USG2160BSR与TSM联动因包过滤问题导致客户端不认证也能访问认证后域解决案例

发布时间:  2012-07-18 浏览次数:  75 下载次数:  0
问题描述

某局点,部署了TSM终端安全管理系统(V100R001C01SPC200
),USG2160BSR(V100R005C01SPC500)作为硬件SACG安全接入控制网关,发现客户端不通过认证,也能访问认证后域。

告警信息
处理过程

1、USG2160BSR直挂,并且在客户端通过tracert认证后域PC,是经过了USG2160BSR的,排除数据流没经过SACG设备;

2、通过命令:disp right-manager server-group 查看联动状态,正常;

3、查看TSM的配置,一切正常;

4、由于SACG设备是USG2160BSR,路由器版本,缺省包过滤全打开了,虽然域间policy interzone应用了TSM策略,但是缺省包过滤还是会生效,因此导致所有客户端不认证也能访问认证后域;

5、关闭客户端与服务器所在域间的缺省包过滤:firewall packet-filter default deny interzone trust  untrust  direction outbound ,客户端再次访问,必须要认证后才能访问认证后域。

根因

1、可能是数据流没有经过SACG设备(USG2160BSR),因此客户端访问不受控制;

2、可能配置的时候,TSM的认证前域包含了认证后域;

3、USG2160BSR包过滤全打开,导致SACG访问控制不生效;

建议与总结
USGV1R5的中低端BSR版本的设备,由于缺省开启了包过滤,在工程实施中需要注意。

END