|
盈高科技第三代准入架构帮助加固企业型设计院所内网安全
“喂,网管吗?你好,我在XX车间,帮我下来装下客户端。”“喂,网管吗,我的客户端好像配置有问题,断网很久了,你们怎么维护的网络?”做为企业的信息中心技术人员,您是否部署过基于802.1x架构的准入控制系统?在部署后是否经常接到过这样让人头疼而又倍感压力的电话?是否经常从楼上到楼下忙着安装或维护客户端软件没有尽头?
您一定并对此上述情况深有体会,而这些也确实都是发生在802.1x准入环境下的真实案例。某勘测设计研究院(以下简称“某研究院”)是隶属中国水电工程顾问集团公司的综合性大型国家甲级勘测设计企业,做为国家级的重要企业,长期以来一直十分重视信息化建设,内部网络经过多年建设已经初步成型,但是随着网络应用的增加感觉到在终端的准入安全管理上需要进一步加强,因此1年前选择了部署微软的网络访问保护(NAP)。但是部署以来出现众多的不便之处:
1. 客户端安装非常复杂,需要专业IT人员才能进行;
2. 采用802.1X进行准入控制,没有提示界面,对来访人员的入网很不友好,来宾用户没有入网的任何有效提示信息;
3. 交换机一个端口有机器认证通过,则整个该端口的机器全部通过,造成对hub环境的水土不服。
由于上述诸多原因,造成整个802.1x系统在部署和使用中的员工抵触情绪非常强烈,公司领导也不得不中止了整个NAP平台的使用,转而寻求更便捷有效,兼具入网友好性及可维护性,同时能够实现一体化准入功能的更专业的NAC产品。
盈高科技专业准入团队的大量成功项目案例和国内领先的第三代无客户端模式准入技术架构引起了某研究院相关专家领导的强烈兴趣,通过双方的进一步详细交流和规划,明确了以下的准入控制思路:
1. 能自动提供引导界面;
2. 能够进行hub控制;
3. 不需要进行强力的桌面操作监督控制,采用agentless模式进行准入实现;
4. 准入认证系统的认证与AD域进行结合,且不需要在准入控制时输入用户名和密码,从而实现通过原有AD域的统一身份认证。
5. 在域中有账号,但是无法登陆域的机器(如:HOME版操作系统),也可以通过准入认证,且账号是使用AD域中的。
6. 可以控制在AD域中没有账号的用户(如外来人员)可以访问互联网,但是不能访问内网及内网服务器。也可以控制不能访问内网和互联网。
盈高科技提出了针对某研究院网络情况的无客户端模式NAC方案,最终的准入部署拓扑如下所示:
整个无客户端准入平台搭建好后,帮助某研究院实现了以下的准入控制效果:
1、 提供引导界面并结合AD域进行身份确认
使通过入网规范管理系统进行认证的用户名、密码与中南院原有的AD域进行结合,达到统一认证的目的。系统将对每一个新入网的终端在进行安全检查、身份确认时自动提供引导界面;
2、 根据要求对终端安全进行相关规范检查
确定终端的入网身份之后进行安全检查,检查的频度可以进行设置(一天、一周、一月或自定义),检查项目根据中南院对于终端安全的具体需求进行设置。主要包括对于公司内部所属设备分部门进行安全合规性的检测,如杀毒软件检查、补丁检查、软件安装检查等。对于不符合安全要求的设备进行自动修复(如自动打补丁)或引导修复(如引导至杀毒软件服务器),修复合格后的设备允许正常入网。
3、 网络访问权限控制
采用入网规范管理系统中“安全域”与“用户角色”的概念灵活的控制终端对于网络的访问。为不同的角色定义每一种角色可访问的安全域。如既是AD域中存在的用户,终端又是安全的用户可以访问全网。不是AD域中存在的用户(即来宾),或者终端的安全性没有通过检查,则只能访问限制的区域,
4、 相关报表信息
在整个入网规范管理系统上能够对全网形成按日、周、月及年度的整体安全视图,包括入网设备数量、身份归属、安全性评估、修复状况评估、违规状况统计等。
采用盈高TM科技无客户端NAC模式的平台使得终端用户入网没有阻塞感,能够兼顾安全性与便捷性,管理员后期维护工作量近乎为零,从用户到技术人员都能够很快地适应整个平台,与原802.1x平台在前后形成了巨大的反差,这也成为了从802.1x带客户端准入架构迁移到第三代无客户端模式准入架构的经典成功案例。 | 
免费注册
发表于 2011-12-21 08:43
