略談企業(yè)網(wǎng)絡(luò)終端準(zhǔn)入解決策略

時(shí)間:2022-01-06 03:07:59

導(dǎo)語:略談企業(yè)網(wǎng)絡(luò)終端準(zhǔn)入解決策略一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

略談企業(yè)網(wǎng)絡(luò)終端準(zhǔn)入解決策略

一、終端準(zhǔn)入聯(lián)動(dòng)模型H3C終端準(zhǔn)入控制解決方案(EAD,EnduserAdmissionDomination)

針對本企業(yè)網(wǎng)絡(luò)特性,通過配合接入層交換機(jī)802.1x認(rèn)證方式實(shí)現(xiàn)對接入用戶的控制。安全策略服務(wù)器是方案中的管理與控制中心,兼具終端用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。為了提高EAD系統(tǒng)的高可用性和容災(zāi)性,我們采用雙機(jī)冷備方案,同時(shí)對系統(tǒng)自帶數(shù)據(jù)庫進(jìn)行定時(shí)備份。第三方服務(wù)器是指補(bǔ)丁服務(wù)器、病毒服務(wù)器等,被部署在隔離區(qū)中。當(dāng)用戶通過身份認(rèn)證但安全認(rèn)證失敗時(shí),將被隔離到隔離區(qū),此時(shí)用戶能且僅能訪問隔離區(qū)中的服務(wù)器,通過第三方服務(wù)器進(jìn)行自身安全修復(fù),直到滿足安全策略要求。

二、終端準(zhǔn)入控制過程

EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定,支持智能卡、數(shù)字證書認(rèn)證,支持域統(tǒng)一認(rèn)證,增強(qiáng)身份認(rèn)證的安全性。根據(jù)實(shí)際情況我們采用基于域統(tǒng)一認(rèn)證,與接入終端MAC地址和接入設(shè)備IP信息進(jìn)行綁定的嚴(yán)格身份認(rèn)證模式。通過身份認(rèn)證之后,根據(jù)管理員配置的安全策略,用戶進(jìn)行包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、是否有等安全認(rèn)證檢查。通過安全認(rèn)證后,用戶可正常使用網(wǎng)絡(luò),同時(shí)EAD將對終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控和審計(jì)。若未通過安全認(rèn)證,則將用戶放入隔離區(qū),直到用戶通過安全認(rèn)證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。

三、終端準(zhǔn)入控制策略的實(shí)現(xiàn)

1接入用戶身份認(rèn)證為了確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò),EAD通過交換機(jī)的配合,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評估,但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng),通過Windows域管理用戶訪問權(quán)限和應(yīng)用執(zhí)行權(quán)限。為了更加有效地控制和管理網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)接入的安全性,EAD實(shí)現(xiàn)了Windows域與802.1x統(tǒng)一認(rèn)證方案,平滑地解決了兩種認(rèn)證流程之間的矛盾,避免了用戶二次認(rèn)證的煩瑣。該方案的關(guān)鍵在于兩個(gè)“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實(shí)現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認(rèn)證流程,EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實(shí)現(xiàn)認(rèn)證流程的同步。統(tǒng)一認(rèn)證的基本流程如圖3所示。

2安全策略狀態(tài)評估EAD終端準(zhǔn)入控制解決方案在安全策略服務(wù)器統(tǒng)一進(jìn)行安全策略的管理,并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過智能客戶端實(shí)時(shí)檢測、網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)控制,完成對用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過安全策略檢查,可以正常訪問授權(quán)的網(wǎng)絡(luò)資源;如果用戶未滿足安全策略,則將被強(qiáng)制放入隔離區(qū)內(nèi),直至通過安全策略檢查才可訪問授權(quán)的網(wǎng)絡(luò)資源。

3EAD與iMC融合管理EAD通過與iMC(開放智能管理中樞,IntelligentManagementCenter)靈活組織功能組件,形成直接面向客戶需求的業(yè)務(wù)流解決方案,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。EAD實(shí)現(xiàn)了對用戶的準(zhǔn)入控制、終端安全、桌面資產(chǎn)管理等功能,iMC平臺(tái)實(shí)現(xiàn)了對網(wǎng)絡(luò)、安全、存儲(chǔ)、多媒體等設(shè)備的資源管理功能,UBAS、NTA等組件實(shí)現(xiàn)了行為審計(jì)、流量分析等業(yè)務(wù)的管理功能,這幾者結(jié)合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務(wù)三大要素的開放式管理體驗(yàn)。

四、結(jié)語

在未實(shí)施終端準(zhǔn)入解決方案之前,本企業(yè)網(wǎng)絡(luò)管理模式被動(dòng),雖制定完善的IT管理制度,但不能有效實(shí)行,比如不能及時(shí)升級系統(tǒng)補(bǔ)丁,不能及時(shí)升級殺毒軟件病毒庫,不能實(shí)時(shí)監(jiān)控用戶軟件安裝,不能實(shí)時(shí)監(jiān)控計(jì)算機(jī)硬件信息等問題。通過實(shí)施終端準(zhǔn)入解決方案,降低了來自企業(yè)內(nèi)部網(wǎng)絡(luò)的威脅,規(guī)范了終端準(zhǔn)入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網(wǎng)絡(luò)環(huán)境的安全。

作者:李琰單位:中國鋁業(yè)鄭州研究院設(shè)備與自動(dòng)化研究所