是一把双刃剑。一方面其信息非常的丰富,能够对的工作带来很大的帮助。另一方面,、娱乐网站、游戏等等也在危害着企业,让员工工作效率低下、做一天和尚打一天钟等等。网络管理员要在这两方面均衡,比较难。或者说,我们处于企业管理者与员工之间的夹心层,要综合来自各方面的意见,具有一定的难度。笔者在这里,想给大家介绍一下,如何通过Forefront安全的Web访问身份验证机制来控制员工的上网行为,扬长避短,让互联网提升企业的市场竞争力。
一、Forefront安全网关作为企业的边缘服务器
如上图所示,是Forefront安全网关在企业网络中的典型配置。这个配置的特点是Forefront作为,将企业的内往与互联网进行隔离,以提到保护企业内部网络的目的。在这种情况下,互联网与企业内部网络之间的都需要通过ForefrontTMG来进行转发。为了更好的控制企业的上网行为,我们能否在这里想一些点子呢?
为了满足企业用户的这种需求,Web访问身份验证规划也应运而生了。简单的说,这种安全机制可以限制用户访问互联网的行为。或者说,只有授权的用户才能够访问互联网。当用户提出互联网的连接请求之时、允许内部用户访问互联网之前,ForefrontTMG可以要求对内容用户进行身份验证。如内部用户只有输入合法的用户名与密码后,才能够访问互两网。如此的话,就可以保证只有合法的、授权的用户才能够访问互联网。
在实际工作中,我们可能只允许销售、、财务等部门或者部分人员可以访问互联网。那么就可以给这些用户分配合适的身份。他们需要访问互联网时,提供合法的身份凭证之后,就可以访问互联网。这跟其他基于地址等控制手段相比,具有比较大的灵活性。如有客户到企业来拜访,他们需要使用自带的电脑上互联网。此时不需要更改防火墙等配置,而只需要给他们一个账户名与密码即可。通常情况下,在部署这种时,可以预先建立一个Guest类型的账户。限制他们可以访问互联网,同时可以访问企业内部网络中的某些资源,如打印机等等。但是无法访问企业的文件等可能含有机密信息的服务器。那么当有合作伙伴来企业时,只需要给他们Guest账户与密码即可。即灵活,安全性又高。
可见,Web访问身份验证机制在企业中使用的还是比较多的。在下面的内容中,笔者将详细介绍一下其具体的实现方法以及需要注意的相关事项。以帮助大家从整体层面对ForefrontTMG的访问身份验证机制有一个全面的了解。
二、两种实现方式以及注意事项解析
在ForefrontTMG中,如果要实现访问身份验证机制,基本上有两种实现的途径。分别为“对每个Web会话都要进行身份验证”和“要求用户针对特定规则”进行身份验证。在实际工作中,笔者认为网络安全人员需要了解这两种实现手段的差异。因为很可能各位需要根据自己企业的实际情况来选择一种实现方式。这两种实现方式在效果上还是有很大差异的,这就决定了其有不同的应用范围。
简单的说,“对每个Web会话都要进行身份验证”这种方法,是一个比较绝对的限制规则。这个规则要求用户在请求Web访问时进行身份验证。换句话说,只要是互联网上的资源,那么用户进行访问时,必须要提供合法的用户名与密码后,才能够正常访问。可见,这种访问规则可能不适合所有的企业。如有些企业有自己公司的网站与邮箱系统。不过可能租用的是互联网上的服务器或者说自己的服务器让服务商进行托管。总之此时这些资源并不是在企业的内部,而是在互联网上。现在的问题时,如果采用这种规则的话,即使访问这些资源,也必须要提供合法的身份凭证才可以。这显然有点不合情理。像生产等部门的用户,即使他们没有权限访问互联网,但是他们也可以访问企业自己的网站或者邮箱系统。如果访问这些信息的话,也需要他们输入用户名与密码的话,显然不合情理。一方面管理员的工作量会很大,另一方面用户在使用的过程中也会非常的不方便。所以这种方案,一般只有在特定的场合中才使用。如在无论任何情况下都不允许大部分用户访问互联网的资源等等。
在使用这种方案的时候,需要注意如下内容
一是需要禁用匿名的Web访问。因为匿名的Web访问规则与要求每个Web会话都进行身份验证的规则是相互冲突的。如果允许用户进行匿名Web访问的话,那么这个控制规则就会实效。默认情况下,系统是允许匿名的Web访问的。为此在配制时,需要将这个选项禁用掉。不少刚接触这个安全产品的人员,经常会在这里载跟头。
二是需要确保身份验证体制的正确。ForefrontTMG在根据防火墙策略检查请求前会请求用户凭据并对其进行身份验证。这里需要注意的是,有些企业出于安全或者性能方面的考虑,会用一台专业的服务器来负责身份验证的工作。此时就需要确保这台身份验证服务器与Forefront服务器之间连接正常。否则的话,会导致用户无法完成身份验证的工作,而被Forefront拒绝互联网连接的请求。
三是某些特定的客户端可能无法使用这个规则。这些客户端主要指的是无法进行身份验证的客户端。为此一些非交互式客户端,他们无法自主完成身份验证的工作。所以即使他们拥有合法的身份,也无法正常连接无联网。特别是WindowsUpdate客户端。如果对于这些客户端采取了这种策略,那么就需要注意,会导致他们更新失败。
三、要求用户针对特定规则进行身份验证
要求用户针对特定最早进行身份验证,这种机制限制的就不是很死。简单的说,这种机制就是将互联网上的资源分类两类。一类是允许用户访问的,如部署在互联网上的自己公司的网站或者邮箱系统,企业内部任何用户都可以直接的、不受限制的访问,而不需要在连接时输入用户凭证与密码。另外一类资源是受到限制的,如等娱乐性网站,他们只有授权的用户才能够访问。笔者认为,这种控制策略可能更加适合于大部分企业的实际情况。
使用这种策略的难点是对资源的规划。即允许哪些资源可以不受限制的访问,哪些资源的访问受到限制。由于互联网上的资源非常繁杂,而且新的资源每天都在迅速的增长,如新建的网站、等等。要对他们进行很里的分类具有一定的困难。在实际工作中,这里更多的是采用排除法的方法。即我们只规定哪些资源可以不受限制的访问(这定义起来比较容易)。而除了这些资源外,其他的互联网资源的话,则需要经过授权,即需要有合法的身份凭据才能够进行访问。笔者认为,采用这种方法的话,在实际工作中会相对来说简单许多。无论在配置上还是在管理上。
总之,虽然有两种方式可以实现Web访问身份验证。不过管理员在做这道二选一的选择题的时候,并不困难。因为他们之间的差异非常的明显。