《思科byod解决方案》由会员分享,可在线阅读,更多相关《思科byod解决方案(20页珍藏版)》请在金锄头文库上搜索。
1、思科思科 byodbyod 解决方案解决方案篇一:H3C BYOD 解决方案部署与实施H3C BYOD 解决方案部署与实施 BYOD 是一种业务模式,目前还没有如 RFC 类的行业标准规范。各大解决方案提供商的实现方式也不尽相同,BYOD 方案各有侧重。那么在实践中,企业 IT 管理者该如何实施和部署 BYOD 解决方案以发挥 BYOD 带来的各种能效呢?由于智能手机以及平板电脑的出现成爆炸式增长,IT部门不得不重新考虑如何在企业网络中为不断增加的移动设备提供支持。BYOD 方案的部署其实就是要通过各种场景绑定相应的策略引导终端用户按照一定的授权接入网络,同时在正确识别终端类型等各类信息的基础
2、上解决如何支持和管理它们以及如何保护它们安全的问题。 BYOD 的部署对 IT 部门的工作人员带来了巨大的挑战。尤其是 BYOD 的实施和部署阶段,有诸多实际难题,例如如何和企业现有业务无缝结合、如何减少对现有网络的改动、如何实现企业数据安全保护等。目前业界各厂商实现方式不尽相同。本文主要以 H3C BYOD 方案为例进行阐述。 一、BYOD 方案的实施步骤 部署任何一家厂商提供的 BYOD 方案,在部署前都需要充分调研实际业务及需求。通常主要从如下几个方面考虑。 ? 网络类型。包括有线、Wi-Fi、VPN 等。以便 IT 人员规划设计合理的认证方式和组网。 ? 网络设备。多厂商设备之间是否存
3、在适配,网络设备的规格是否满足 BYOD 业务需求,是否有必要进行扩容以满足 BYOD 部署后的业务应用。 ? 终端类型。BYOD 业务和终端密切结合,需要充分了解终端的类型和应用情况,例如用户终端是企业派发还是私人购买,是否存在部分终端有特殊应用而无需进行BYOD 注册等。 ? 企业中的 APP 应用。BYOD 是为了更好地让用户随时随地移动办公,其中 APP 是最关键的业务,BYOD 的实施和部署要充分考虑企业内部 APP 的应用情况,是否存在应用权限控制、黑白 APP 列表、APP 数据安全等。 ? 开放融合。用户部署 BYOD 时是否需要和已有的业务系统对接或者是否存在二次开发的需求。
4、 ? 数据安全。IT 部门对终端数据的安全要求,是否需要进行数据安全加密和终端权限控制等。 ? 访客需求。用户是否有访客业务需求。在充分调研用户的实际需求后,需要规划合理的组网方式。那么 BYOD 到底对组网有何要求呢?目前 BYOD 技术主要集中在如何解决移动终端(手机、平板、POS 机等)设备网络认证控制方案的层面上。因此,首先需要保证终端基于身份的认证得以实现,在此基础之上再扩展 BYOD 的特性。比如终端的 MAC 认证、Portal 认证、认证、VPN 认证等多种认证方式都可以用来实现 BYOD。目前这些身份认证方式已经发展得非常成熟,相关的技术支持也很到位。 以 H3C 的 BYO
5、D 方案为例,一个典型的 BYOD 解决方案的组网由四个体系构成。 ? 认证设备:启用身份认证的设备,例如无线控制器。一般认证方式为 MAC 认证、Portal 认证、认证、VPN 认证等。 ? H3C iMC BYOD 服务器:主要使用了 H3CiMC EIP 组件的功能。 ? 认证终端:有认证接入网络访问资源的设备,一般是移动设备如 PAD、手机,也可以是 PC 或 POS、打印机等设备。 ? DHCP 服务器:用于给终端设备分配 IP 地址,同时可以配合 iMC BYOD 的 DHCP 特征识别方式进行终端识别。DHCP 服务器可以是 Windows DHCP 服务器,也可以是支持DHC
