还在用802.1x?换一种NAC准入控制方式吧
<DIV align=center><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 'Times New Roman'; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA">盈高科技第三代准入架构帮助加固企业型设计院所内网安全</SPAN></DIV><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 'Times New Roman'; mso-font-kerning: 1.0pt; mso-ansi-language: EN-US; mso-fareast-language: ZH-CN; mso-bidi-language: AR-SA"><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21.2pt; LINE-HEIGHT: 150%; mso-char-indent-count: 2.02"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>“喂,网管吗<SPAN lang=EN-US>?</SPAN>你好,我在<SPAN lang=EN-US>XX</SPAN>车间,帮我下来装下客户端。”“喂,网管吗,我的客户端好像配置有问题,断网很久了,你们怎么维护的网络?”做为企业的信息中心技术人员,您是否部署过基于<SPAN lang=EN-US>802.1x</SPAN>架构的准入控制系统?在部署后是否经常接到过这样让人头疼而又倍感压力的电话?是否经常从楼上到楼下忙着安装或维护客户端软件没有尽头?<SPAN lang=EN-US><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21.2pt; LINE-HEIGHT: 150%; mso-char-indent-count: 2.02"><FONT size=3><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt">您一定并对此上述情况深有体会,而这些也确实都是发生在<SPAN lang=EN-US>802.1x</SPAN>准入环境下的真实案例。某勘测设计研究院(以下简称“某研究院”)是</SPAN><SPAN class=apple-style-span><SPAN style="COLOR: black; LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: Times; mso-bidi-font-size: 10.5pt">隶属中国水电工程顾问集团公司的综合性大型国家甲级勘测设计企业,</SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt">做为国家级的重要企业,长期以来一直十分重视信息化建设,内部网络经过多年建设已经初步成型,但是随着网络应用的增加感觉到在终端的准入安全管理上需要进一步加强,因此<SPAN lang=EN-US>1</SPAN>年前选择了部署微软的网络访问保护(<SPAN lang=EN-US>NAP</SPAN>)。但是部署以来出现众多的不便之处:<SPAN lang=EN-US><o:p></o:p></SPAN></SPAN></FONT></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 39.2pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l1 level1 lfo1"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>1.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>客户端安装非常复杂,需要专业<SPAN lang=EN-US>IT</SPAN>人员才能进行;<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 39.2pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l1 level1 lfo1"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>2.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>采用<SPAN lang=EN-US>802.1X</SPAN>进行准入控制,没有提示界面,对来访人员的入网很不友好,来宾用户没有入网的任何有效提示信息;<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 39.2pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l1 level1 lfo1"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>3.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>交换机一个端口有机器认证通过,则整个该端口的机器全部通过,造成对<SPAN lang=EN-US>hub</SPAN>环境的水土不服。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21pt; LINE-HEIGHT: 150%; TEXT-ALIGN: left; mso-char-indent-count: 2.0" align=left><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>由于上述诸多原因,造成整个<SPAN lang=EN-US>802.1x</SPAN>系统在部署和使用中的员工抵触情绪非常强烈,公司领导也不得不中止了整个<SPAN lang=EN-US>NAP</SPAN>平台的使用,转而寻求更便捷有效,兼具入网友好性及可维护性,同时能够实现一体化准入功能的更专业的<SPAN lang=EN-US>NAC</SPAN>产品。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 15.75pt; LINE-HEIGHT: 150%; mso-char-indent-count: 1.5"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>盈高科技专业准入团队的大量成功项目案例和国内领先的第三代无客户端模式准入技术架构引起了某研究院相关专家领导的强烈兴趣,通过双方的进一步详细交流和规划,明确了以下的准入控制思路:<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 33.75pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l0 level1 lfo2"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>1.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>能自动提供引导界面;<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 33.75pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l0 level1 lfo2"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>2.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>能够进行<SPAN lang=EN-US>hub</SPAN>控制;<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 33.75pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l0 level1 lfo2"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>3.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>不需要进行强力的桌面操作监督控制,采用<SPAN lang=EN-US>agentless</SPAN>模式进行准入实现;<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 33.75pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l0 level1 lfo2"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>4.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>准入认证系统的认证与<SPAN lang=EN-US>AD</SPAN>域进行结合,且不需要在准入控制时输入用户名和密码,从而实现通过原有<SPAN lang=EN-US>AD</SPAN>域的统一身份认证。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 33.75pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l0 level1 lfo2"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>5.