1.0 智能化園區網絡解決方案 2.0 IDC數據中心網絡解決方案 3.0 企業云解決方案 4.0 信息安全整體解決方案 5.0 智慧無線整體解決方案 6.0 高清視頻會議解決方案 7.0 IDC機房建設解決方案 8.0 智能化弱電解決方案 9.0 智能樓宇解決方案 10.0 智能管理中心整體解決方案
解決方案

1.0 智能化園區網絡解決方案

2.0 IDC數據中心網絡解決方案

3.0 企業云解決方案

4.0 信息安全整體解決方案

5.0 智慧無線整體解決方案

6.0 高清視頻會議解決方案

7.0 IDC機房建設解決方案

8.0 智能化弱電解決方案

9.0 智能樓宇解決方案

10.0 智能管理中心整體解決方案

4.9 桌面準入方案
4.9 桌面準入方案
發布日期:2018-12-06


1     需求分析

一、接入控制需求

1) 局域網接入控制:能通過802.1x 協議,配合支持準入控制功能的網絡交換機,實現用戶身份認證,并根據終端安全性檢查結果,確定終端接入方式,對于認證失敗的用戶,斷開其網絡連接;認證成功但安全性檢查不通過的終端,放入隔離區自動引導其完成主機完整性修復;對于認證和安全性檢查全部通過的主機,按照策略設定完成相應網絡設置和終端安全客戶端設置;

2)網關準入控制:針對無線用戶、VPN用戶和來訪客人,應配合支持準入控制功能的安全網關設備,對訪問終端執行安全性檢查和修復,下發終端策略;只有身份認證和安全狀態檢查都通過的用戶,才能允許其訪問內部網絡;

3) 隔離區:無論局域網還是無線用戶,在執行終端安全檢查過程中都支持隔離區設置,采取二層Guset VLAN技術或三層ACL技術,自動對不符合安全性檢查的終端進行隔離,并自動啟動終端修復過程;

二、安全性檢查

1) 安全補?。褐С峙c微軟WSUS系統聯動,對windows2000/XP/2003 等各類終端的操作系統進行補丁檢查和升級;

2) 防病毒軟件:支持對趨勢/金山防病毒軟件的運行狀態、軟件版本、病毒庫版本進行檢查;

3) 黑白軟件:可提供軟件黑白名單功能,軟件識別準確,控制特定軟件的安裝、使用;

4) 注冊表:可對終端注冊表任意鍵值進行檢查,不符合要求的自動對其進行修改;

5) VIP用戶權限:可靈活設置用戶權限,對VIP用戶采取寬松的安全策略;

6)ARP攻擊:可以通過網關地址保護,檢測ARP攻擊流量并強制下線等措施,對局域網中存在的ARP攻擊問題進行防護;

7)多元素綁定:可以綁定用戶名、IP地址、MAC地址、設備端口、VLAN等,防止網絡濫用;

8) 軟、硬件資產調查:可通過中心控制臺詳細看到所有接入終端的軟、硬件信息,并能以報表形式呈現;

9)外設管理:可管理個人電腦終端的USB、紅外、藍牙、1394、讀卡器、PCI 插槽等各種外設和接口,將其設為禁用,或不能被用作連接外部存儲器;

10) 軟件分發:能通過中心服務器自動向所有接入終端穩定可靠地下發補丁或相關軟件。

11)安全審計:能夠對用戶登錄、上網情況、失敗信息、管理員操作、連接時間等有詳細日志記錄可查,日志及時上傳管理服務器數據庫;

三、可靠性及管理需求

1) 服務器支持雙機備份:中心策略服務器支持雙機冗余配置,主服務器發生故障時,功能可向從服務器轉移。策略服務器配置具有良好的備份和恢復機制;

2) 用戶群組策略:能針對用戶分組,安全策略針對單個用戶,或某組用戶綁定;

3) 管理目標分組:能針對不同的層級、區域、用戶組、計算機組等設定不同的管理員;

2     終端準入控制方案

    部署一套EAD終端準入控制系統,與防病毒軟件、WSUS補丁管理相配合,防毒軟件、WSUS負責專業殺毒、補丁下載,EAD專注于網絡接入控制、桌面管理、用戶行為審計和終端安全管理功能,可以為XXXX提供全面、完善的端到端網絡安全解決方案。同時,EAD采用雙機熱備或雙機冷備方式部署,以提高系統的可靠性。

