù)和管理人員對(duì)這些設(shè)備和服務(wù)器的維護(hù)存在著很大的安全隱患。每個(gè)管理員都可以連接其他人負(fù)責(zé)的網(wǎng)絡(luò)設(shè)備，如果存在帳號(hào)共享的情況，便有可能出現(xiàn)權(quán)力不明，責(zé)任不清的問題。

　　UAP-G系統(tǒng)將網(wǎng)絡(luò)設(shè)備和服務(wù)器資源管理中，制定用戶可以訪問的網(wǎng)絡(luò)資源，從網(wǎng)絡(luò)層限制了用戶可以連接什么地方，不可以連接什么地方，實(shí)現(xiàn)了系統(tǒng)維護(hù)人員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問控制和認(rèn)證授權(quán)。UAP-G系統(tǒng)采用多種可選方式對(duì)維護(hù)人員的身份進(jìn)行認(rèn)證，可以有效避免非法用戶的假冒；通過日志審計(jì)功能，UAP-G系統(tǒng)能夠?qū)崿F(xiàn)對(duì)用戶網(wǎng)絡(luò)訪問的跟蹤，而日志信息的分析和挖掘，為安全事故的調(diào)查提供了一個(gè)很好的輔助工具。

　　1.1.5 細(xì)粒度的文件訪問控制

　　有些時(shí)候，我們的系統(tǒng)中會(huì)存在一些文件共享服務(wù)器，這些服務(wù)器為不同的用戶提供文件共享服務(wù)，其中不乏有些機(jī)密數(shù)據(jù)文件，如各種工程、建筑、機(jī)械設(shè)備的圖紙或程序源碼等，這些文件和目錄以開放的形式共享在網(wǎng)絡(luò)中，供不同的用戶使用。但隨著時(shí)間的推移，管理員的變更，對(duì)于數(shù)量眾多、類型各異、訪問權(quán)限不同的各種文件和目錄，單憑管理員的記錄和維護(hù)難免會(huì)造成一些疏漏。

　　UAP-G系統(tǒng)為您提供基于“域訪問控制”的技術(shù)，對(duì)受控服務(wù)器上的共享文件進(jìn)行基于“域授權(quán)”的細(xì)粒度訪問控制。管理員可以將其控制的力度精細(xì)到哪個(gè)人可以訪問哪個(gè)文件的地步。對(duì)于數(shù)量眾多的文件共享服務(wù)器，管理員只需要在UAP-G系統(tǒng)中，通過簡(jiǎn)單、方便的配置，便可對(duì)共享文件和目錄進(jìn)行精細(xì)的訪問控制。

圖3-13 細(xì)粒度文件訪問控制

　　1.2 UAP-G系統(tǒng)應(yīng)用場(chǎng)景

　　1.2.1 核心數(shù)據(jù)保護(hù)

圖3-14 核心數(shù)據(jù)保護(hù)現(xiàn)狀

　　目前網(wǎng)絡(luò)現(xiàn)狀如圖3-14所示，網(wǎng)絡(luò)分為3個(gè)區(qū)域“用戶區(qū)”、“服務(wù)器區(qū)”和“數(shù)據(jù)庫(kù)區(qū)”，其中“數(shù)據(jù)庫(kù)區(qū)域”中包含普通的業(yè)務(wù)數(shù)據(jù)庫(kù)和密級(jí)較高的核心數(shù)據(jù)。

　　普通的業(yè)務(wù)數(shù)據(jù)供各個(gè)服務(wù)器訪問，同時(shí)允許普通管理員進(jìn)行維護(hù)。

　　核心數(shù)據(jù)只供高級(jí)人員使用，并允許個(gè)別高級(jí)管理員進(jìn)行維護(hù)。

　　在目前的情況下，針對(duì)核心數(shù)據(jù)庫(kù)的所有限制，完全依賴于核心數(shù)據(jù)服務(wù)器的帳號(hào)機(jī)制或交換機(jī)或內(nèi)網(wǎng)防火墻進(jìn)行網(wǎng)絡(luò)隔離。但是無論怎么做，都有數(shù)據(jù)泄密的隱患。

