猿创征文｜HCIE-Security Day49：AC准入控制SACG

 

概念 

安全访问控制网关。

是AC和防火墙配合实现的用户准入控制。

只能针对用户通过有线网络接入，不能针对无线，不能针对哑终端。不改变网络拓扑。

可以认为是有线802.1x的升级版。

分为硬件SACG:使用NGFW旁挂；软件SACG已经被淘汰。

本质是通过防火墙上的从ac获取的ACL来控制用户的权限。

SACG包括三个实体：客户端、设备端（SACG)和认证服务器。

一个终端设备接入后，通过SACG向controller服务器发起认证请求，认证通过后，controller服务器将该终端设备的IP地址以及对应的角色信息发给SACG.

目的

随着网络的发展与防火墙设备的普及，企业的网络安全威胁的主要来源正逐渐从外网转移到内网。主要有：

• 非法终端和非授权终端对业务系统的访问，主要包括以下几种情况：
  • 非自有的终端设备接入企业内网
  • 不合法人员利用企业设备接入企业内网
  • 合法人员越权访问网络资源
• 终端不安全导致病毒的扩散
• 终端数量大、系统复杂、员工的违规行为得不到监控

SACG联动方案的提出主要就是为了解决内网终端用户带来的安全隐患。FW可以在SACG联动方案中承担SACG的角色，主要起到不同区域之间的隔离，以及对终端用户访问权限进行实际控制的作用。

原理

受控域与fw上的acl的对应关系，每一个受控域对应fw上的两个acl，奇数号acl对应deny规则，偶数号acl对应permit规则。

通过在SACG上配置AC联动功能，将SACG上的acl3099-3999作为接纳controller下发控制策略的容器，这901条acl分别对应ID号为0-900的901种角色，每种角色对应controller系统中的一个受控域。其中acl3099对应角色0，是所有接入用户的缺省角色，可以用来允许未经认证的用户访问认证前域。剩余的ACL3100-3999对应角色1-900号角色，这些角色是由AC下发的普通角色。

• 一个终端设备接入后，通过SACG向Agile Controller发起认证请求，认证通过后，Agile Controller将该终端设备的IP地址以及对应的角色信息发给SACG。
• SACG根据Agile Controller下发的各条ACL中的信息，建立一个源IP监控表，记录IP地址、角色、角色的权限以及可访问的资源等信息的对应关系。

SACG收到一个来自终端设备的报文后，在进行域间包过滤时，按如图1所示流程进行处理：

图1 SACG下的策略查找流程

 

SACG认证流程

SACG联动的主要工作流程是：

根据所在域判断他的授权。对应acl允许他访问什么，才可以访问什么。认证是判断你是谁，而授权是决定你能干什么。

1. SACG向Agile Controller-Campus请求同步认证前域的规则、隔离域的规则和认证后域的规则，把规则转换为ACL。管理员配置完交换机、防火墙的接口，防火墙安全策略后，防火墙定期（每10分钟）主动向Agile Controller-Campus发起连接请求，因此在配置防火墙时需要允许Local安全区域（防火墙自身）访问Agile Controller-Campus所在的安全区域。
2. 连接成功后Agile Controller-Campus向防火墙下发配置的认证前域、隔离域和认证后域的规则。
3. 终端用户在EasyAccess或其他客户端输入帐号密码发起身份认证请求。若终端用户未安装EasyAccess则向终端用户推送在防火墙上配置的URL链接（Web或Web Agent），方便终端用户通过Web页面进行身份认证。
4. Agile Controller-Campus返回认证结果，如果认证失败，那么终端用户只能访问认证前域的资源。
5. 终端用户身份认证成功后，向Agile Controller-Campus发起安全认证请求。终端用户通过EasyAccess从业务