準入方面,對局域網用戶采用接入層802.1x部署方案。EAD直接與H3C交換機配合,實現終端準入控制功能。H3C交換機支持標準的802.1x功能,不僅可以實現單端口單用戶的準入控制,也可以實現單端口多用戶的準入控制,從而實現對HUB及小交換機用戶的管理。特定情況下,可以將HUB下掛到H3C交換機下面,EAD可以區分HUB下面的多個用戶,并根據不同用戶的安全狀態下發不同策略。

    對于無線用戶,EAD可以與胖AP、AC無線控制器、EAD網關等配合,通過三層Portal方式進行準入控制。由于瘦APAC無線控制器的組網方式給大部分用戶所采用,因此一般情況下無線EAD方案主要是與AC無線控制器配合。無線用戶接入時,會彈出頁面對用戶進行認證和檢查。

EAD也支持無線環境下的802.1x用戶接入,但經過多個項目實施發現,802.1x由于是二層方式,受底層無線網卡的影響較大,不同品牌的無線網卡穩定性參差不齊,可能存在掉線的情況,因此從實踐經驗出發,建議用戶采用穩定性極高的三層Portal方式。

EAD可以不僅可以支持常見的準入、安全和桌面資產管理功能,也支持ACL下發、匿名認證、防ARP攻擊、異常流量檢測、U盤外設管理、結合設備與業務的融合管理等創新功能。另外,EAD支持與H3C UBAS行為審計系統、NTA流量分析系統聯動,結合EAD強大的用戶身份、權限的管理,高效地管理網絡用戶的同時,可以幫助管理員分析網絡中的異常流量,追查惡意的上網行為,為管理員提供行之有效的網絡管理和用戶管理策略。

 

2.1      網絡準入控制

通過與不同網絡接入設備的聯動,EAD解決方案可在多種應用場景中實現用戶終端安全準入控制,滿足不同網絡環境下,終端安全準入控制的需要。

2.1.1 接入層準入控制

將接入層設備作為安全準入控制點,對試圖接入網絡的用戶終端進行安全檢查,強制用戶終端進行防病毒、操作系統補丁等企業定義的安全策略檢查,防止非法用戶和不符合企業安全策略的終端接入網絡,降低病毒、蠕蟲等安全威脅在企業擴散的風險。

方案組網

 

                                                                                           圖1 接入層EAD解決方案組網應用

方案說明

n  用戶終端必須安裝iNode客戶端,在上網前首先要進行802.1x和安全認證,否則將不能接入網絡或者只能訪問隔離區的資源。其中,隔離區是指在交換機中配置的一組ACL,一般包括EAD安全代理服務器、補丁服務器、防病毒服務器、DNS、DHCP等服務器的IP地址。

n  在接入交換機中要部署802.1x認證和安全認證,強制進行基于用戶的802.1x認證和動態ACL、VLAN控制。

n  EAD安全策略服務器中配置用戶的服務策略、接入策略、安全策略,用戶進行802.1x認證時,由EAD安全策略服務器驗證用戶身份的合法性,并基于用戶角色(服務)向安全客戶端下發安全評估策略(如檢查病毒庫版本、補丁安裝情況等),完成身份和安全評估后,由EAD安全策略服務器確定用戶的ACL、VLAN以及病毒監控策略等。

n  EAD安全代理服務器必須部署于隔離區,可以與自助服務器共用一臺主機。

n  補丁服務器(可選)必須部署于隔離區,可以與EAD安全代理共用一臺主機。

n  防病毒服務器(可選)必須部署于隔離區,可以與補丁服務器、EAD安全代理共用一臺主機,可以選擇Norton防病毒、趨勢防病毒、McAfee防病毒、安博士防病毒、CAKill安全甲胄、瑞星殺毒軟件、金山毒霸以及江民KV防病毒軟件。

2.1.2 匯聚層準入控制

    當網絡中接入層設備不支持EAD特性時,可以將匯聚層設備作為安全準入控制點,實施EAD解決方案,這樣可簡化EAD解決方案的應用部署。尤其是在對用戶原有企業網絡進行改造,實施EAD解決方案時,可以將原有匯聚層設備替換為支持EAD解決方案的H3C匯聚層設備,實現EAD解決方案的應用。

方案組網



                                                                                                   圖2 匯聚層EAD解決方案組網應用

方案說明

n  在匯聚交換機中要部署802.1x認證和安全認證,強制進行基于用戶的802.1x和動態ACL控制。

n  其余同接入層準入控制

流程說明

    同接入層準入控制方案用戶認證流程。

實施效果

    實施效果同接入層準入控制相同,但是網絡改造費用降低、系統部署簡單。匯聚層EAD應用組網模式下,認證設備下掛接入層設備,如果接入層設備端口不作VLAN劃分,用戶終端之間將可實現互訪。建議在嚴格控制用戶之間互訪的情況下,接入層設備在不同端口之間劃分不同的VLAN。