圖3-15 核心數(shù)據(jù)保護(hù)解決方案

　　根據(jù)上面的現(xiàn)狀，我們只需將UAP-G系統(tǒng)以透明網(wǎng)橋的形式部署在數(shù)據(jù)庫(kù)網(wǎng)段之前，即可將現(xiàn)有數(shù)據(jù)庫(kù)網(wǎng)段進(jìn)行物力隔離，之后，可在UAP-G系統(tǒng)上配置隔離區(qū)內(nèi)的服務(wù)器訪問權(quán)限，針對(duì)用戶的身份和等級(jí)來限制哪些用戶和管理員可以訪問核心數(shù)據(jù)庫(kù)，而其他業(yè)務(wù)數(shù)據(jù)庫(kù)等權(quán)限較低的受保護(hù)資源，可開放較為寬泛的訪問權(quán)限，甚至免認(rèn)證，就像沒有UAP-G系統(tǒng)一樣。除了需要經(jīng)過安全的身份認(rèn)證過程之外，用戶不需要改變?nèi)魏问褂昧?xí)慣，同時(shí)網(wǎng)絡(luò)管理員也不需要大費(fèi)周章的在各種網(wǎng)絡(luò)設(shè)備上為UAP-G系統(tǒng)進(jìn)行過多的配置。

　　1.2.2 集中帳號(hào)管理

圖3-16 集中帳號(hào)管理現(xiàn)狀

　　在大型網(wǎng)絡(luò)中，主機(jī)和設(shè)備永遠(yuǎn)比管理員多，面對(duì)數(shù)以百計(jì)的網(wǎng)絡(luò)設(shè)備和不同的操作系統(tǒng)，記錄和維護(hù)主機(jī)帳號(hào)信息就成了管理員們的噩夢(mèng)，如何保管這些信息？何況其中還有許多主機(jī)擁有較高的保密級(jí)別，寫在紙上？還是記錄在電腦里？好像都不是很安全。

圖3-17 集中帳號(hào)管理解決方案

　　通過旁路部署一臺(tái)UAP-G服務(wù)器，管理員在訪問服務(wù)器之前，到UAP-G系統(tǒng)上進(jìn)行身份認(rèn)證，成功后，便可在UAP-G系統(tǒng)的門戶頁面點(diǎn)擊想要維護(hù)的服務(wù)器，SSH、TELNET、SCP、SFTP等維護(hù)性的操作UAP-G系統(tǒng)都可以提供C/S單點(diǎn)登錄。

　　在獲得方便的同時(shí)，UAP-G系統(tǒng)還可約束管理員訪問各自權(quán)限內(nèi)的主機(jī)系統(tǒng)，無法越權(quán)操作。即使你擁有這臺(tái)服務(wù)器的帳號(hào)口令，在未認(rèn)證或認(rèn)證后沒有獲得相應(yīng)權(quán)限的前提下，都不能通過網(wǎng)絡(luò)對(duì)該主機(jī)進(jìn)行任何操作。

　　1.2.3 訪問控制+細(xì)粒度域授權(quán)

圖3-18 細(xì)粒度域授權(quán)現(xiàn)狀

　　在某些內(nèi)網(wǎng)環(huán)境中，存在大量的文件服務(wù)器，這些文件服務(wù)器中有些用來存儲(chǔ)機(jī)密文件、檔案、圖紙等重要信息，管理員要么通過網(wǎng)絡(luò)配置限制這些主機(jī)的訪問范圍，或者通過AD域服務(wù)器進(jìn)行域授權(quán)。

　　通過網(wǎng)絡(luò)配置限制可訪問這些文件服務(wù)器的訪問范圍這種方式，在使用時(shí)人為漏洞較多，如某人潛入該網(wǎng)段，并且獲取了某人的域帳號(hào)信息，那么，這個(gè)人便可以輕易的獲得他所需要的任何文件。

　　即使排除了這些人為漏洞，管理員在維護(hù)域授權(quán)信息和管理域主機(jī)時(shí)，面對(duì)數(shù)量眾多的主機(jī)、權(quán)限的多對(duì)多關(guān)系時(shí)，仍然會(huì)感到頭痛。

圖3-19 細(xì)粒度域授權(quán)解決方案

　　通過網(wǎng)橋連接或旁路形式部署一臺(tái)UAP-G服務(wù)器，上述問題便可迎刃而解。

　　在網(wǎng)橋模式下，UAP-G系統(tǒng)將文件服務(wù)器物理隔離為安全訪問區(qū)，需要訪問這些文件服務(wù)器的主機(jī)或用戶，必須首先登錄并成功進(jìn)行身份認(rèn)證及授權(quán)，否則，用戶根本無法以任何形式連接到后端的文件服務(wù)器上。

　　同時(shí)，以網(wǎng)橋或旁路中任意模式進(jìn)行部署的UAP-G系統(tǒng)，都可通過在文件服務(wù)器上部署簡(jiǎn)單插件，管理員便可輕松實(shí)現(xiàn)在UAP-G系統(tǒng)上對(duì)文件服務(wù)器進(jìn)行的授權(quán)操作，該授權(quán)可精細(xì)到那個(gè)域用戶可以訪問那個(gè)文件。