收藏
下载资源

文件共享访问控制网关技术白皮书

上传人:博****1 文档编号:486220339 上传时间:2024-01-13 格式:DOC 页数:19 大小:7.41MB
返回 下载 相关 举报
文件共享访问控制网关技术白皮书_第1页
第1页 / 共19页
文件共享访问控制网关技术白皮书_第2页
第2页 / 共19页
文件共享访问控制网关技术白皮书_第3页
第3页 / 共19页
文件共享访问控制网关技术白皮书_第4页
第4页 / 共19页
文件共享访问控制网关技术白皮书_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《文件共享访问控制网关技术白皮书》由会员分享,可在线阅读,更多相关《文件共享访问控制网关技术白皮书(19页珍藏版)》请在金锄头文库上搜索。

1、 文件共享访问控制网关技术白皮书北京时代亿信科技有限公司目 录1. 产品概述12. 微软文件共享实现方式22.1 Windows本地账户策略式文件共享方式22.2 基于Windows域进行文件共享方式23. 文件共享访问控制网关实现方式33.1 产品如何实现访问控制43.2 产品能够进行何种控制53.3 产品如何进行访问控制73.3.1 建立角色集中授权73.3.2 细粒度权限分别授权83.4 产品如何进行部署83.4.1 旁路模式83.4.2 网桥模式93.5 产品如何对操作进行审计104. 产品功能模块114.1 Web管理系统114.2 用户认证模块114.3 权限控制模块124.4 文

2、件共享访问控制模块124.4.1 访问控制网关方式对共享文件进行访问控制134.4.2 访问控制网关结合微软AD域进行文件共享访问控制144.5 日志审计模块155. 产品资质166. 成功案例17UAP访问控制应用安全平台文件共享访问控制网关产品技术白皮书1. 产品概述在日常的办公应用中,特别是需要多人协作的场景下,为了使用的方便和提高工作效率,常常需要架设专门的文件服务器来满足工作的需要,所有的数据资料都集中存储在这样的服务器中。随着企业的迅速发展,重要文件、研发成果、项目资料等越来越多,对服务器上数据的安全性提出了更高的要求。原有的管理和技术手段已无法做到对共享文件的有效保护,主要存在以

3、下几方面的问题:1. 对文件共享服务器没有进行有效的身份认证,存在于网络中的用户,不管是不是项目参与人都可访问服务器,对数据安全性造成了隐患;2. 生产过程中使用的软硬件产品并没有针对使用者身份进行权限控制的功能,极易造成研发成果被盗用、数据被恶意篡改等等,严重影响正常的生产;3. 一旦发现数据资料被窃取,由于没有相关的日志文件供检索,无法追根溯源找到事故责任人,导致企业管理者在处理此类事件时束手无策。为了企业的健康发展,更好的维护自身权益,一方面要增强管理制度,加强安全意识,保护知识产权;另一方面要借助优秀的第三方产品来达到对共享主机的身份认证和访问控制。时代亿信为帮助企业解决文件共享主机存

4、在的安全风险,提供了良好的解决方案,研发了“认证墙”系列之“UAP访问控制应用安全平台产品文件共享访问控制网关”。该产品针对现有Windows文件共享访问控制方法的不足,不仅实现了访问控制的需求,同时还脱离了NTFS格式文件系统的依赖,并能够针对用户进行灵活身份认证、细粒度授权和访问行为的审计需求。该产品严格按照相关保密要求,做到了三权分离,分别是:系统管理员负责自身系统的相关配置和用户日志的审计;安全管理员负责用户的增、删、改操作及对用户身份认证方式的设置和访问授权;审计管理员负责对其他管理员的日志审计。2. 微软文件共享实现方式2.1 Windows本地账户策略式文件共享方式在Window

5、s服务器上设置共享文件夹,文件系统类型必须为NTFS格式,针对不同文件分别设置用户的权限。当用户访问时,输入Windows本地账号,验证通过后可以按照设定好的权限进行访问控制。2.2 基于Windows域进行文件共享方式依靠加入了Windows域环境的主机,在服务器上设置共享文件夹,文件系统类型必须为NTFS格式,针对不同文件分别设置域里不同用户的权限。当用户访问时,输入域账号,验证通过后可以按照设定好的权限进行文件共享访问控制。以上两种文件共享访问控制方法可以在较低成本下达到文件共享的访问控制目的,但对于权限的更改没有任何日志可查,文件的共享访问记录也无法做到全面审计,在安全形势日益严峻的环