2.1.3 無線用戶的準入控制

  無線局域網的安全問題主要體現在訪問控制和數據傳輸兩個層面。在訪問控制層面上,非授權或者非安全的客戶一旦接入網絡后,將會直接面對企業的核心服務器,威脅企業的核心業務,因此能對無線接入用戶進行身份識別、安全檢查和網絡授權的訪問控制系統必不可少。 在無線網絡中,結合使用EAD解決方案,可以有效的滿足園區網的無線安全準入的需求。


                                                                                           圖3 無線EAD解決方案典型組網1

    

組網特點介紹

1.  物理組網方式與802.1X接入方式相同。

2.  FIT AP與無線控制器之間的連接可以使用二層連接,也可以使用三層連接。

3.  用戶接入時需要使用Windows客戶端接入無線網絡,然后使用iNode進行Portal接入。

4.  在組網中,用戶IP地址不發生變化的情況下,可以在AP之間漫游。

5.  基于用戶身份的控制信息在AC上下發。

2.1.4  基于VLAN/ACL的隔離

EAD可以與支持802.1x的交換機(二層、三層均可)實現完美配合。用戶的ACL可以在認證通過后由IMCEAD下發給接入設備,由設備動態控制用戶的訪問權限;也可以在用戶認證通過后由IMC EAD將所屬的VLAN可以在下發給接入設備,由接入設備動態設置用戶所屬的VLAN。通過與網絡設備的配合可以實現基于用戶的訪問權限動態控制,限制用戶對內部敏感服務器和外部非法網站的訪問。

2.2       終端安全管理

2.2.1 安全殺毒

通過與第三方防病毒廠商合作,EAD終端準入控制解決方案中,EAD策略服務器根據安全策略對安裝了第三方防病毒產品客戶端和iNode智能客戶端的用戶終端計算機進行安全檢查。對于不符合安全策略的用戶終端,通過配合相關網絡設備采用ACLVLAN訪問控制的方式,從物理或網絡層面上將危險終端限制在隔離區中。危險終端可以訪問隔離區中的補丁服務器、防病毒軟件服務器來進行系統修復,修復完成后,通過身份認證、安全認證后即可獲得網絡訪問權限。

目前EAD支持的第三方防病毒軟件包括:國內的瑞星、金山、江民,國外的Symantec、趨勢科技、McAfee、安博士、卡巴斯基、CA、NOD32等眾多知名廠商,并且不斷在增加中。

 

2.2.2  黑白軟件管理

EAD提供黑白軟件統一管理功能。管理員可根據企業的IT政令,在安全策略服務器定義員工終端黑白軟件列表,通過安全客戶端實時檢測、網絡設備聯動控制,完成對用戶終端的軟件安裝運行狀態的統一監控和管理。

管理員根據軟件運行的進程名稱,在安全策略服務器定義黑白軟件列表;同時對每一種受控軟件規則定義相應的安全模式,即當用戶終端接入網絡時,安全客戶端發現該規則被違反時,系統采取的策略。其次,管理員在安全策略中添加黑白軟件控制規則。

    在安全策略服務器完成對黑白軟件列表和安全策略中軟件控制部分的定義之后,用戶終端的軟件安裝狀態便可以通過EAD解決方案來完成統一監控和管理。

2.2.3  注冊表安全檢查

支持注冊表安全檢測:EAD支持系統服務檢測,包括服務種類、是否啟動等。對于不符合服務檢查項的用戶需要根據安全策略做出相應處理,包括提醒、隔離、下線等。

支持遠程用戶修改本機注冊表防御;支持遠程訪問、共享、進程調用防御。

 

2.2.4 異常流量監控特性

為了對終端用戶的網絡流量進行監控,EAD解決方案支持異常流量監控特性。管理員在安全策略服務器上設置終端用戶流量閾值,并打開iNode客戶端異常流量監控功能。異常流量閾值分為兩種,當終端用戶超過第一閾值時,EAD策略服務器上可以收到iNode發送的用戶流量信息。安全策略服務器僅對終端用戶進行告警提示。當終端用戶流量超過第二閾值時,安全策略服務器會向iNode客戶端發送下線指令。

