1 概述
1.1 文档说明
本文档给出安全代理系统的需求分析说明,项目的总体设计、详细设计需要依据需求分析说明,满足需求说明中的功能要求。
1.2 读者范围
本文档仅限于参加项目的人员。
2 项目描述
本项目是为实现网络用户通过代理服务器安全访问互联网,网络客户端数量大约在1000台以上,客户端和代理服务器之间的通信需要全程加密。客户端系统为Windows,支持的浏览器包括 IE、Firefox。可以实现用户认证、访问控制、URL过滤控制、带宽控制等功能。
所有客户端对Internet的访问都通过代理服务器来进行,不可旁路。
3 功能需求
3.1 安全客户端
安全客户端在系统启动时,连接到服务器,进行身份认证。
安全客户端采用虚拟网卡,类似于SSLVPN系统的客户端。目前先只支持WEB应用。
客户端系统接受浏览器的访问请求,并把访问请求通过安全隧道传递到代理服务器,由代理服务器对目的地址发起请求,将结果返回给客户端进而返回给浏览器。
3.2 数据完整性和机密性保护
所有客户端的访问通过客户端与服务器之间的安全隧道进行,客户端与服务器的安全隧道,由安全客户端与代理服务器之间建立,采用安全加密的连接方式,SSL通讯保证了数据传输过程中的完整性和机密性,限制非授权访问的发生。
3.3 安全代理服务器
安全代理服务器接受安全代理客户端的请求,并判断客户端请求的合法性,合法的请求由安全代理服务器进行处理并把结果返回给客户端,非法请求,给出非法请求提示,并记录访问日志。
3.4 用户注册和计费
初次用户登录需要注册帐户,注册帐户成功后,成功选择服务并付费的帐户才可被认证使用。用户付费可与使用时间关联,超过时间需要重新付费才能使用业务
3.5 用户认证
所有通过安全代理系统的访问都需要进行认证,保证非授权用户不能通过安全代理系统访问网络。用户认证可以采用多种方式,比如数字证书认证、用户口令认证等,在此我们采用用户口令认证,并预留扩展其他认证方式的接口。
3.6 访问控制功能
安全代理系统提供访问控制功能,访问控制包括
l
基于IP的访问控制,根据用户访问IP进行控制,用户可以绑定IP,如果访问IP不是系统绑定IP则拒绝访问。
l
基于时间的访问控制,定义用户的时间策略,只允许用户在系统规定时间内通过系统急性访问。
l
基于带宽的访问控制,不同用户可以设定不同的带宽,优先保证高级用户的带宽。
l
所有控制均可基于用户或用户组(user or group)的访问控制,可以定义不同访问控制策略,并将访问控制策略应用于不同的用户或用户组。
3.7 URL过滤
l
支持黑名单过滤
l
支持白名单过滤
3.8 配置管理
提供图形化配置管理界面,使得系统的配置管理尽可能简单易行,配置管理包括
l
系统配置管理
l
用户配置管理
l
用户组配置管理
l
安全策略配置
l
规则配置
l
网络配置管理
3.9 日志审计
安全代理系统提供日志安全审计功能,系统可以生成详细的日志信息,这些日志信息可以在本地保存,也可以传送给相应的日志服务器,通过SSL隧道和认证系统可以对客户端和服务器终端进行检查,并且记录下相关的信息,可以用这些日志进行审计。管理员通过系统的日志管理器或者SYSLOG日志服务器,可以判断用户的访问行为。
3.10 用户透明需求
对用户来说,不需要进行特殊设置就可以通过安全代理进行WEB访问。
3.11 运行环境要求
安全代理服务器系统基于SQUID进行功能扩展,系统运行于Linux系统。
安全代理客户端系统运行于 Windows 支持IE、Firefox浏览器
本文转自 jxwpx 51CTO博客,原文链接:http://blog.51cto.com/jxwpx/195952,如需转载请自行联系原作者