技術(shù)領(lǐng)域

本實(shí)用新型涉及一種安全網(wǎng)關(guān)平臺(tái)，尤其是一種基于透明代理網(wǎng)關(guān)的安全網(wǎng)關(guān)平臺(tái)。

背景技術(shù)

通常的4A平臺(tái)(認(rèn)證、授權(quán)、審計(jì)、賬號(hào)管理)是在統(tǒng)一部署4A相關(guān)服務(wù)的基礎(chǔ)上，需要在受保護(hù)的服務(wù)器(或應(yīng)用系統(tǒng))和用戶客戶端上安裝相應(yīng)的代理/插件，實(shí)現(xiàn)服務(wù)器以及其上應(yīng)用系統(tǒng)的4A管理響應(yīng)處理和在客戶端上實(shí)現(xiàn)用戶票據(jù)保存以及用戶信息代填等。事實(shí)上，出于系統(tǒng)穩(wěn)定性和維護(hù)方便性的考慮，用戶一般不希望在服務(wù)器和客戶端上安裝第三方軟件。

通常的4A平臺(tái)的審計(jì)信息來源僅僅限于系統(tǒng)syslog日志、服務(wù)器，以及其上應(yīng)用系統(tǒng)和用戶客戶端上代理主動(dòng)發(fā)送的日志。這樣，在一定程度上降低了平臺(tái)審計(jì)的力度。盡管目前市面上出現(xiàn)了基于代理網(wǎng)關(guān)和旁路抓包的審計(jì)產(chǎn)品，但是這些產(chǎn)品一個(gè)共同的不足是，沒有很好地整合認(rèn)證、授權(quán)、審計(jì)以及賬號(hào)管理，因此市場(chǎng)上還沒有一個(gè)比較完備的4A平臺(tái)成熟的安全產(chǎn)品。

實(shí)用新型內(nèi)容

本實(shí)用新型的目的是針對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)部署中存在的問題，提供一種無須在服務(wù)器與客戶端上安裝代理/插件的基于透明代理網(wǎng)關(guān)的安全網(wǎng)關(guān)平臺(tái)。

一種基于透明代理網(wǎng)關(guān)的安全網(wǎng)關(guān)平臺(tái)，連接到被監(jiān)控的網(wǎng)絡(luò)線路上，包括

管理中心，與用戶建立連接，支持用戶身份認(rèn)證、集中管理、集中授權(quán)和訪問控制、安全審計(jì)、以及取證管理；所述的管理中心接收用戶發(fā)出的認(rèn)證消息進(jìn)行主賬號(hào)認(rèn)證，發(fā)出認(rèn)證結(jié)果信息；提供訪問受保護(hù)資源的從帳號(hào)或者從密碼；提供包括時(shí)間策略和空間策略的訪問控制策略；為用戶提供審計(jì)監(jiān)控和場(chǎng)景再現(xiàn)；

代理網(wǎng)關(guān)，具有認(rèn)證用戶列表，接收管理中心發(fā)出的認(rèn)證結(jié)果信息，通過認(rèn)證用戶列表進(jìn)行核實(shí)；所述的代理網(wǎng)關(guān)查詢管理中心提供的訪問受保護(hù)資源的從帳號(hào)或者從密碼，并對(duì)核實(shí)通過的主賬號(hào)進(jìn)行從賬號(hào)或者從密碼的代填，實(shí)現(xiàn)登錄被訪問資源；另外，代理網(wǎng)關(guān)截獲用戶會(huì)話數(shù)據(jù)、并緩存在代理網(wǎng)關(guān)的內(nèi)存中，以待發(fā)出用戶會(huì)話數(shù)據(jù)；以及，

數(shù)據(jù)中心，接收代理網(wǎng)關(guān)發(fā)送的用戶會(huì)話數(shù)據(jù)，提供審計(jì)資料。

優(yōu)選的是，所述的代理網(wǎng)關(guān)、數(shù)據(jù)中心和管理中心分別作為單獨(dú)服務(wù)器安裝部署，其中代理網(wǎng)關(guān)具有至少三個(gè)網(wǎng)口，通過其中兩個(gè)網(wǎng)口，代理網(wǎng)關(guān)透明地串行接入到被監(jiān)控的網(wǎng)絡(luò)線路上；剩余的一個(gè)網(wǎng)口連接到交換機(jī)上；所述的數(shù)據(jù)中心具有至少一個(gè)網(wǎng)口，數(shù)據(jù)中心通過此網(wǎng)口連接到所述的交換機(jī)上；所述的管理中心具有至少兩個(gè)網(wǎng)口，管理中心通過其中一個(gè)網(wǎng)口連接到所述的交換機(jī)上；通過另外一個(gè)網(wǎng)口連接到被監(jiān)控的網(wǎng)絡(luò)線路上。