2.2.5 ARP攻擊特性

隨著ARP攻擊的泛濫,給企業帶來的損失也越來越大。EAD解決方案提供防ARP攻擊特性。在EAD安全策略服務器上設定終端用戶正確的ARP表,并在認證時下發給iNode客戶端。iNode客戶端定時清空終端用戶本地的ARP表,并查找用戶網卡的路由IP信息,與安全策略服務器下發的ARP表進行核對。如果找到對應的路由IP信息,就把該紀錄添加到客戶的機器上。

 

2.2.6  桌面及資產管理

資產管理、軟件分發是iMC EAD的主要功能,支持對企業內部的計算機制造商、計算機型號、CPU、硬盤等硬件進行統計和管理,還能夠對計算機操作系統及各種軟件進行統計、分發??偟膩碚f可以實現進行資產分組、資產管理、資產變更管理、資產統計、軟件分發管理等功能。

2.3      訪客管理

       EAD在企業網的應用會對用戶接入的管理帶來一定的工作量,尤其是在臨時用戶比較多的應用環境,管理員會面臨大量開戶、銷戶和帳號發放的操作。EAD提供了匿名認證的選項可以幫助管理員在不影響企業安全策略實施前提下,減輕對臨時帳戶的管理工作量。

EAD初期部署時有效降低維護工作量,快速滿足安全接入需求

       EAD部署初期,往往面臨大量的用戶帳號的開戶與發放,工作量大且容易遺漏,這樣往往造成部分用戶無法及時獲取帳戶而不能正常接入網絡,造成部分用戶對IT服務水平的不滿。此時,管理員可以通過啟用匿名用戶認證,并為匿名用戶設置合適的安全策略(比如限制資源訪問權限)。終端用戶可以使用匿名認證進行網絡接入,并接受EAD客戶端的安全檢查和防護,在保障企業安全策略正常實施的前提下,提升用戶對IT服務水平的滿意度。在EAD部署和運行基本穩定后,可以根據企業自身要求禁用匿名認證。

臨時/來訪用戶使用匿名認證,減輕開銷戶的維護工作量

    企業中不可避免會存在一些臨時/來訪用戶,管理員不得不經常為此類用戶進行開戶操作,還要以各種方式告知用戶其上網帳號和密碼,在用戶帳號使用完畢后還要及時銷戶以防止無效帳號過多。如果啟用匿名認證,并為匿名認證設置安全策略并進行合理的端口綁定或批量MAC綁定,則可以輕松的管理臨時/來訪用戶,在合理分配網絡資源訪問權限和安全策略控制的前提下,減輕開銷戶的維護工作量,提高IT管理的效率。

特殊用戶采用匿名認證,滿足特殊用戶的易用性要求

    企業中的部分特殊用戶可能對于記憶用戶名、密碼上網存在抵觸情緒,往往會對EAD部署和安全策略的推行產生負面影響。此時,管理員可以啟用匿名認證,同時協助特殊用戶設置匿名認證連接為自動認證,這樣,特殊用戶在開啟計算機后自動完成認證,在正常情況下基本感覺不到接入認證過程的存在,既避免了特殊用戶記憶用戶名、密碼的繁瑣,又提高了EAD接入的易用性。在這種情況下,為了防止濫用匿名帳戶,一般必須對匿名帳戶進行端口或MAC綁定。

2.4      高可用性解決方案

EAD解決方案中,EAD安全策略服務器是全網終端進行認證和保持狀態的關鍵模塊,是整體解決方案的核心中樞。因此,EAD解決方案的高可靠性,重點聚焦于EAD服務器核心中樞的高可靠、高穩定運行。而雙機冷備和雙機熱備方案的提出和運用,為EAD高可靠性解決方案提供了重要技術保障。

雙機系統是指,至少兩臺計算機實現計算機備份冗余的方案,從而可實現應用的高可靠性。在典型的雙機系統中,每個節點都是運行其自己進程的一個獨立服務器,這些進程可以彼此通信,對網絡客戶機來說就像是形成了一個單一系統,協同起來向用戶提供應用程序、系統資源和數據。它對外僅提供網絡服務或應用程序(包括數據庫、Web 服務和文件服務)的單一客戶視圖,與傳統的單一服務器系統相比,它有幾個優點,包括對高可用性和可伸縮性應用程序的支持、適應模塊化增長的容量。

利用冷備及熱備技術,再配合支持多計算機系統的群集軟件,結合磁盤陣列(或IP SAN架構服務器)本身的高可靠性,EAD高可靠性方案可以一體化保證從網絡、到計算、再到存儲的端到端高可靠性,保證EAD關鍵安全策略服務器的穩定運行,為用戶認證及終端安全管理提供有力的保障。

