旁挂模式是指将SACG直接挂接在原有网络中的核心交换机或路由器上,实现TSM功能的组网模式。旁挂模式可以在不影响用户原有组网,不需割接的前提下完成TSM功能的部署。
组网需求
为建立访问权限管理机制,根据员工的工作需要授予不同的访问权限,保护企业核心网络资源,可以将NGFW作为TSM的SACG,与TSM联动部署。
如图1所示,某企业将网络资源划分为认证前域、隔离域和认证后域。认证前域是指终端主机在通过身份认证之前能够访问的区域,如DNS服务器、外部认证源、TSM控制器、TSM管理器等;隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、病毒库服务器等;认证后域是指终端用户通过了身份认证和安全认证后能够访问的区域,如ERP系统、财务系统、数据库系统等。
说明:
TSM管理器与TSM控制器1安装在同一台服务器。
具体需求如下:
- 部署了两台TSM控制器,当NGFW与两台TSM控制器均无法联动时,NGFW将不对终端主机控制,终端主机全部放行。
- 内网的终端主机上均已安装TSM代理软件,但是为了使某些临时来访人员也可以进行认证,所以也需要配置未安装TSM代理的终端用户通过Web方式认证。
- 用户角色不同,能访问的网络资源也不同。以账号lee为例,只允许lee访问“业务系统”,禁止访问其他认证后域资源。
- 当终端用户身份认证通过,安全认证未通过时,需要在隔离域中修复,如下载补丁、更新病毒库。
发表评论