6、P 特性的网络设备。 此外,实际组网中可能还会存在短信网关、用户业务系统等其他元素。 图 1 H3C BYOD 解决方案组网图 确定组网并实施基础网络建设后,实施 H3C BYOD 业务可根据如下几步开展: ? 根据业务规模选择合理的服务器,在此服务器上安装部署 iMC BYOD 软件; ? 在网络设备上配置基于身份的认证方式。例如在图 1 的组网中,在无线控制器上配置符合网络需求的身份认证; ? 若 DHCP 服务器为 Windows DHCP 服务器,则在此服务器上安装 iMC DHCP Agent 程序,并根据要求设置合理参数,启用该程序; ? 根据 BYOD 需求,在 iMC BYOD
7、 服务器上设置合理的接入场景和接入策略,在 iMC BYOD 服务器上创建正式账号或访客使用的 BYOD 服务并与账号相关联。本步骤配置较多,主要流程如图 2 所示。图 2 BYOD 服务器上的配置 从易于管理的角度上看,建议为 BYOD 匿名账号、访客、接入正常账号均配置专用的 BYOD 服务,而非三类账号都共用同一个 BYOD 服务。 另外,部分企业用户可能会涉及需要部署 MDM/MAM 系统。随着移动终端大量接入网络,IT 管理者不得不将关注点从物理设备的接入管理转移到移动用户体验的管理上,尤其是会话管理控制,其中包括人表现形式数据安全和性能。对于用户体验而言,最重要的因素在于移动性的设
8、计。这意味着 IT 部门需要参与移动设备的移动应用开发,用户可以从企业应用商店直接下载这些应用。或者通过系统自动推送客户业务需求的各类 APP 应用并完成大量复杂繁琐的配置。此外,移动应用负责执行本地解密和显示操作。如果设置丢失或被盗,那么应用可以通过程序远程擦除或自行销毁。因此设计支持移动访问的应用程序,通过加密实现数据安全性,并且在会话层管理网络访问,这些都是在部署 BYOD 需要考虑的要素。H3C BYOD 解决方案中的MDM/MAM 组件可以很好地协助 IT 管理者解决移动终端在移动办公时面临的终端安全问题和移动应用管理问题。 二、BYOD 解决方案的部署要点 BYOD 的实施和部署应
9、尽量做到简单易行,消除 IT 部门的实施投入和后续管理投入、减少对网络的改动、保护现有投资,同时又保证终端使用者的易用体验。总结 H3C BYOD 的部署,需要关注以下要点: ? 在已有网络认证方式上设计一个契合业务需求的BYOD 方案,选择合适的认证方式。若选择 Portal 方式,可根据不同终端、不同 SSID 推送不同的 WEB 认证页面,且页面可实现灵活定制化; ? 终端用户帐号实现自注册。例如可部署短信网关,访客帐号通过短信注册方式获取认证指令,免去繁琐的开户过程; ? 对于希望实现快速认证的用户,可部署 BYOD 智能终端无感知快速认证,让入网更加快捷方便; ? 根据不同的接入场景
10、下发不同的网络权限。同时,在终端识别的基础上,IT 管理者能全盘控制终端接入,及时掌控终端类型,统筹 IT 资源规划;? 利用 BYOD 的 MDM/MAM 系统,实现智能终端的数据加密或信息安全管控,为企业用户推送所需 APP 应用,特别是门户 APP。 随着 VDI 越来越广泛应用,也需要结合 BYOD 方案来为企业打造一套便于员工办公的智能化系统。不论是传统的台式机和笔记本电脑,亦或是各种丰富的智能移动终端,都有其对应的 VDI 客户端用于访问企业的虚拟化数据中心。如何发挥 VDI 和 BYOD 的各自优势来满足客户业务需求同样成为 BYOD 方案部署时需要关注的对象。 此外,如果部署
11、H3C iMC 的 UBA 组件(用户行为审计),BYOD 系统可以结合 UBA 系统通过行为审计功能详细记录终端用户的行为,并在必要的时候和 BYOD 系统联动对用户做出某些强制的管控动作。 三、BYOD 定制开发业务的部署 实际部署 BYOD 业务时,用户经常会有需要将厂商的BYOD 系统和自身业务系统进行对接或者其他定制开发的需求。以 H3C BYOD 为例,其依赖的 H3CiMC 系统以业务管理和业务流程模型为核心,通过 H3CiMC 能够灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。因此,H3C BYOD 解决方案不是一个封闭固化的系统,
