【IT168 专稿】

    1. 介绍

    传统防火墙通过对安全域的划分，把物理网络分割成几个部分，使每个部分有不同的安全属性。接在每个物理子网的设备继承了这个安全域的属性。其他网络和安全设备也大都是基于用户的IP进行监控和管理。

    随着网络应用的不断发展，用户接入的方式越来越多样化。同一个公司员工，可能通过办公室PC上网，也可能在会议室用手提电脑通过无线接入，还可能在家里或出差外地通过远程接入。在这种情况下，传统基于IP的控制远远不能满足用户的需求。有时对同一台电脑，同一个IP也可能因为PC的健康状态而应该做不同的控制。

    Hil stone在安全设备中实现了基于角色的网络服务（Role Based Network Services – RBNS），结合了用户的ID，组的信息，用户接入方式，PC健康状态等，决定用户应该允许的网络服务。实现对网络资源和网络安全的细粒度的控制。

    RBNS应用在防火墙上就是基于角色的访问控制（Role  Based  Access  Control  - RBAC）。

    2. 基于IP的访问控制

    传统防火墙采用策略或ACL，根据数据流里下层属性来决定是否允许数据流。一般防火墙策略依据的属性包括源地址，源端口，目的地址，目的端口，协议号或应用类型来确定是否允许数据流的通过。一般入接口和出接口也会成为防火墙策略的一部分。一些厂商会引入安全域的概念，利用入接口安全域或出接口安全域。防火墙策略是第一匹配原则。

    在给定源接口域和目的接口域的情况下，有些厂商引进认证组的概念。如果被检测的流匹配上这些策略，用户可以通过防火墙认证决定其所属的组。根据组匹配与否决定是否让数据流通过。仍然利用第一匹配的原则。

    因为防火墙策略匹配是第一匹配，所以如果第一匹配的策略里的组如果不对数据流将会被拒绝。即使以后有其他策略匹配。例如，在上面的例子里，如果有属于g2的内网用户访问www.sina.com，因为基于IP五元组的第一匹配是第一条策略，我们只会利用此策略匹配组的信息，即使组不匹配，我们也不会继续查找到第二条策略。

    3. 基于角色的网络服务（RBNS）

    Hil stone基于角色的网络服务（RBNS）分成三个部分：

    ● 用户身份的认证
    ● 用户角色的确定
    ● 基于角色控制和服务

    1.1 用户身份认证

    RBNS的第一步是用户身份的确认。大部分的公司已有AAA认证的机制。Hillstone RBNS可以和这些认证机制互动进行接入身份认证。用户的身份以及所属的用户组在网络接入过程中获得。Hillstone设备也支持本地用户和用户组。Hillstone安全平台目前支持的接入方式有：

    ● 802.1x
    ● HTTP认证
    ● SSL VPN
    ● IPSec VPN
    ● L2TP VPN

    在不通过Hillstone安全平台认证接入的情况下，Hillstone设备可以通过静态绑定或和AAA系统的联动探测用户接入的信息。灵活地适应用户的部署环境。

    1.2 用户角色的确定

    在用户认证之后，用户可以拥有一个或多个角色。角色相当于令牌。拥有不同令牌流量会得到不同的处理。用户的角色可以由以下其中一项或多项决定：

    ● 用户名
    ● 用户所属的用户组
    ● 用户IP地址
    ● 用户所在安全域
    ● 用户接入方式
    ● 用户系统
    ● 用户系统的安全状况
    ● 用户其他角色的组合

    用户的角色确定了用户是谁（W h o ）, 用户在哪里（ W h e r e ），如何登录的（How）。用户角色和时间表（When）配合，对用户的行为（What）做出控制。

    1.3 基于角色的网络控制

    Hil stone设备支持基于角色的多种监控：

    ● 基于角色的访问控制：防火墙策略支持
    ● 基于角色的QoS：基于用户角色进行带宽分配
    ● 基于角色的连接数控制
    ● 基于角色的网络应用控制和内容扫描，包括防病毒和IPS
    ● 基于角色的上网行为控制

    拿基于角色的访问控制来举例, 在数据处理过程中，我们根据端口信息，安全域，VPN，IP报文头对角色列表进行查找，获得数据流的角色信息。我们利用角色查找数据流的控制策略。以防火墙为例，防火墙策略的匹配不再是IP五元组，而是包含角色的六元组。这个技术的特点是：

    ●支持一般防火墙策略和基于角色的策略的完全混合，和防火墙策略一样，依靠策略的自然排序确定优先级。
    ●和以往防火墙策略完全兼容，每一个策略的角色可以是“Any”，即匹配所有用户角色。角色是“Any”的策略退化成一般防火墙的策略。
    ● 以包含角色的六元组进行匹配，保持防火墙策略的第一匹配原则。
    ● 支持用户拥有多个角色，但角色无优先级，完全按照策略的自然优先级。
 
    一个公司的安全网关有防火墙和SSL  VPN的双重功能，当用户从公网上用SSL VPN接入时，系统给这些流量赋予一个角色-“SSL”，对于那些远程接入的工程师（Engineers），系统还赋予了另一个角色-“Engineer”。公司内网有两种PC：一类是工程师用的，地址组是Eng_IPs，另一类是其他人用的，地址组是Other_IPs。公司有三个服务器：电邮服务器（Email_Server），内部服务器（Intranet_Server），研发用服务器（Eng_Server）。

    策略列表里设置了这些策略：

    ● 远程接入用户不许访问内部服务器（Intranet_Server）
    ● 工程师不论远程接入的和内部访问的都可以访问研发用服务器（Eng_Server）
    ● 工程师在内网的PC可以访问内网所有服务器
    ●其他人不论远程接入的和内部访问的都可以看Email，访问电邮服务器

    4. 结论

    Hillstone设备支持下一代基于用户角色的网络监控。不仅可以根据用户的IP，而且可以根据用户在不同的地点，以不同的登录方式，可以进行差异化的细粒度控制。