华为TSM终端安全管理系统身份认证功能.pdf

《华为TSM终端安全管理系统身份认证功能.pdf》由会员分享，可在线阅读，更多相关《华为TSM终端安全管理系统身份认证功能.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 华为TSM终端安全管理系统身份认证功能 华为 TSM 身份认证功能 一 准入控制 1.1 准入控制基本业务流程 TSM 代理与控制服务器建立一个 SSL 链路，用于保护代理和服务器之间的通信 对终端用户进行身份确认 身份认证成功后，请求更新安全策略，获得最新的策略信息列表 代理根据更新的策略参数检查，并且把终端对企业安全策略的检查结果上报控制服务器 控制服务器收到安全检查的结果，判断安全检查的结果是否符合策略要求 符合，则通知 SACG 把该终端切换到认证后域 不符合，则通知 SACG 设备把该终端切换到隔离域 策略路由将所有访问业务服务器区域的上行引流至 SACG 进行控制；优点：硬件故障

2、时，交换机策略路由将自动失效，所有流量按正常路由转发，不会造成单点故障；只需对上行流量进行过滤，下行流量在交换机上直接进行路由转发，大大减少设备负担（一般场景下，用户正常进行资源访问时，上行流量将大大小于下行流量）；缺点：硬件故障时，所有流量将无法进行过滤，网络完全开放；1.2 典型部署场景-双机旁路 SACG（安全接入控制网关）硬件设备分别旁挂在核心交换机处，两台 SACG 之间做主备，以保证 SACG 的高可靠性；在核心交换机处启策略路由，将终端访 问系统系统的上行流量引流至 SACG 进行控制。优点：双机热备，单台 SACG 故障时，可将流量引导至另一台上，避免了“单机旁路部署”时网络完全开放的状况；缺点：成本较高，部署较复杂；