12、它可以根据用户需求进行灵活的定制开发。基于 iMC 的技术框架、二次开发接口等技术,用户的开发团队或 H3C 公司的定制开发团队可以为客户提供基于客户特定业务的定制开发。 常见的可定制开发的项目包括: ? 和企业 AD 服务器的对接,以方便企业正式员工的开户; ? 和第三方短信平台实现对接,以方便访客的短信开户功能; ? 和客户自身系统对接,诸如银行排队机等以满足公共场所访客的快速开户; ? 系统 web 页面定制,网页链接、广告推送等,以满足企业个性化需求; ? 和企业其他业务系统数据库对接,方便企业 IT 管理者随时调用系统数据库以满足自身业务需求。 通过定制开发业务的部署,用户可以实现个
13、性化需求,极大增强了使用 BYOD 的体验感,使得企业 IT 管理者能灵活地将各类系统完美结合,打造属于企业自身的智能化移动化办公系统。 四、结束语 BYOD 解决方案是开放、多样、灵活的,其实施和部署最关键是以充分了解用户实际需求为前提,结合用户网络资源和 BYOD 解决方案的优势,设计出符合用户 需求的部署方案。依赖 H3C iMC 系统,IT 管理者可以充分利用其灵活多维度的动态授权策略,在终端识别的基础上对各类移动终端进行智能管控和权限管理。利用 iMC开放的开发接口,和用户自身系统完美对接,同时通过部署 MDM/MAM,协助 IT 管理者解决移动终端在移动办公时面临的终端安全问题和移
14、动应用管理的问题。真正实现 BYOD Anytime、Anywhere、Anyone、Anydevice 的移动办公模式。篇二:华为 BYOD 解决方案华为 BYOD 解决方案 针对企业员工个人需求和企业策略遵从之间的矛盾,华为提供有效的平衡方案,使得员工在设备选择上拥有更大的个性化自由,在任何时候、任何场所,使用任何设备便捷的访问公司内网,运行内部应用,并确保安全策略不妥协。我们致力于为客户提供端到端的移动安全管理和灵活的应用发布的能力。从移动终端安全、网络传输安全、应用安全、敏感数据安全,以及安全管理五个维度对移动办公进行全方位防护,帮助企业在 BYOD 的高效率与信息安全之间找到最佳平衡
15、点。同时,为应对日益复杂的移动化环境,通过一个简单的平台,支持各种应用的移动化迁移,给开发工作带来良好的扩展性,更好的控制成本,使企业在全球化业务中获得竞争力。 架构和关键组件 移动安全和管理本质上要解决的问题可以概括为三个:身份和设备可识别(Identity) 、数据不泄密(Privacy) 、和设备可管理(Compliance) 。华为 BYOD 安全解决方案围绕这三个关键点,为企业用户提供业界最广泛的安全性,和最简单易用的管理方案。 AnyOffice 智能移动接入客户端 方案提供一个统一的移动安全客户端AnyOffice。AnyOffice 作为单一的移动客户端,是用户和网络、应用的唯
16、一交互界面,简洁的客户端可降低管理和维护复杂度。同时,AnyOffice 客户端是一个安全的移动办公工作台,以 One-agent 的模式集成了安全沙箱、安全邮件客户端、安全浏览器、移动终端管理(MDM)软件、L3VPN 客户端、虚拟桌面等一系列应用,可满足移动办公的通用需求,保障企业员工安全、便捷、高效地接入和访问企业内网。 另外, AnyOffice 具备环境感知特性,可通过与网络侧的接入控制网关 SACG(Security Access Control Gateway)和 SVN SSL VPN 网关联动,实现用户在公司内、外网的智能感知,无缝切换应用安全策略,带给用户一致性体验。 一致的网络接入控制* 方案中的 SACG 设备是在电信级防火墙硬件平台上开发的专用的接入控制网关,可与 AnyOffice 客户端,以及准入控制服务器联动,实现在不同环境下(公司 LAN,WLAN 或远程接入) ,提供统一的网络接入控制手段,确保一致的策略强制。SACG 通过实施安全策略遵从,基于身份认证和设备安全状态,控制设备的访问范围,确保安全、且
