目录
Ⅰ 安全域网关(SDG)原理介绍
安全域网关设备角色
安全域网关(Security Domain Gateway,SDG)功能是对不同安全区域之间进行逻辑隔离。它通过控制终端用户在同一时刻只能访问特定的安全区域,从而防止用户在访问不安全区域的同时,将病毒扩散到其他受保护的区域;或者在访问受保护区域的同时,将重要信息泄漏到不安全区域。
一般由2个基本角色组成:终端用户(已安装浏览器)、安全域网关设备 (RSR路由器)。部署时多与 WEB认证、 Rlog实名日志功能一起配合使用,涉及关键设备有:WEB认证设备 (一般为RSR路由器)、Radius设备 (SMP)、Rlog设备 (elog 2.X)。
终端用户:一般为安装有浏览器的PC主机
安 全域网关设备:RSR20-X系列、RSR30-X系列、RSR77-X系列。其中分布式部署推荐RSR20X和RSR30X系列,集中式部署推荐RSR77-X系列。
WEB认证设备:一般为与安全域网关设备同一台,即该设备既做安全网关有做WEB认证设备。
Radius设备:为SMP设备,支持与RSR20X/30X/77X联动实现WEB认证,并与RLOG联动实现实名日志。
Rlog设备:为Elog V2.X版本,支持与RSR20X/30X/77X联动实现记录NAT日志、流日志和URL日志,与SMP联动后可实现对三种日志的实名记录(有WEB认证账号信息的日志)。
Radius设备:为SMP设备,支持与RSR20X/30X/77X联动实现WEB认证,并与RLOG联动实现实名日志。
Rlog设备:为Elog V2.X版本,支持与RSR20X/30X/77X联动实现记录NAT日志、流日志和URL日志,与SMP联动后可实现对三种日志的实名记录(有WEB认证账号信息的日志)。
软件版本推荐
RSR20-X-28:RGOS 10.4(3b84),Release(217163)及其之后的版本,目录:RTR---路由器--RSR20-X-28
RSR20-X-52:RGOS 10.4(3b89),Release(217079) 及其之后的版本,目录:RTR---路由器--RSR20-X-52
RSR30-X-SPU10:RGOS 10.4(3b90), Release(217505)及其之后的版本,目录:RTR---路由器--RSR30-X-SPU10
RSR30-X-SPU10 V1.5:RGOS 10.4(3b90), Release(217505) 及其之后的版本,目录:RTR---路由器--RSR30-X-SPU10 V1.5
RSR77-X系列:RGOS 10.4 (3b56)p2T1,Release(217960),目录:RTR---路由器--RSR7708-X/RSR7716-X--临时版本
SMP:2.68p3
Elog:elog v2.X最新版本
流量处理流程
原理介绍
安全域网关
ELOG实名原理
WEB认证原理 (本案例中portal server和radius server在SMP上实现、NAS设备为RSR路由器)
补充说明
1、分布式部署,即安全域网关设备下沉到各个委办/办公室的出口处各自控制隔离;
集中式部署,即安全域网关设备上收到大部门出口位置向各个委办或办公室提供集中隔离。
Ⅱ 安全域网关(SDG)常见问题
1、域隔离ACL中为什么要放通所有用户的DNS报文 和 访问SMP的流量
所有数据会先受WEB认证功能拦截,WEB认证通过后再受SDG功能拦截,两次拦截都是独立,互不干扰。因此在WEB认证中放通了某些流量,也要在SDG中放通。要完成WEB认证就需要DNS流量、WEB portal流量正常交换(WEB认证中默认放通这些流量),所以需要在SDG中放通。
2、客户端WEB认证时出现“认证失败,认证设备不存在”,如何处理?
问题:设备发送给SMP的报文地址与SMP上添加设备的地址不符,SMP无法找到认证设备
解决方法:确保路由器radius、portal报文的NAS ip、报文源地址 与SMP上添加设备的地址保持一致。
命令:
指定radius报文地址:ip radius source-interface/radius-server host X.X.X.X src-ip X.X.X.X
指定portal报文地址:web-auth nas-ip
3、在SMP上踢用户下线失败,只能通过清理残留信息才提示踢成功,但是在路由器上还有在线信息。
问题在于SMP发送给路由器的踢下线信息没有得到响应导致的,如果是配置问题的话一般通过下列方法可以解决:
>确认SMP上添加路由器时选择的是 ”锐捷无线认证设备“
>确认路由器是否正确设置nas ip,命令:
RSR77X:radius-server attribute 4 192.168.3.2
RSR20X/30X:radius-server attribute framed-ip-addr always-send
4、Elog服务器上无法看到日志信息
该问题有3种可能性,问题和解决方法如下:
Ruijie# show rlog
mtu 1500
server-ipv4 172.17.205.200 port 9999
rlog export-rate: 1200
rlog url pk: 1063
rlog queue remain: 16384
send log count: 2081 ---->发包数量
error count: 0
……
5、终端无法弹出域选择切换页面,故障页面如下:
解决:路由器上开启WEB管理功能,命令enable service web-server分析:SDG页面是路由器向终端提供,因此路由器需要开启WEB管理功能(开启WEB服务端口)
6、在Elog上添加了认证服务器,但是连通状态上显示“不可连通”,现象如下:
分析:未收到认证服务器发过来的用户上线信息时会显示为“不可连通”,待有新用户上线且认证服务器发送了上下线信息后即可显示为“可连通”。
7、终端连接在AP的有线接口(比如WALL-AP)接入网络进行WEB认证时,出现认证失败,现象如下:
分析:SMP认为终端是使用无线连接网络,而该用户在SMP上未允许无线方式接入网络导致。
解决方法:为该账号开启“允许使用无线接入”
本文含有隐藏内容,请 开通VIP 后查看