6、境下无法真正满足大多数企业的需要。3. 文件共享访问控制网关实现方式如果一种安全产品可以满足集管理、安全、审计等要求于一体;对文件权限的控制程度可靠,真正做到文件共享的访问控制。那么,必须解决以下三个方面的问题:1. 实现对文件访问者身份的识别。摒弃Windows操作系统账号结合太紧密,不灵活的方式;2. 实现对文件访问者权限的控制,包括目录的访问范围,以及对特定子文件的访问权限。杜绝Windows操作系统过分依赖NTFS协议,授权繁琐的现象;3. 记录用户的访问行为日志,便于日后审计,做到有据可查,追根溯源。3.1 产品如何实现访问控制要实现通过文件共享访问控制网关对共享文件进行访问控制的技

7、术,关键是要实现CIFS协议,使访问控制网关可以在用户与文件共享服务器之间交互。CIFS协议定义了许多客户端和服务器端的命令和消息。这些命令和消息大致可分为如下几类:1) 建立连接消息:包括开始或结束客户端到服务器端共享资源的重定向连接命令; 2) 命名空间和文件处理消息:重定向器利用此消息获得对服务器上文件的访问权限,并对其进行相关操作; 3) 打印消息:重定向器利用此消息向服务器上的打印队列发送数据,并获得打印队列的状态信息;4) 其它消息:重定向器利用该消息向邮槽和命名管道写入相关信息。访问控制网关需要同时利用客户端及服务器端消息与客户端及文件共享服务器进行通信。当访问控制网关和共享服务

8、器通信时,其使用CIFS协议客户端消息与共享服务器通信。当用户进行文件共享访问时,需要通过输入“访问控制网关IP地址”的方式来进行。这时用户和访问控制网关执行如上图所示的交互流程,同时在报文中包含身份认证的用户名、密码信息;当用户和访问控制网关之间完成协商并建立连接后,访问控制网关列出所有的共享文件夹;此时,访问控制网关和后端的文件共享服务器进行连接,流程同上图所示,当完成连接后,访问控制网关也就分别和用户、文件共享服务器建立了连接。3.2 产品能够进行何种控制在Windows文件共享中,对共享文件和目录可以设定的权限有三种:完全控制:用户可以查看文件或文件夹内容,更改现有文件和文件夹,创建新

9、文件和文件夹以及在文件夹中运行程序;读取:用户可以查看文件夹中的文件内容; 修改:用户可以更改现有文件和文件夹,但不能创建新文件和文件夹。基于上述权限,我们在实践中进行了扩展,将共享文件及文件夹的访问权限细化为:只读、读写、重命名、删除四种权限。只读:用户可以查看文件夹中文件内容;读写:用户可以更改现有文件和文件夹,但不能创建新文件和文件夹;读写、重命名:用户可以对文件或文件夹目录进行重命名操作;读写、重命名、删除:允许用户删除对应的目录或文件。当用户需要编辑某一文件时,“访问控制网关”判断当前登录用户是否对此文件进行有读权限,若有,则从“共享服务器”获取此文件,并将此文件返回给用户,用户对文

10、件编辑后进行保存,此时“访问控制网关”收到用户保存文件的请求,判断用户是否有写入权限,若有,则将文件提交给“共享服务器”进行保存,若没有,则返回用户一个“拒绝”保存的请求结果。当用户需要对目录或文件进行重命名操作时,“访问控制网关”会首先判断用户是否有权对此目录或文件进行重命名权限,当需要进行重命名的对象是一个目录时,“访问控制网关”会继续搜索此目录下的子目录,判断子目录中是否有目录或文件为该用户无权访问的,若有,会返回用户一个“拒绝”请求应答结果,若此目录及其子目录都为该用户可读写、重命名的,则将重命名请求提交给“共享服务器”,完成重命名操作。当用户需要对目录或文件进行删除操作时,“访问控制