優(yōu)選的是，所述的代理網(wǎng)關(guān)、數(shù)據(jù)中心和管理中心安裝部署到一臺(tái)服務(wù)器上，連接到被監(jiān)控的網(wǎng)絡(luò)線路上。

本實(shí)用新型的有益之處是：首先，由于本實(shí)用新型所述的基于透明代理網(wǎng)關(guān)的安全網(wǎng)關(guān)平臺(tái)包括管理中心、數(shù)據(jù)中心和代理網(wǎng)關(guān)三部分，可以在一個(gè)平臺(tái)上實(shí)現(xiàn)認(rèn)證、授權(quán)、審計(jì)、賬號(hào)管理；最后，代理網(wǎng)關(guān)透明地串行接入到被監(jiān)控網(wǎng)絡(luò)，由代理網(wǎng)關(guān)統(tǒng)一負(fù)責(zé)完成認(rèn)證、代理工作，無須在服務(wù)器和客戶端安裝第三方軟件，增加系統(tǒng)的穩(wěn)定性，方便系統(tǒng)維護(hù)。

附圖說明

圖1為未部署本實(shí)用新型的網(wǎng)絡(luò)結(jié)構(gòu)示意圖；

圖2為部署了本實(shí)用新型的網(wǎng)絡(luò)結(jié)構(gòu)示意圖；

圖3為內(nèi)網(wǎng)用戶欲登錄內(nèi)網(wǎng)訪問受保護(hù)資源區(qū)時(shí)，基于WEB瀏覽器進(jìn)行主賬號(hào)認(rèn)證的處理流程示意圖；

圖4為內(nèi)網(wǎng)用戶欲登錄內(nèi)網(wǎng)訪問受保護(hù)資源區(qū)時(shí)，在使用WEB瀏覽器進(jìn)行主賬號(hào)認(rèn)證后，基于IP/MAC票據(jù)的協(xié)議內(nèi)從賬號(hào)代填認(rèn)證的處理流程示意圖；

圖5為內(nèi)網(wǎng)用戶欲登錄內(nèi)網(wǎng)訪問受保護(hù)資源區(qū)時(shí)，基于TELNET/SSH客戶端進(jìn)行主賬號(hào)認(rèn)證的處理流程示意圖；

圖6為內(nèi)網(wǎng)用戶欲登錄內(nèi)網(wǎng)訪問受保護(hù)資源區(qū)時(shí)，在使用TELNET/SSH?SHELL進(jìn)行主賬號(hào)認(rèn)證后，基于IP/MAC票據(jù)的協(xié)議內(nèi)從賬號(hào)代填認(rèn)證的處理流程示意圖；

圖7為外網(wǎng)用戶欲登錄內(nèi)網(wǎng)訪問受保護(hù)資源區(qū)時(shí)，基于WEB瀏覽器和客戶端控件進(jìn)行主賬號(hào)認(rèn)證的處理流程示意圖；

圖8為外網(wǎng)用戶欲登錄內(nèi)網(wǎng)訪問受保護(hù)資源區(qū)時(shí)，在使用WEB瀏覽器進(jìn)行主賬號(hào)認(rèn)證后，基于客戶端控件截獲IP流并插入IP包票據(jù)的協(xié)議內(nèi)從賬號(hào)代填認(rèn)證的處理流程示意圖；

圖9為外網(wǎng)用戶欲登錄內(nèi)網(wǎng)訪問受保護(hù)資源區(qū)時(shí)，在使用WEB瀏覽器進(jìn)行主賬號(hào)認(rèn)證后，基于客戶端控件截獲IP流并插入IP包票據(jù)的協(xié)議外從賬號(hào)代填認(rèn)證的處理流程示意圖。

具體實(shí)施方式