准入控制 SACG 终端安全管理

更新日志

2020年10月31日 完成主体结构施工

工作原理

是一种(华为私有)的准入控制技术，使用防火墙作为接入设备，对用户接入网络进行身份认证和安全检查。适合中大型网络，环境复杂，配置复杂，对网络安全要求适中的场景。

SACG本质上是通过防火墙上的ACL来起到控制作用的。在工作时防火墙和AC控制器(TSM服务器)联动，AC控制器(TSM服务器)上配置域资源等。

域

• 前域：通常为AC，是设备在完成认证前可访问的区域，通常放行DNS、DHCP等服务，对终端设备和用户进行认证授权、策略管理、补丁下发等。SACG中大部分都部署在这个区域中

• 隔离域：通常指向补丁服务器。当终端设备未通过授权时访问的区域。通常通过在此区域部署病毒服务器、补丁服务器帮助用户、终端设备消除安全隐患。

• 后域：通常是业务系统。AC将角色资源统一下发到防火墙上，后续用户进行认证时,AC根据用户绑定的角色资源(ACL)下发到FW上，FW根据ACL控制用户。

部署形式

部署模式

一次标准SACG流程

1. FW向AC请求同步域规则，将规则转换为ACL。管理员配置完交换机、防火墙接口、安全策略后，防火墙定制(10mins/次)

支持：

• 支持身份认证和安全检查，可以根据安全检查结果规划隔离域和认证后域。

• 安全性相对于802.1X低，只能用于有线接入，一般用于大中型企业。

• 支持逃生通道，支持客户端类型有Web、AnyOffice、Web Agent。

• 通常要求部署NAC客户端

不支持：

• SACG不支持对哑铃终端实施控制，该方案不适用于终端区域使用IP Phone的场景。（只支持AnyOffice，web认证）

• 如果网络中实施了IP电话，则需要把SACG部署在数据中心前，避免因为SACG隔离了IP Phone的流量。

• SACG设备不支持MPLS VPN网络。

• SACG设备不支持侧挂在PE/P节点

逃生通道：

开启时对用户放开所有权限，服务器状态检测和第三方服务器状态检查的结果都会影响逃生通道是否开启

• 通过服务器状态检测功能检测当前设备连接上的TSM服务器数量，并与最小活跃服务器个数比较，如小于，则开启

• 第三方服务器健康检查检测到健康检查状态为DOWN时，设备就会开启逃生通道

两个检查只要有一个异常，逃生通道就会开启

配置方法

right-manager status-detect enable
Right-manager server-group active-minimun [server-number]配置TSM服务器最小数量，默认为1
第三方服务器认证检查：healthcheck [healthcheck-name]

启用逃生通道后中单设备与认证前域和终端设备与认证后域两个域间都应用ACL3099

硬件SACG时，如果做了安全检查，交互流程如下：