文件共享访问控制网关技术白皮书.doc

文件共享访问控制网文件共享访问控制网 关关 技术白皮书技术白皮书 北京时代亿信科技有限公司北京时代亿信科技有限公司 目目 录录 1. 产品概述产品概述.1 2. 微软文件共享实现方式微软文件共享实现方式.2 2.1 windows本地账户策略式文件共享方式2 2.2 基于 windows域进行文件共享方式 2 3. 文件共享访问控制网关实现方式文件共享访问控制网关实现方式.3 3.1 产品如何实现访问控制.4 3.2 产品能够进行何种控制.5 3.3 产品如何进行访问控制.7 3.3.1 建立角色集中授权.7 3.3.2 细粒度权限分别授权.8 3.4 产品如何进行部署.8 3.4.1 旁路模式.8 3.4.2 网桥模式.9 3.5 产品如何对操作进行审计.10 4. 产品功能模块产品功能模块.11 4.1 web管理系统.11 4.2 用户认证模块.11 4.3 权限控制模块.12 4.4 文件共享访问控制模块.12 4.4.1 访问控制网关方式对共享文件进行访问控制.13 4.4.2 访问控制网关结合微软ad域进行文件共享访问控制14 4.5 日志审计模块.15 5. 产品资质产品资质.16 6. 成功案例成功案例.17 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 1 页 1. 产品概述 在日常的办公应用中，特别是需要多人协作的场景下，为了使用的方便和 提高工作效率，常常需要架设专门的文件服务器来满足工作的需要，所有的数 据资料都集中存储在这样的服务器中。随着企业的迅速发展，重要文件、研发 成果、项目资料等越来越多，对服务器上数据的安全性提出了更高的要求。原 有的管理和技术手段已无法做到对共享文件的有效保护，主要存在以下几方面 的问题： 1. 对文件共享服务器没有进行有效的身份认证，存在于网络中的用户，不 管是不是项目参与人都可访问服务器，对数据安全性造成了隐患； 2. 生产过程中使用的软硬件产品并没有针对使用者身份进行权限控制的功 能，极易造成研发成果被盗用、数据被恶意篡改等等，严重影响正常的生产； 3. 一旦发现数据资料被窃取，由于没有相关的日志文件供检索，无法追根 溯源找到事故责任人，导致企业管理者在处理此类事件时束手无策。 为了企业的健康发展，更好的维护自身权益，一方面要增强管理制度，加 强安全意识，保护知识产权；另一方面要借助优秀的第三方产品来达到对共享 主机的身份认证和访问控制。 时代亿信为帮助企业解决文件共享主机存在的安全风险，提供了良好的解决 方案，研发了“认证墙”系列之“uap访问控制应用安全平台产品文件共享 访问控制网关” 。该产品针对现有windows文件共享访问控制方法的不足，不仅 实现了访问控制的需求，同时还脱离了ntfs格式文件系统的依赖，并能够针对 用户进行灵活身份认证、细粒度授权和访问行为的审计需求。 该产品严格按照相关保密要求，做到了三权分离，分别是：系统管理员负 责自身系统的相关配置和用户日志的审计；安全管理员负责用户的增、删、改 操作及对用户身份认证方式的设置和访问授权；审计管理员负责对其他管理员 的日志审计。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 2 页 2. 微软文件共享实现方式 2.1 windows 本地账户策略式文件共享方式 在 windows 服务器上设置共享文件夹，文件系统类型必须为 ntfs 格式，针 对不同文件分别设置用户的权限。当用户访问时，输入 windows 本地账号，验 证通过后可以按照设定好的权限进行访问控制。 用户 文件共享服务器对 用户的访问进行本 地策略验证 用户使用本地帐户访 问“文件共享服务 器” 基于windows本地帐户进行文件访问控制 文件共享服务器 2.2 基于windows 域进行文件共享方式 依靠加入了 windows 域环境的主机，在服务器上设置共享文件夹，文件系 统类型必须为 ntfs 格式，针对不同文件分别设置域里不同用户的权限。当用户 访问时，输入域账号，验证通过后可以按照设定好的权限进行文件共享访问控 制。 