2.4.1 雙機冷備

如圖所示,當主EAD服務器出現故障時,交換機與EAD服務器之間通訊中斷,發出的認證請求在一定時間內未收到響應。經過缺省的重試次數后,交換機自動將認證請求發往備EAD服務器,同時將主服務器狀態置為block。等待一定的時間間隔后,再次嘗試將認證請求發往主EAD服務器,若通訊恢復則立即將主服務器狀態置為active,從服務器狀態不變。

為了保證主EAD服務器和備EAD服務器上保存的帳戶信息同步,EAD系統提供了數據庫自動同步功能,每間隔24小時主EAD服務器和備EAD服務器會進行一次數據庫同步。若有緊急需要也可手動立即執行數據庫同步。

2.4.2  雙機熱備


如圖所示,在兩臺EAD Server之間通過群集軟件完成兩臺計算機的群集管理。在熱備方案中,群集管理軟件(SunClusterWindows群集管理器)對兩臺計算機進行群集管理起到至關重要的作用。對于iNode智能客戶端而言,兩臺經過群集的主機就相當于一臺主機,對外提供同一個訪問地址。所有的iNode智能客戶端在進行認證和相關的報文傳輸,都對此虛擬主機進行交互。

同時,為了對數據進行有效的保護,EAD高可靠性方案同時要確定磁盤的冗余備份方案,以防止或避免單點故障對系統運行造成的影響。EAD方案建議采用磁盤陣列存儲應用和數據庫的數據(也可以使用IX1000TIPSAN 架構服務器),在此基礎上,兩臺互為備份的計算機可以共享一個磁盤空間,一旦一臺計算機出現問題,則可以快速通過另一臺計算機接管所有的數據報文的處理。

2.4.3  逃生


如圖所示,逃生是一種低成本的高可用性方案,適合資金預算有限的中小型網絡用戶。實施逃生時,需要一臺普通PC安裝逃生工具,同時需要在接入設備上備份的Radius服務器的IP地址(指向安裝逃生工具的PC)。

EAD主服務器無法正確響應認證請求時,如數據庫出問題、機器宕掉、認證進程出錯等,將會造成大量用戶無法上線。如果事先配置了備份Radius服務器的IP,此時設備會自動轉向安裝有逃生工具的PC。而PC上的逃生進程對所有的認證請求都直接批準,不管用戶是否存在,密碼是否正確,這樣就避免了主服務器出問題而影響用戶使用網絡。


上一條:
下一條:
? 2016廣州明創網絡科技有限公司版權所有 技術支持:35互聯
hg0088网站 自贡市| 尉氏县| 蓬莱市| 雷波县| 长春市| 五华县| 靖江市| 噶尔县| 库伦旗| 汽车| 漯河市| 新竹市| 尼玛县| 文昌市| 思南县| 西华县| 普兰县| 香河县| 商城县| 建阳市| 梓潼县| 鄄城县| 六盘水市| 唐海县| 甘谷县| 阳高县| 皋兰县| 遂溪县| 伽师县| 文登市| 略阳县| 上虞市| 元阳县| 云梦县| 惠安县| 临夏市| 瑞丽市| 兴国县| 嘉善县| 保定市| 屯门区| 永兴县| 洛阳市| 洛南县| 桐乡市| 嘉荫县| 葵青区| 南涧| 理塘县| 合川市| 永寿县| 梁平县| 东光县| 绥宁县| 漳浦县| 界首市| 灌阳县| 寿光市| 沙田区| 武鸣县| 合作市| 甘南县| 辽阳县| 邯郸县| 佳木斯市| 楚雄市| 紫金县| 泗阳县| 星座| 西乌珠穆沁旗| 太湖县| 当阳市| 平顺县| 吉安市| 泌阳县| 祁门县| 阳曲县| 惠东县| 浦江县| 罗甸县| 西华县| 嘉禾县| 莒南县| 东安县| 贵阳市| 肇州县| 福建省| 塘沽区| 贡嘎县| 定西市| 三河市| 大名县| 洪湖市| 巢湖市| 织金县| 历史| 乌鲁木齐县| 金华市| 许昌县| 沙湾县| 宾川县| 淮阳县| 张家界市| 阿拉尔市| 信阳市| 绥中县| 武胜县| 马山县| 海门市| 兖州市| 延边| 临夏市| 宜君县| 河东区| 英吉沙县| 子长县| 太白县| 习水县| 盐城市| 嘉峪关市| 梧州市| 通化县| 常德市| 安塞县| 宽甸| 安康市| 碌曲县| 伽师县| 汪清县| 武强县| 右玉县| 自贡市| 阳城县| 黄石市| 登封市| 搜索| 四会市|