[实用新型]基于透明代理网关的安全网关平台

说明书

技术领域

本实用新型涉及一种安全网关平台，尤其是一种基于透明代理网关的安全网关平台。

背景技术

通常的4A平台(认证、授权、审计、账号管理)是在统一部署4A相关服务的基础上，需要在受保护的服务器(或应用系统)和用户客户端上安装相应的代理/插件，实现服务器以及其上应用系统的4A管理响应处理和在客户端上实现用户票据保存以及用户信息代填等。事实上，出于系统稳定性和维护方便性的考虑，用户一般不希望在服务器和客户端上安装第三方软件。

通常的4A平台的审计信息来源仅仅限于系统syslog日志、服务器，以及其上应用系统和用户客户端上代理主动发送的日志。这样，在一定程度上降低了平台审计的力度。尽管目前市面上出现了基于代理网关和旁路抓包的审计产品，但是这些产品一个共同的不足是，没有很好地整合认证、授权、审计以及账号管理，因此市场上还没有一个比较完备的4A平台成熟的安全产品。

实用新型内容

本实用新型的目的是针对现有网络结构部署中存在的问题，提供一种无须在服务器与客户端上安装代理/插件的基于透明代理网关的安全网关平台。

一种基于透明代理网关的安全网关平台，连接到被监控的网络线路上，包括

管理中心，与用户建立连接，支持用户身份认证、集中管理、集中授权和访问控制、安全审计、以及取证管理；所述的管理中心接收用户发出的认证消息进行主账号认证，发出认证结果信息；提供访问受保护资源的从帐号或者从密码；提供包括时间策略和空间策略的访问控制策略；为用户提供审计监控和场景再现；

代理网关，具有认证用户列表，接收管理中心发出的认证结果信息，通过认证用户列表进行核实；所述的代理网关查询管理中心提供的访问受保护资源的从帐号或者从密码，并对核实通过的主账号进行从账号或者从密码的代填，实现登录被访问资源；另外，代理网关截获用户会话数据、并缓存在代理网关的内存中，以待发出用户会话数据；以及，

数据中心，接收代理网关发送的用户会话数据，提供审计资料。

优选的是，所述的代理网关、数据中心和管理中心分别作为单独服务器安装部署，其中代理网关具有至少三个网口，通过其中两个网口，代理网关透明地串行接入到被监控的网络线路上；剩余的一个网口连接到交换机上；所述的数据中心具有至少一个网口，数据中心通过此网口连接到所述的交换机上；所述的管理中心具有至少两个网口，管理中心通过其中一个网口连接到所述的交换机上；通过另外一个网口连接到被监控的网络线路上。

优选的是，所述的代理网关、数据中心和管理中心安装部署到一台服务器上，连接到被监控的网络线路上。

本实用新型的有益之处是：首先，由于本实用新型所述的基于透明代理网关的安全网关平台包括管理中心、数据中心和代理网关三部分，可以在一个平台上实现认证、授权、审计、账号管理；最后，代理网关透明地串行接入到被监控网络，由代理网关统一负责完成认证、代理工作，无须在服务器和客户端安装第三方软件，增加系统的稳定性，方便系统维护。

附图说明

图1为未部署本实用新型的网络结构示意图；

图2为部署了本实用新型的网络结构示意图；

图3为内网用户欲登录内网访问受保护资源区时，基于WEB浏览器进行主账号认证的处理流程示意图；

图4为内网用户欲登录内网访问受保护资源区时，在使用WEB浏览器进行主账号认证后，基于IP/MAC票据的协议内从账号代填认证的处理流程示意图；

图5为内网用户欲登录内网访问受保护资源区时，基于TELNET/SSH客户端进行主账号认证的处理流程示意图；

图6为内网用户欲登录内网访问受保护资源区时，在使用TELNET/SSH SHELL进行主账号认证后，基于IP/MAC票据的协议内从账号代填认证的处理流程示意图；

图7为外网用户欲登录内网访问受保护资源区时，基于WEB浏览器和客户端控件进行主账号认证的处理流程示意图；

图8为外网用户欲登录内网访问受保护资源区时，在使用WEB浏览器进行主账号认证后，基于客户端控件截获IP流并插入IP包票据的协议内从账号代填认证的处理流程示意图；

图9为外网用户欲登录内网访问受保护资源区时，在使用WEB浏览器进行主账号认证后，基于客户端控件截获IP流并插入IP包票据的协议外从账号代填认证的处理流程示意图。

具体实施方式