文件共享服务器 administrator guest 基于windows域进行文件访问控制 域策略管理服务器 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 3 页 以上两种文件共享访问控制方法可以在较低成本下达到文件共享的访问控 制目的，但对于权限的更改没有任何日志可查，文件的共享访问记录也无法做 到全面审计，在安全形势日益严峻的环境下无法真正满足大多数企业的需要。 3. 文件共享访问控制网关实现方式 用户1 用户2 用户3 文件共享服务器 文件共享访问控制网关 如果一种安全产品可以满足集管理、安全、审计等要求于一体；对文件权 限的控制程度可靠，真正做到文件共享的访问控制。那么，必须解决以下三个 方面的问题： 1.实现对文件访问者身份的识别。摒弃 windows 操作系统账号结合太紧密， 不灵活的方式； 2.实现对文件访问者权限的控制，包括目录的访问范围，以及对特定子文 件的访问权限。杜绝 windows 操作系统过分依赖 ntfs 协议，授权繁琐的现象； 3.记录用户的访问行为日志，便于日后审计，做到有据可查，追根溯源。 3.1 产品如何实现访问控制 要实现通过文件共享访问控制网关对共享文件进行访问控制的技术，关键是 要实现cifs协议，使访问控制网关可以在用户与文件共享服务器之间交互。 cifs协议定义了许多客户端和服务器端的命令和消息。这些命令和消息大致 可分为如下几类： 1)建立连接消息：包括开始或结束客户端到服务器端共享资源的重定向连 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 4 页 接命令； 2)命名空间和文件处理消息：重定向器利用此消息获得对服务器上文件的 访问权限，并对其进行相关操作； 3)打印消息：重定向器利用此消息向服务器上的打印队列发送数据，并获 得打印队列的状态信息； 4) 其它消息：重定向器利用该消息向邮槽和命名管道写入相关信息。 访问控制网关需要同时利用客户端及服务器端消息与客户端及文件共享服 务器进行通信。 客户端报文 服务器端报文 cifs报文 用户 文件共享 访问控制网关 当访问控制网关和共享服务器通信时，其使用cifs协议客户端消息与共享 服务器通信。 客户端报文服务器端报文 cifs报文 文件共享服务器 文件共享 访问控制网关 当用户进行文件共享访问时，需要通过输入“访问控制网关ip地址”的 方式来进行。这时用户和访问控制网关执行如上图所示的交互流程，同时在报 文中包含身份认证的用户名、密码信息；当用户和访问控制网关之间完成协商 并建立连接后，访问控制网关列出所有的共享文件夹；此时，访问控制网关和 后端的文件共享服务器进行连接，流程同上图所示，当完成连接后，访问控制 网关也就分别和用户、文件共享服务器建立了连接。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 5 页 3.2 产品能够进行何种控制 在windows文件共享中，对共享文件和目录可以设定的权限有三种： 完全控制：完全控制：用户可以查看文件或文件夹内容，更改现有文件和文件夹，创 建新文件和文件夹以及在文件夹中运行程序； 读取：读取：用户可以查看文件夹中的文件内容； 修改：修改：用户可以更改现有文件和文件夹，但不能创建新文件和文件夹。 基于上述权限，我们在实践中进行了扩展，将共享文件及文件夹的访问权 限细化为：只读、读写、重命名、删除四种权限。 只读：只读：用户可以查看文件夹中文件内容； 读写：读写：用户可以更改现有文件和文件夹，但不能创建新文件和文件夹； 读写、重命名：读写、重命名：用户可以对文件或文件夹目录进行重命名操作； 读写、重命名、删除：读写、重命名、删除：允许用户删除对应的目录或文件。 当用户需要编辑某一文件时， “访问控制网关”判断当前登录用户是否对此 文件进行有读权限，若有，则从“共享服务器”获取此文件，并将此文件返回 给用户，用户对文件编辑后进行保存，此时“访问控制网关”收到用户保存文 件的请求，判断用户是否有写入权限，若有，则将文件提交给“共享服务器” 进行保存，若没有，则返回用户一个“拒绝”保存的请求结果。 