1.1 ?產品簡介

隨著企業內網建設的不斷完善，企業對各種文件服務器的需求越來越大，這些服務器為不同的用戶提供文件共享服務，其中不乏有些機密數據文件，如各種工程、建筑、機械設備的圖紙或程序源碼等，這些文件和目錄以開放的形式共享在網絡中，供不同的用戶使用。但隨著時間的推移，管理員的變更，對于數量眾多、類型各異、訪問權限不同的各種文件和目錄，單憑管理員的記錄和維護難免會造成一些疏漏。并且企業對服務器上數據的安全性提出了更高的要求。原有的管理和技術手段已無法做到對共享文件的有效保護，主要存在以下幾方面的問題：

1)????? 對存在于網絡中的用戶訪問文件共享服務器時沒有進行有效的身份認證，對數據安全性造成了隱患。

2)????? 生產過程中使用的軟硬件產品并沒有針對使用者身份進行權限控制的功能，極易造成研發成果被盜用、數據被惡意篡改等等，嚴重影響正常的生產活動。

3)????? 一旦發現數據資料被竊取，由于沒有相關的日志文件供檢索，無法追根溯源找到事故責任人，導致企業管理者在處理此類事件時束手無策。

如何管理這些資料？如何保證這些資料將被允許訪問的用戶訪問？文件共享訪問控制網關正是為了幫助用戶處理“哪些人可以訪問哪些網絡文件共享服務器，并擁有什么樣的文件操作權限”而設計的。認證訪問控制墻系統可以將內網環境中的文件共享服務器，甚至是共享文件目錄乃至單個共享文件，作為“受限”資源進行保護。之后，這些受限制的服務器將在系統的“監視”下，被經過認證并授權的合法用戶訪問。

文件共享訪問控制網關基于“域訪問控制”和“SMB/CIFS文件共享協議”的技術，對受控服務器上的共享文件進行細粒度訪問控制。對于數量眾多的文件共享服務器，管理員只需要在系統中，通過簡單、方便的配置，便可對共享文件和目錄進行精細的訪問控制。

1.2 ?產品功能介紹

文件共享訪問控制網關支持結合微軟AD域和包過濾兩種方式對共享文件進行權限訪問控制，以滿足不同應用環境的需求。不僅為用戶提供更多的技術選擇，更為用戶提供使用習慣上的不同體驗。

1.2.1 ?結合微軟AD域進行文件訪問控制

依靠Windows系統自帶的文件訪問權限機制，與文件共享訪問控制網關集成，從而提升了基于微軟AD域文件訪問控制方式的易用性。網關支持對多個Windows域、多臺共享主機進行授權管理。網關本身并不存儲權限策略，而是通過修改文件夾的“安全”屬性將權限同步到文件共享主機，對于加入了Windows域環境的主機，當用戶訪問共享時, 文件共享主機會檢索“安全”列表中的用戶或組的權限設定，確保用戶對文件夾的操作在許可范圍之內。

使用此方法可以在較低成本下達到文件共享的權限控制，提供了插件功能進行域共享的權限控制，并對共享文件的授權管理日志都進行了記錄，為必要時進行日志審計提供了依據。

結合微軟AD域進行文件訪問控制這種技術手段，采用插件方式與文件共享訪問控制網關相結合，基于Windows域控標準，在文件共享訪問控制網關的部署方式上要求是最低的，可以說只要文件共享訪問控制網關可以訪問域控制器和文件共享服務器，管理員就可以在文件共享訪問控制網關上對共享文件進行基于域的用戶授權。其特點如下：

1.2.1.1. 便捷的部署模式

文件共享訪問控制網關以網橋和旁路兩種部署模式下都可正常使用此功能，甚至，不論文件共享訪問控制網關以何種模式部署，只要它能訪問到域控制器、文件共享服務器，并且能被管理員訪問，那么，它便可正常工作。

1.2.1.2. 方便的用戶授權

文件共享訪問控制網關可以獲取指定主機的共享文件目錄及文件，管理員可以在文件共享訪問控制網關上，直接查看到需要授權的共享目錄和文件，并直接對該目錄和文件進行授權。

1.2.1.3. 部署模式

在結合微軟AD域進行文件訪問控制時，文件共享訪問控制網關的部署非常簡單，可以使用透明網橋的形式進行部署，也可以旁路的形式進行部署。

?

