普通的安全网关产品，无法有效识别远程接入的用户，其IP地址是动态的、易仿冒和不可预测的，网络管理员无法明确的定义规则，有效控制外网访问和远程接入，从而给内部网络安全带来极大的风险，给企业的信息安全风险管理和网络资源分配带来了新的挑战。

    有些安全网关厂商通过支持DDNS（动态域名服务）解决该问题，DDNS是第三方的系统，其可用性及可靠性不可控，同样会给用户带来额外的风险。另外，IP地址与人、内网主机与人之间不存在严格的一一对应关系，基于IP管理的传统安全网关并不能为管理员提供完善、有效的审计信息。

    为了帮助网络运维人员应对挑战，Hillstone山石网科推出基于“角色管理”的安全网关管理新模式。安全网络角色管理模式是基于角色的访问控制和网络资源分配，企业用户可以根据不同的用户角色，对信息进行有效的访问控制和分配。

    Hillstone SA系列高性能安全网关已经全面支持这一全新的管理模式。SA系列高性能安全网关，基于特有的角色安全管理，与IP管理模式相结合，有效的解决了上述问题。

    角色安全管理模式包含两部分内容，一部分是基于角色访问控制（RBCA），一部分是基于角色的网络资源分配（RBNS），可面向角色对信息进行有效的访问控制和分配，在解决新的访问模式下带来问题的同时，也为用户提供基于角色和应用的带宽管理手段。而且，基于角色的管理模式也能够兼容基于IP的管理模式。

    “安全网关角色管理是网络安全产品发展的一个趋势”，Hillstone首席软件架构师王钟介绍道，“在IT安全管理的生命周期中，无论是管理成本还是资源分配的灵活性，基于角色的管理模式都优于传统的IP管理。”

    Hillstone山石网科 SA系列高性能安全网关，利用全新的角色管理模式，同时整合IP管理，有效实现安全身份验证机制，使得安全网关产品在访问控制的效果更严密，网络资源分配的粒度更加精细，对安全事件的审计与追踪更加清晰。在未来，Hillstone山石网科将会不断地结合国内用户的需求，为网络安全产品带来更多新特性及新的安全理念。

    在数据处理过程中，Hillstone山石网科 SA系列安全网关根据端口信息，安全域、VPN、IP报文头对角色列表进行查找，获得数据流的角色信息。我们利用角色查找数据流的控制策略。以防火墙为例，防火墙策略的匹配不再是IP五元组，而是包含角色的六元组。这个技术的特点是：

    一、支持一般防火墙策略和基于角色的策略的完全混合，和防火墙策略一样，依靠策略的自然排序确定优先级；

    二、和以往防火墙策略完全兼容，每一个策略的角色可以是“Any”，即匹配所有用户角色。角色是“Any”的策略退化成一般防火墙的策略；

    三、以包含角色的六元组进行匹配，保持防火墙策略的第一匹配原则；

    四、支持用户拥有多个角色，但角色无优先级，完全按照策略的自然优先级。

    应用实例如下——

    如图所示，用户使用Hillstone山石网科安全网关有防火墙和SSL VPN的两个功能，当用户从公网上用SSL VPN接入时，系统给这些流量赋予一个角色-“SSL”，对于那些远程接入的工程师（Engineers），系统还赋予了另一个角色-“Engineer”。

    公司内网有两种PC：一类是工程师用的，地址组是Eng_IPs，另一类是其他人用的，地址组是Other_IPs。公司有三个服务器：电邮服务器（Email_Server）、内部服务器（Intranet_Server）、研发用服务器（Eng_Server）。

策略列表里设置了这些策略：

• · 远程接入用户不许访问内部服务器（Intranet_Server）
• · 工程师不论远程接入的和内部访问的都可以访问研发用服务器（Eng_Server）
• · 工程师在内网的PC可以访问内网所有服务器
• · 其他人不论远程接入的和内部访问的都可以看Email，访问电邮服务器（Email_Server）

    基于角色的管理是安全网关类产品发展的一个趋势，在IT安全管理和网络资源分配的过程中，从管理的成本角度、安全管理和资源分配的效果来看，基于角色的管理模式都优于传统的基于IP的管理模式。在未来，基于角色管理模式将渗透至整个IT安全产品乃至IT管理产品。