略談企業(yè)網(wǎng)絡(luò)終端準(zhǔn)入解決策略

時(shí)間:2022-01-06 03:07:59

導(dǎo)語(yǔ):略談企業(yè)網(wǎng)絡(luò)終端準(zhǔn)入解決策略一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

略談企業(yè)網(wǎng)絡(luò)終端準(zhǔn)入解決策略

一、終端準(zhǔn)入聯(lián)動(dòng)模型H3C終端準(zhǔn)入控制解決方案(EAD,EnduserAdmissionDomination)

針對(duì)本企業(yè)網(wǎng)絡(luò)特性,通過(guò)配合接入層交換機(jī)802.1x認(rèn)證方式實(shí)現(xiàn)對(duì)接入用戶的控制。安全策略服務(wù)器是方案中的管理與控制中心,兼具終端用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。為了提高EAD系統(tǒng)的高可用性和容災(zāi)性,我們采用雙機(jī)冷備方案,同時(shí)對(duì)系統(tǒng)自帶數(shù)據(jù)庫(kù)進(jìn)行定時(shí)備份。第三方服務(wù)器是指補(bǔ)丁服務(wù)器、病毒服務(wù)器等,被部署在隔離區(qū)中。當(dāng)用戶通過(guò)身份認(rèn)證但安全認(rèn)證失敗時(shí),將被隔離到隔離區(qū),此時(shí)用戶能且僅能訪問(wèn)隔離區(qū)中的服務(wù)器,通過(guò)第三方服務(wù)器進(jìn)行自身安全修復(fù),直到滿足安全策略要求。

二、終端準(zhǔn)入控制過(guò)程

EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定,支持智能卡、數(shù)字證書認(rèn)證,支持域統(tǒng)一認(rèn)證,增強(qiáng)身份認(rèn)證的安全性。根據(jù)實(shí)際情況我們采用基于域統(tǒng)一認(rèn)證,與接入終端MAC地址和接入設(shè)備IP信息進(jìn)行綁定的嚴(yán)格身份認(rèn)證模式。通過(guò)身份認(rèn)證之后,根據(jù)管理員配置的安全策略,用戶進(jìn)行包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、是否有等安全認(rèn)證檢查。通過(guò)安全認(rèn)證后,用戶可正常使用網(wǎng)絡(luò),同時(shí)EAD將對(duì)終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控和審計(jì)。若未通過(guò)安全認(rèn)證,則將用戶放入隔離區(qū),直到用戶通過(guò)安全認(rèn)證檢查。EAD解決方案對(duì)終端用戶的整體控制過(guò)程如圖2所示。

三、終端準(zhǔn)入控制策略的實(shí)現(xiàn)

1接入用戶身份認(rèn)證為了確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò),EAD通過(guò)交換機(jī)的配合,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過(guò)802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估,但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng),通過(guò)Windows域管理用戶訪問(wèn)權(quán)限和應(yīng)用執(zhí)行權(quán)限。為了更加有效地控制和管理網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)接入的安全性,EAD實(shí)現(xiàn)了Windows域與802.1x統(tǒng)一認(rèn)證方案,平滑地解決了兩種認(rèn)證流程之間的矛盾,避免了用戶二次認(rèn)證的煩瑣。該方案的關(guān)鍵在于兩個(gè)“同步”過(guò)程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實(shí)現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認(rèn)證流程,EAD解決方案通過(guò)H3C自主開(kāi)發(fā)的iNode智能客戶端實(shí)現(xiàn)認(rèn)證流程的同步。統(tǒng)一認(rèn)證的基本流程如圖3所示。

2安全策略狀態(tài)評(píng)估EAD終端準(zhǔn)入控制解決方案在安全策略服務(wù)器統(tǒng)一進(jìn)行安全策略的管理,并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過(guò)智能客戶端實(shí)時(shí)檢測(cè)、網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)控制,完成對(duì)用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過(guò)安全策略檢查,可以正常訪問(wèn)授權(quán)的網(wǎng)絡(luò)資源;如果用戶未滿足安全策略,則將被強(qiáng)制放入隔離區(qū)內(nèi),直至通過(guò)安全策略檢查才可訪問(wèn)授權(quán)的網(wǎng)絡(luò)資源。

3EAD與iMC融合管理EAD通過(guò)與iMC(開(kāi)放智能管理中樞,IntelligentManagementCenter)靈活組織功能組件,形成直接面向客戶需求的業(yè)務(wù)流解決方案,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。EAD實(shí)現(xiàn)了對(duì)用戶的準(zhǔn)入控制、終端安全、桌面資產(chǎn)管理等功能,iMC平臺(tái)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)、安全、存儲(chǔ)、多媒體等設(shè)備的資源管理功能,UBAS、NTA等組件實(shí)現(xiàn)了行為審計(jì)、流量分析等業(yè)務(wù)的管理功能,這幾者結(jié)合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務(wù)三大要素的開(kāi)放式管理體驗(yàn)。

四、結(jié)語(yǔ)

在未實(shí)施終端準(zhǔn)入解決方案之前,本企業(yè)網(wǎng)絡(luò)管理模式被動(dòng),雖制定完善的IT管理制度,但不能有效實(shí)行,比如不能及時(shí)升級(jí)系統(tǒng)補(bǔ)丁,不能及時(shí)升級(jí)殺毒軟件病毒庫(kù),不能實(shí)時(shí)監(jiān)控用戶軟件安裝,不能實(shí)時(shí)監(jiān)控計(jì)算機(jī)硬件信息等問(wèn)題。通過(guò)實(shí)施終端準(zhǔn)入解決方案,降低了來(lái)自企業(yè)內(nèi)部網(wǎng)絡(luò)的威脅,規(guī)范了終端準(zhǔn)入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網(wǎng)絡(luò)環(huán)境的安全。

作者:李琰單位:中國(guó)鋁業(yè)鄭州研究院設(shè)備與自動(dòng)化研究所