安全网关管理新模式——角色管理

    在数据处理过程中，Hillstone山石网科 SA系列安全网关根据端口信息，安全域、VPN、IP报文头对角色列表进行查找，获得数据流的角色信息。我们利用角色查找数据流的控制策略。以防火墙为例，防火墙策略的匹配不再是IP五元组，而是包含角色的六元组。这个技术的特点是：

    一、支持一般防火墙策略和基于角色的策略的完全混合，和防火墙策略一样，依靠策略的自然排序确定优先级；

    二、和以往防火墙策略完全兼容，每一个策略的角色可以是“Any”，即匹配所有用户角色。角色是“Any”的策略退化成一般防火墙的策略；

    三、以包含角色的六元组进行匹配，保持防火墙策略的第一匹配原则；

    四、支持用户拥有多个角色，但角色无优先级，完全按照策略的自然优先级。

    应用实例如下——

    如图所示，用户使用Hillstone山石网科安全网关有防火墙和SSL VPN的两个功能，当用户从公网上用SSL VPN接入时，系统给这些流量赋予一个角色-“SSL”，对于那些远程接入的工程师（Engineers），系统还赋予了另一个角色-“Engineer”。

    公司内网有两种PC：一类是工程师用的，地址组是Eng_IPs，另一类是其他人用的，地址组是Other_IPs。公司有三个服务器：电邮服务器（Email_Server）、内部服务器（Intranet_Server）、研发用服务器（Eng_Server）。

策略列表里设置了这些策略：

• · 远程接入用户不许访问内部服务器（Intranet_Server）
• · 工程师不论远程接入的和内部访问的都可以访问研发用服务器（Eng_Server）
• · 工程师在内网的PC可以访问内网所有服务器
• · 其他人不论远程接入的和内部访问的都可以看Email，访问电邮服务器（Email_Server）

    基于角色的管理是安全网关类产品发展的一个趋势，在IT安全管理和网络资源分配的过程中，从管理的成本角度、安全管理和资源分配的效果来看，基于角色的管理模式都优于传统的基于IP的管理模式。在未来，基于角色管理模式将渗透至整个IT安全产品乃至IT管理产品。