1.2.2 ?結合包過濾網關進行文件訪問控制

Windows文件共享是基于SMB/CIFS協議的，在此協議中包含了用戶訪問共享文件的基本信息。通過截獲訪問共享文件的網絡數據包，分析用戶正在訪問的文件地址，與事先設定的權限列表進行比對，只有當用戶的當前操作是經過允許時才能正常訪問共享文件；反之，此數據包將被丟棄，用戶的操作會終止。

基于數據包檢測的網關方式技術難度更高，相應的對文件權限的控制程度更高，能夠滿足安全產品中管理、安全、審計等要求。

文件共享訪問控制網關可以采用協議分析過濾網絡數據包的方法實現的共享訪問控制，文件共享訪問控制網關部署在共享主機之前，以監管者的身份監聽用戶訪問共享文件的整個會話過程，一旦發現用戶有越權訪問的行為，即會在網絡層阻止用戶對目標主機的訪問，同時用戶端將會提示“無權訪問”消息。

文件共享訪問控制網關將共享文件的訪問權限存儲于自身數據庫中。權限類型分為：只讀、讀寫、（讀寫、重命名）和（讀寫、重命名、刪除）四種。

只讀：列出文件/子目錄、讀取文件屬性

讀寫：列出文件/子目錄、讀取文件屬性、復制文件、寫入數據、寫入屬性、新建子文件

重命名：重命名文件或文件夾

刪除：刪除文件或文件夾

用戶端在訪問共享主機時需要經過文件共享訪問控制網關認證（支持用戶名密碼、證書、密鑰等方式）后方能訪問共享內容，對于沒有權限的文件和文件夾將被文件共享訪問控制網關過濾。

基于數據包抓取的文件共享訪問控制，需要在部署時，將網關部署到用戶與文件共享服務器之間，當用戶通過網關訪問文件共享服務器時，網關將根據用戶的登錄信息以及所訪問路徑進行訪問控制、權限分析、日志記錄等訪問控制操作。其主要特點如下：

1.2.2.1. 詳盡的日志記錄

用戶通過文件共享服務器訪問共享文件時，網關將記錄“誰在什么時候以什么IP地址訪問了那個共享目錄或文件”等相關信息，并記錄這個用戶對文件進行了何種操作，如：新建文件\文件夾、讀、寫、重命名、刪除。

1.2.2.2. 方便的用戶授權

網關可以獲取指定主機的共享文件目錄及文件，管理員可以在網關上，直接查看到需要授權的共享目錄和文件，并直接對該目錄和文件進行授權。

1.2.2.3. 更可靠地安全保障

由于在網橋部署模式下，用戶本身不能訪問到文件共享服務器，而是必須在通過網關認證后，通過網關進行文件共享代理訪問，在這種情況下，可以最大限度的保證共享文件的授權不會被以任何形式進行暴力破解和修改，從而為共享文件提供更安全的授權訪問控制。

更獨立的存在：網關進行文件共享訪問控制本身不依賴Windows域。

1.2.2.4. 部署模式

在使用文件共享進行文件訪問控制時，由于包過濾的技術機制，必須采用透明網橋形式部署。

?

?

1.3 ?產品規格與功能

產品功能	文件共享訪問控制網關（域安全）	文件共享訪問控制網關（協議安全）	文件共享訪問控制網關（綜合版）
域信息管理，用戶、用戶組導入	√	√	√
網關安全配置	√	√	√
用戶身份認證	√	√	√
基于角色授權模式	√	√	√
系統資源監控	√	√	√
管理員三員模式	√	√	√
域共享服務器管理	√	?	√
域共享服務器授權	√	?	√
域共享服務器目錄保護	√	?	√
文件共享服務器接入	?	√	√
文件共享服務器授權	?	√	√
管理員授權日志	√	√	√
用戶訪問日志	?	√	√
部署模式（旁路）	√	?	√
部署模式（主路）	√	√	√

?

1.4 ?成功案例

中國免稅品（集團）有限責任公司

中免集團是唯一經國務院批準，按照國家賦予的“四統一”管理政策，在全國范圍內開展免稅業務的國有專營公司，現已成為中國免稅行業的代表和旗艦企業。

中免集團對業務數據安全有著較高要求，為此，時代億信采用文件共享訪問控制網關產品為中免集團建立了一套基于協議包過濾的文件共享統一接入系統，在保證文件可以安全、方便地被訪問的基礎上，對用戶訪問行為進行驗證和日志記錄，形成了圍繞業務數據安全的訪問控制體系，避免了對業務數據的主、被動泄密，增強了核心業務數據的安全性。

?

轉載于:https://www.cnblogs.com/shidaiyixin/archive/2012/07/19/2599628.html

總結

以上是生活随笔為你收集整理的时代亿信 文件共享访问控制网关的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。