secWall与Windows路由器的组合安全方案（五） [安全方案] - 加密|保密|防泄密技术参考资料


					咨询热线：0510 - 8229 3900

	首页产品目录加密产品标准版标准版+ 专业版商用安全产品数据服务器安全U盘 Web 防篡改系统企业防泄密系统设计经典版管理平台版至尊企业版解决方案服务与支持在线支持软件下载保密技术关于我们

安全方案
♦ secWall水印功能详解
♦ Linux服务器常用服务的加密方案
♦ SolidWorks Enterprise PDM 加密方案
♦ 文件服务器部署方案之七：特定系统中的托管模式
♦ 文件服务器部署方案之六：与系统防火墙组合使用
♦ 文件服务器部署方案之五：网关控制模式
♦ 文件服务器部署方案之四：不同系统互联代理服务器模式
♦ 文件服务器部署方案之三：透明文件服务器模式
♦ 文件服务器部署方案之二：简单共享
♦ 文件服务器部署方案之一：概览
♦ Rgs功能简介及加密方案之二：和secWall的结合应用
♦ Rgs功能简介及加密方案之一：RGS功能简介
♦ secWall反截屏技术详解
♦ VPS解决方案：使用USB for Remote Desktop
♦ 泛微OA系统secWall保密方案之三：secWall与泛微OA的工作流集成
♦ 泛微OA系统secWall保密方案之二：客户端部署
♦ 泛微OA系统secWall保密方案之一：服务器端部署
♦ 瑞友天翼虚拟化应用保密方案
♦ 基于web访问的加密方案
♦ SVN跨平台部署方案之三：可信安全区域

更多>>

secWall与Windows路由器的组合安全方案（五）

万华数据

五、使用secWall集控服务器会话插件控制IP筛选器

　　secWall集控服务器支持会话插件，通过服务器端脚本可以获取当前的客户端登录用户的认证状态，会话插件在有用户登录或注销时都会触发事件，同时传出用户名、IP地址、MAC地址、事件类型等信息，可以通过这些触发事件实时控制路由器的IP筛选。从而达到和secWall端口加密同样的功能。
　　由于secWall端口加密功能仅能应用于Windows系统，而对路由器的控制则不受此制约。而且路由器IP筛选直接控制网络访问具有更高的效率。

实例：
　　环境：server2003，已启用路由和远程访问功能，两块网卡，一块连接内网（涉密网段），另一块连接外网（隔离网段）。局域网内的机器通过server2003来访问外网。
　　实现功能：只有登录secWall客户端的机器才能访问外网。

　　server2003的两块网卡，“本地连接”是连接内网的，局域网内的机器都是通过连接server2003的“本地连接”网卡转发到外网的，所以应该在“本地连接”网卡上设置入站筛选器，这样才能对内网机器访问外网起到控制作用。
　　因为要求是只有登录secWall客户端的机器才能访问外网，所以筛选器的操作应该为“丢弃所有包，满足下面条件的除外”。由于筛选器在没有记录时会回到默认状态“接受所有除符合下列条件以外的数据包”，所以应该先在筛选器中添加一条操作为“丢弃所有包，满足下面条件的除外”的记录，服务器的访问不需要受限制，可以将服务器的IP添加到筛选器中。这样设置后，之后所有添加的IP筛选都会保持现有的操作状态。

步骤：
　　1. 注册集控服务器会话数据导出插件
　　将MWSesPlg.dll复制到集控服务器所在计算机的硬盘文件夹中，以下假定复制到C:\Session。
　　注册插件。执行以下命令注册插件：RegSvr32 C:\Session\MWSesPlg.dll，系统提示“成功”。
　　重新启动集控服务器服务“Mawadata secWall Passport Serevr”。

　　2. 使用外部触发器
　　外部触发器可以在会话记录发生变化时得到通知，可以在注册表中注册外部触发器的命令
　　注册表位置为：HKLM\Software\Mawadata\secWall\MWSesCB\Trigger，在该位置下添加如下字符串。

　　1) 客户机登录时在IP筛选器中添加一条记录
　　　　Name：Add
　　　　Type：REG_SZ
　　　　Value：netsh -r server2003 -u administrator -p secwall routing ip add filter "本地连接" input %IP% 255.255.255.255 0.0.0.0 0.0.0.0 any

　　2) 客户机注销时在IP筛选器中删除该记录
　　　　Name：Delete
　　　　Type：REG_SZ
　　　　Value：netsh -r server2003 -u administrator -p secwall routing ip delete filter "本地连接" input %IP% 255.255.255.255 0.0.0.0 0.0.0.0 any

　　在value值内直接输入netsh的运行命令，%IP%为命令行可用参数，输出当前登录会话的客户机IP。
　　如果在服务器上没有系统用户登录，netsh命令不能执行。而一般服务器都是锁在机房内，只要开机就可，并不一定会有用户登录。所以还需在注册表内添加两个字符串值记录系统用户的用户名和密码，这个用户必须是系统上已经存在的用户。

　　3) 执行netsh命令所用的系统用户名
　　　　Name：ImpersonateUser
　　　　Type：REG_SZ
　　　　Value：username

　　4) 执行netsh命令所用的系统用户密码
　　　　Name：ImpersonatePassword
　　　　Type：REG_SZ
　　　　Value：passsword

　　3. 注册表设置好后，重新启动集控服务器服务“Mawadata secWall Passport Serevr”。
　　服务重启后，设置就生效了。客户机登录secWall时，会话插件会自动执行命令，将当前客户机的IP添加到IP筛选器中，secWall注销时，会将该IP地址从筛选器中删除。这样，就能控制客户机访问外网了。

关联文档

分享到：


	关于我们\|联系方式\|资质认证\|站点地图\|职位招聘\|建议与投诉
地址：江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F　　邮编：214031　总机：(0510)82293900　传真：(0510)82702019
版权所有 © 2003-2024 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32020202000075号