XX省電信Check Point防火墻集成域用戶單點(diǎn)登錄測(cè)試方案R60

1、XX電信Check Point防火墻集成域用戶單點(diǎn)登錄實(shí)施方案目錄1.現(xiàn)狀32.解決方案33.方案原理44.實(shí)施測(cè)試55.實(shí)施計(jì)劃71. 現(xiàn)狀上圖是XX省電信OA網(wǎng)用戶訪問DCN網(wǎng)時(shí)的安全控制示意圖。OA網(wǎng)用戶訪問DCN網(wǎng)時(shí)，要通過Checkpoint（CP）防火墻的用戶身份認(rèn)證，只有指定的用戶才能訪問DCN網(wǎng)。OA網(wǎng)用戶在打開電腦后會(huì)登錄Windows AD域。用戶訪問DCN網(wǎng)時(shí)，仍然要登錄到CP的用戶驗(yàn)證網(wǎng)頁(yè)，重新輸入AD域的用戶名密碼進(jìn)行安全驗(yàn)證，操作較為繁瑣，因此需要單點(diǎn)登錄（SSO）解決方案，即用戶只需一次登錄到Windows域，然后訪問DCN網(wǎng)時(shí)，不需要重新輸入用戶名和密碼，CP自

2、動(dòng)取得已登錄的用戶身份進(jìn)行訪問控制。2. 解決方案方案采用Check Point UserAuthority（UA）模塊，實(shí)現(xiàn)集成域驗(yàn)證的單點(diǎn)登錄。下圖是部署圖。在現(xiàn)有的CP上增加UA模塊，在一臺(tái)加入域的計(jì)算機(jī)上安裝Check Point UA模塊，并配置uatcs-acl.txt文件，使該UA模塊與Windows域控制器建立聯(lián)系，當(dāng)有訪問DCN網(wǎng)權(quán)限的OA網(wǎng)用戶登錄Windows域時(shí)，將自動(dòng)在其電腦上安裝客戶端軟件UA SecureClient。用戶登錄Windows域后，當(dāng)其訪問DCN網(wǎng)服務(wù)器，將不需要用戶再次輸入用戶名和密碼。3. 方案原理A）、當(dāng)不使用UA時(shí)，用戶驗(yàn)證過程如下圖所示：1

3、、 用戶登錄到域。2、 用戶訪問外部資源3、 防火墻攔截訪問，驗(yàn)證用戶身份4、 用戶輸入用戶名和密碼，將信息發(fā)到防火墻5、 防火墻根據(jù)用戶身份決定是否允許該用戶訪問外部資源B）、當(dāng)使用UA時(shí)1、 用戶登錄到域。2、 用戶訪問外部資源3、 防火墻攔截訪問，驗(yàn)證用戶身份4、 防火墻要求安裝在自身的UA模塊驗(yàn)證用戶身份5、 防火墻的UA模塊將驗(yàn)證請(qǐng)求發(fā)給域控制器的UA模塊6、 域控制器的UA模塊與用戶電腦的SecureAgent取得聯(lián)系7、 用戶身份通過域控制器傳給防火墻8、 防火墻根據(jù)用戶身份決定是否允許訪問4. 實(shí)施測(cè)試環(huán)境準(zhǔn)備：1. 測(cè)試PC三臺(tái)，分別命名為DCTest01、DCTest02、

4、DCTest03，要求的硬件為PIII 1G以上，內(nèi)存512M以上，硬盤10G以上空閑。（由省電信準(zhǔn)備）2. Windows 2003 Server安裝光盤，測(cè)試序列號(hào)一個(gè)。（由省電信準(zhǔn)備）3. FortiGate 100A防火墻一臺(tái)（由XX準(zhǔn)備）測(cè)試步驟：A：安裝測(cè)試1. 按照下圖所示將Fortigate防火墻和三臺(tái)測(cè)試PC與現(xiàn)有的網(wǎng)絡(luò)相連，配置合適的IP地址，并做好的相應(yīng)的路由設(shè)置，使DCTest01與OA網(wǎng)能夠互通。2. 在DCTest01上安裝Windows 2003 Server AD域控制器和DNS服務(wù)，并加入到省電信現(xiàn)有的AD域環(huán)境中，作為省電信的第28個(gè)DC。3. 在DCTes

5、t01上安裝與生產(chǎn)DC上完全一致的補(bǔ)丁。4. 將省電信的現(xiàn)有的AD域數(shù)據(jù)復(fù)制到新裝的DCTest01上。5. 在FortiGate防火墻上配置策略，使DCTest01僅保持與NOKIA IP1220、DCTest02和DCTest03的通訊，切斷其他任何網(wǎng)絡(luò)通訊。6. 在DCTest02和DCTest03做必要的配置，使其從指定的域控制器DCTest01登錄域。7. 在DCTest02上安裝Checkpoint R60 UA模塊。8. 配置安裝的UserAuthority模塊與Firewall的通訊密鑰。9. 重新啟動(dòng)安裝UA模塊的DCTest02。10. 編輯DCTest02上的uatcs-

6、acl.txt文件，使該UA模塊與DCTest01建立聯(lián)系。11. 將DCTest02的UA模塊安裝目錄中的Instuatc.exe、uatc.exe、uatcs.bat、uatcs_uninstall.bat、uatcs-acl.txt等文件拷貝至DCTest01的Netlogon目錄。12. 檢查是否有發(fā)生密碼過期的情況，如果沒有發(fā)生密碼過期情況，繼續(xù)以下的步驟，如果發(fā)生過期情況，轉(zhuǎn)到恢復(fù)步驟。13. 在DCTest01上編輯登錄腳本使用的可執(zhí)行批處理文件uatcs.bat。14. 在DCTest01上為能夠訪問DCN網(wǎng)的用戶配置登錄腳本，以幫助這些用戶在登錄時(shí)自動(dòng)安裝SecureClie

7、nt。15. 檢查是否有發(fā)生密碼過期的情況，如果沒有發(fā)生密碼過期情況，繼續(xù)以下的步驟，如果發(fā)生過期情況，轉(zhuǎn)到恢復(fù)步驟。16. 在NOKIA IP1220 SmartCenter上，將UserAuthority組件配置成功，并驗(yàn)證UserAuthority是否運(yùn)行正常。17. 配置其他的Checkpoint Firewall規(guī)則，使整個(gè)UA認(rèn)證流程正常運(yùn)行，并做一條測(cè)試的策略，使DCTest03能夠通過這條策略訪問DCN網(wǎng)。18. 檢查Nokia 1220 上的 Checkpoint Firewall是否一切正常。19. 檢查是否有發(fā)生密碼過期的情況，如果沒有發(fā)生密碼過期情況，繼續(xù)以下的步驟，如果發(fā)生過期情況，轉(zhuǎn)到恢復(fù)步驟。20. 檢查Windows AD域及DCTest01的其他情況是否一切正常。如果發(fā)生異常，轉(zhuǎn)到恢復(fù)