当用户需要对目录或文件进行重命名操作时， “访问控制网关”会首先判断 用户是否有权对此目录或文件进行重命名权限，当需要进行重命名的对象是一 个目录时， “访问控制网关”会继续搜索此目录下的子目录，判断子目录中是否 有目录或文件为该用户无权访问的，若有，会返回用户一个“拒绝”请求应答 结果，若此目录及其子目录都为该用户可读写、重命名的，则将重命名请求提 交给“共享服务器” ，完成重命名操作。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 6 页 当用户需要对目录或文件进行删除操作时， “访问控制网关”会首先判断用 户是否具有对此目录或文件进行删除操作的权限，当需要进行删除的对象是一 个目录时， “访问控制网关”会继续搜索此目录下的子目录，判断子目录中是否 有目录或文件为该用户无权访问的，若有，会返回用户一个“拒绝”请求应答 结果，若此目录及其子目录该用户都具有可删除权限，则将删除请求提交给 “共享服务器” ，完成删除操作。 3.3 产品如何进行访问控制 文件共享访问控制网关实现文件共享访问控制流程 用户文件共享访问控制网关文件共享服务器 用户呈现 数据封装及日 志记录 代理用户访 问 用户发起请求用户认证 用户登录文件共享 访问控制网关 验证用户登录信息 用户发起共享文件访 问请求 判断该用户是否被授权 访问此文件 代理用户访问共享 文件 封装返回结果，并记 录用户访问情况 继续对文件进行操作返回用户请求结果 用户有权访问 用户无权访问 记录访问日志 访问控制流程图 3.3.1 建立角色集中授权 相比传统方式，使用协议代理包过滤访问控制网关方式进行文件共享访问 控制产品后，管理员无需分别登陆每一台本地文件共享服务器，并进入各级目 录分别为用户设定权限，减少了管理员的维护成本。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 7 页 同时，当用户在代理服务器上经过身份认证后，便可通过代理服务器代理 访问后面的文件共享服务器，并且通过一次认证后，用户在访问其他文件共享 服务器时，不会再次要求进行身份认证。减少了用户在访问不同文件共享服务 器时需要多次登录的情况发生。 管理员在控制网关上为共享服务器设置访问权限，并且管理员可以在控制 网关上以目录的形式获取到“文件共享服务器”上所有的共享目录或文件，辅 以细粒度的操作权限直接在控制网关进行授权。 3.3.2 细粒度权限分别授权 文件共享控制访问网关将共享文件的访问权限存储于自身数据库中。管理 员可依据为用户设定的特定角色对共享目录或文件进行授权，权限包括只读、 读写、重命名和删除，达到对共享文件的访问控制目的，通过此方式也杜绝了 用户通过其他手段或路径进行跨权限访问的请求。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 8 页 3.4 产品如何进行部署 3.4.1 旁路模式 在结合微软 ad 域进行文件访问控制时，产品的部署非常简单，可以使用 透明网桥或旁路的方式进行部署。 文 件 共 享 服 务 主 机 服 务 其 他 服 务 用 户 访 问 访问 控制 策略 设定 文件共享 访问控制网关 旁路模式网络部署图 3.4.2 网桥模式 在使用此方式进行文件共享访问控制时，需要采用包过滤的技术机制对用 户访问的行为进行审计，所以，必须采用透明网桥的部署模式。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 9 页 客户端文件共享服务器 透明网桥模式 部署 文件共享 访问控制网关 网桥模式网络部署图 3.5 产品如何对操作进行审计 通过文件共享访问控制网关过滤用户与共享服务器之间的数据包，并对数 据包进行相应的技术封装，将请求应答结果记入日志。根据日志级别的不同， 系统将记录用户在什么时间以什么地址访问了哪个共享目录或文件等相关信息， 并记录用户对文件进行了何种操作，如：新建文件文件夹、读、写、重命名、 删除及其结果。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 10 页 4. 