11、网关”会首先判断用户是否具有对此目录或文件进行删除操作的权限,当需要进行删除的对象是一个目录时,“访问控制网关”会继续搜索此目录下的子目录,判断子目录中是否有目录或文件为该用户无权访问的,若有,会返回用户一个“拒绝”请求应答结果,若此目录及其子目录该用户都具有可删除权限,则将删除请求提交给“共享服务器”,完成删除操作。3.3 产品如何进行访问控制访问控制流程图3.3.1 建立角色集中授权相比传统方式,使用协议代理包过滤访问控制网关方式进行文件共享访问控制产品后,管理员无需分别登陆每一台本地文件共享服务器,并进入各级目录分别为用户设定权限,减少了管理员的维护成本。同时,当用户在代理服务器上经过身

12、份认证后,便可通过代理服务器代理访问后面的文件共享服务器,并且通过一次认证后,用户在访问其他文件共享服务器时,不会再次要求进行身份认证。减少了用户在访问不同文件共享服务器时需要多次登录的情况发生。管理员在控制网关上为共享服务器设置访问权限,并且管理员可以在控制网关上以目录的形式获取到“文件共享服务器”上所有的共享目录或文件,辅以细粒度的操作权限直接在控制网关进行授权。3.3.2 细粒度权限分别授权文件共享控制访问网关将共享文件的访问权限存储于自身数据库中。管理员可依据为用户设定的特定角色对共享目录或文件进行授权,权限包括只读、读写、重命名和删除,达到对共享文件的访问控制目的,通过此方式也杜绝了

13、用户通过其他手段或路径进行跨权限访问的请求。3.4 产品如何进行部署3.4.1 旁路模式在结合微软AD域进行文件访问控制时,产品的部署非常简单,可以使用透明网桥或旁路的方式进行部署。旁路模式网络部署图3.4.2 网桥模式在使用此方式进行文件共享访问控制时,需要采用包过滤的技术机制对用户访问的行为进行审计,所以,必须采用透明网桥的部署模式。网桥模式网络部署图3.5 产品如何对操作进行审计通过文件共享访问控制网关过滤用户与共享服务器之间的数据包,并对数据包进行相应的技术封装,将请求应答结果记入日志。根据日志级别的不同,系统将记录用户在什么时间以什么地址访问了哪个共享目录或文件等相关信息,并记录用户

14、对文件进行了何种操作,如:新建文件文件夹、读、写、重命名、删除及其结果。4. 产品功能模块 4.1 Web管理系统主要面向用户认证和管理员管理提供呈现服务。独立的三权分离管理机制,实现管理员之间模块菜单的定向操作。4.2 用户认证模块据用户选择的认证方式,对登录用户的身份进行认证,通过认证的用户将被发送给权限控制模块进行授权。支持智能卡认证、一次性口令认证、用户名口令认证、RADIUS认证、动态令牌认证、短信认证、LDAP、Windows AD域的认证方式。4.3 权限控制模块对经过认证的用户进行授权,经过授权的用户方可通过文件共享访问控制网关进行共享文件的访问。4.4 文件共享访问控制模块负

15、责处理用户发出的文件共享访问请求,使经过授权的用户可以通过此模块进行共享文件的访问。支持Windows AD域进行文件访问控制和协议代理包过滤网关方式对共享文件进行权限访问控制,来满足不同应用环境的需求。该模块不仅为用户提供了更多地技术选择,更为用户提供使用习惯上的不同体验。4.4.1 访问控制网关方式对共享文件进行访问控制采用协议分析过滤网络数据包的方法实现共享文件的访问控制,产品部署在共享主机前面,以监管者的身份监听用户访问共享文件的整个会话过程,一旦发现用户有越权访问行为,即会在网络层阻止用户对目标主机的访问,同时用户端将会提示“无权访问”消息。文件共享访问控制网关授权操作图上图为文件共享授权的页面截图,用户在页面中选择需要授权的目录或文件,并在右侧可直接对用户进行授权。4.4.1.1. 特点基于数据包抓取的文件共享访问控制网关,需要在部署时,将产品部署到用户与文件共享服务器之间,当用户通过产品代理服务器访问文件共享服务器时,管理系统将根据用户的登录信息以及所访问路径进行权限分析、日志记录等访问控制操作。其主要特点如下:方便的用户授权:系统可以获取

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号