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>在域中有账号,但是无法登陆域的机器(如:<SPAN lang=EN-US>HOME</SPAN>版操作系统),也可以通过准入认证,且账号是使用<SPAN lang=EN-US>AD</SPAN>域中的。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt 33.75pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-char-indent-count: 0; mso-list: l0 level1 lfo2"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>6.</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>可以控制在<SPAN lang=EN-US>AD</SPAN>域中没有账号的用户(如外来人员)可以访问互联网,但是不能访问内网及内网服务器。也可以控制不能访问内网和互联网。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=a style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21.2pt; LINE-HEIGHT: 150%; mso-char-indent-count: 2.02"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>盈高科技提出了针对某研究院网络情况的无客户端模式<SPAN lang=EN-US>NAC</SPAN>方案,最终的准入部署拓扑如下所示:</FONT></SPAN></P><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3><SPAN lang=EN-US><o:p><!--StartFragment -->
<DIV><IMG src="file:///C:/Users/hp/AppData/Roaming/Tencent/Users/491752300/QQ/WinTemp/RichOle/CVQNWN(U~5BYQ%7BD4JT(Z[%7DQ.jpg"></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21pt; LINE-HEIGHT: 150%"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>整个无客户端准入平台搭建好后,帮助某研究院实现了以下的准入控制效果:<B style="mso-bidi-font-weight: normal"><SPAN lang=EN-US><o:p></o:p></SPAN></B></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt 46.4pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-list: l0 level1 lfo1"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>1、</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>提供引导界面并结合<SPAN lang=EN-US>AD</SPAN>域进行身份确认<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 18.6pt; LINE-HEIGHT: 150%; mso-char-indent-count: 1.77"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>使通过入网规范管理系统进行认证的用户名、密码与中南院原有的<SPAN lang=EN-US>AD</SPAN>域进行结合,达到统一认证的目的。系统将对每一个新入网的终端在进行安全检查、身份确认时自动提供引导界面;<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt 46.4pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-list: l0 level1 lfo1"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>2、</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>根据要求对终端安全进行相关规范检查<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 18.6pt; LINE-HEIGHT: 150%; mso-char-indent-count: 1.77"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>确定终端的入网身份之后进行安全检查,检查的频度可以进行设置(一天、一周、一月或自定义),检查项目根据中南院对于终端安全的具体需求进行设置。主要包括对于公司内部所属设备分部门进行安全合规性的检测,如杀毒软件检查、补丁检查、软件安装检查等。对于不符合安全要求的设备进行自动修复(如自动打补丁)或引导修复(如引导至杀毒软件服务器),修复合格后的设备允许正常入网。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt 46.4pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-list: l0 level1 lfo1"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>3、</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>网络访问权限控制<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt 0.05pt; TEXT-INDENT: 18.6pt; LINE-HEIGHT: 150%; mso-char-indent-count: 1.77"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>采用入网规范管理系统中“安全域”与“用户角色”的概念灵活的控制终端对于网络的访问。为不同的角色定义每一种角色可访问的安全域。如既是<SPAN lang=EN-US>AD</SPAN>域中存在的用户,终端又是安全的用户可以访问全网。不是<SPAN lang=EN-US>AD</SPAN>域中存在的用户(即来宾),或者终端的安全性没有通过检查,则只能访问限制的区域,<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt 46.4pt; TEXT-INDENT: -18pt; LINE-HEIGHT: 150%; mso-list: l0 level1 lfo1"><SPAN lang=EN-US style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-family: 微软雅黑; mso-bidi-font-size: 10.5pt"><SPAN style="mso-list: Ignore"><FONT size=3>4、</FONT><SPAN style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>相关报表信息<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 18.6pt; LINE-HEIGHT: 150%; mso-char-indent-count: 1.77"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>在整个入网规范管理系统上能够对全网形成按日、周、月及年度的整体安全视图,包括入网设备数量、身份归属、安全性评估、修复状况评估、违规状况统计等。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 18.6pt; LINE-HEIGHT: 150%; mso-char-indent-count: 1.77"><SPAN style="LINE-HEIGHT: 150%; FONT-FAMILY: 微软雅黑; mso-bidi-font-size: 10.5pt"><FONT size=3>采用盈高<SUP><SPAN lang=EN-US>TM</SPAN></SUP>科技无客户端<SPAN lang=EN-US>NAC</SPAN>模式的平台使得终端用户入网没有阻塞感,能够兼顾安全性与便捷性,管理员后期维护工作量近乎为零,从用户到技术人员都能够很快地适应整个平台,与原<SPAN lang=EN-US>802.1x</SPAN>平台在前后形成了巨大的反差,这也成为了从<SPAN lang=EN-US>802.1x</SPAN>带客户端准入架构迁移到第三代无客户端模式准入架构的经典成功案例。<SPAN lang=EN-US><o:p></o:p></SPAN></FONT></SPAN></P></DIV></o:p></SPAN></FONT></SPAN></SPAN>
页:
[1]