产品功能模块 web管理平台 用户认证模块权限控制模块 文件共享访问控制模块 日志审计模块 4.1 web 管理系统 主要面向用户认证和管理员管理提供呈现服务。独立的三权分离管理机制， 实现管理员之间模块菜单的定向操作。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 11 页 4.2 用户认证模块 据用户选择的认证方式，对登录用户的身份进行认证，通过认证的用户将 被发送给权限控制模块进行授权。支持智能卡认证、一次性口令认证、用户名 口令认证、radius 认证、动态令牌认证、短信认证、ldap、windows ad 域的认 证方式。 4.3 权限控制模块 对经过认证的用户进行授权，经过授权的用户方可通过文件共享访问控制 网关进行共享文件的访问。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 12 页 4.4 文件共享访问控制模块 负责处理用户发出的文件共享访问请求，使经过授权的用户可以通过此模 块进行共享文件的访问。支持 windows ad 域进行文件访问控制和协议代理包 过滤网关方式对共享文件进行权限访问控制，来满足不同应用环境的需求。该 模块不仅为用户提供了更多地技术选择，更为用户提供使用习惯上的不同体验。 4.4.1 访问控制网关方式对共享文件进行访问控制 采用协议分析过滤网络数据包的方法实现共享文件的访问控制，产品部署 在共享主机前面，以监管者的身份监听用户访问共享文件的整个会话过程，一 旦发现用户有越权访问行为，即会在网络层阻止用户对目标主机的访问，同时 用户端将会提示“无权访问”消息。 uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 13 页 文件共享访问控制网关授权操作图 上图为文件共享授权的页面截图，用户在页面中选择需要授权的目录或文 件，并在右侧可直接对用户进行授权。 4.4.1.1. 特点特点 基于数据包抓取的文件共享访问控制网关，需要在部署时，将产品部署到 用户与文件共享服务器之间，当用户通过产品代理服务器访问文件共享服务器 时，管理系统将根据用户的登录信息以及所访问路径进行权限分析、日志记录 等访问控制操作。其主要特点如下： 方便的用户授权：方便的用户授权：系统可以获取指定主机的共享文件目录及文件，管理员 可以通过后台管理系统直接查看到需要授权的共享目录和文件，并直接对该目 录和文件进行授权； 更可靠地安全保障：更可靠地安全保障：产品在网桥部署模式下，用户本身不能访问到文件共 享服务器，必须在通过代理服务器认证后，通过代理才能进行文件共享访问， 在这种情况下，可以最大限度的保证共享文件的授权不会被以任何形式进行暴 力破解和修改，从而为共享文件提供更安全的授权访问控制； 更独立的存在：更独立的存在：此种文件共享访问控制方式本身不依赖 windows 域； uap 访问控制应用安全平台文件共享访问控制网关产品技术白皮书 第 14 页 详尽的日志记录：详尽的日志记录：用户通过代理文件共享服务器访问共享文件时，系统将 记录“谁在什么时候以什么 ip 地址访问了哪个共享目录或文件”等相关信息， 并记录这个用户对文件进行了何种操作，如：新建文件文件夹、读、写、重命 名、删除。 4.4.2 访问控制网关结合微软 ad 域进行文件共享访问控制 通过管理功能的集成，提升了基于微软 ad 域文件访问控制方式的易用性。 产品支持对多个 windows 域、多台共享主机进行授权管理，而产品本身并不存 储权限策略，而是将权限同步到文件共享主机，当用户访问共享时由文件共享 主机自己验证权限。 针对 windows 域进行文件访问控制方式不易进行安全审计的问题，产品提 供了插件功能进行域共享的权限控制，并对共享文件的授权管理，用户访问等 日志进行了记录，为必要时进行日志审计提供了依据。 结合 ad 域授权操作图 此种方式结合 ad 域进行文件访问控制，在授权方式上也近似于 windows 主机上对共享文件进行授权，其授权类型也与 windows 文件授权相同，包括