用PremierAccess保护你的资源

PremierAccess提供两种不同的访问保护方式,它们是互补的。PremierAccess的Web访问控制限制对Web服务器及其内容的访问,而网络访问控制限制了对你的内部网络资源的访问。

Web访问控制允许你为所有的用户创建并执行一个Web访问政策。通过创建详细的Web访问控制清单(Access Control Lists),你可以确定哪些用户是可以访问你的Web服务器及其内容的,同时还可以确定他们是处于哪种特定的使用环境中。

还可以创建一个登录ACLs(类似于Web访问控制清单),来为访问你的内部网的用户确定严格的详细的访问许可和使用环境。

Web访问控制

PremierAccess引入了一个Universal Web Agent(UWA),它可以安装在你想用它保护的任何一台Web服务器的主机上。如图2所描述,用户要访问被保护内容的请求被UWA拦截,它要在Web Login Server(WLS)中寻找到授权才能同意这个请求。

Web访问有两个步骤。在第一步中你必须使用WLS登录。WLS在认证、授权和审计(AAA)Server中寻找登录访问政策。如果认证成功,就会生成一个含有用户对话ID的对话cookie。第二步是在用户试图访问Web资源时开始的。WLS使用cookie中的对话ID到AAA Server中寻找用户对话数据。该数据是遵循Web访问控制方针的,并能判定用户是否具有访问权。

图2 页面访问控制

网络访问控制
在图3中,用户试图联接到内部网。在允许用户进入之前,PremierAccess支持的Agent拦截了用户的进入请求。
图3 网络访问控制
PremierAccess的Agent是安装在你的网络内部的服务器上的软件单元。Agent担当的角色是用户认证点(UAP,User Authentication Point),允许与PremierAccess 服务器进行对话。Agent将在下面的“PremierAccess支持的Agent简介”中进行介绍。Agent用来提示用户出示他们的身份证书(用户名和口令)。

一旦认证被拦截,用户的身份证书就会被传递到PremierAccess AAA Server。AAA Server将用户的ID和证书与LDAP目录中储存的资料进行比较,判断它们是否匹配。如果用户ID相匹配,就用用户的数据库记录来核对他们的任务和可以访问的资源。然后要求用户提供某种认证形式,可能是固定(记忆式)密码、硬件或者软件认证器。如果用户成功地通过了这里所有的认证步骤,他们就获准访问你的网络了。

使用PremierAccess,你的网络、操作系统、应用和Web服务器(以及它们所保护的内容)就只能被那些成功通过PremierAccess认证的用户所访问了。
© CopyRight 2003-2004 普安思科技(www.prcsc.com)
公司地址:北京市朝阳区永安里通用国际大厦B座1107室 电话:86-10-65698337/65698338