《网络准入控制系统集中式管理方案》由会员分享,可在线阅读,更多相关《网络准入控制系统集中式管理方案(8页珍藏版)》请在金锄头文库上搜索。
1、网络准入系统集中式管理方案1、项目背景1.1 目前网络平安概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模浩大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员沟通和业务系统的运用网络更为频繁,终端所面临的各种平安问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的运用状况也不一样,特殊是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息平安管理上存在很大的管理难度和平安风险。201
2、7年6月1日,国家网络平安法颁布,明确要求各单位加强网络平安建设,而且股份公司属于上市公司,在网络平安上必需加强平安防范措施,增加网络准入限制和审计手段,完善公司的信息化平安体系。1.2 网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。MPLS VPN网络拓扑图也许如下:图1 MPLS VPN 网络拓扑图概图 各公司内网网络架构概图如下图2所示:图2 各公司内部网络拓扑图概图1.3 各公司的调研状况经调研统计,各公司的设备运用的状况如下表1:公司名称网络交换机品牌网
3、络设备数量接入终端数量电脑办公人员数量是否支持802.1X广州股份公司H3C、华为、TP-LINK、D-LINK30250300H3C、华为支持,12台其他不支持。南沙分公司H3C,TP-LINK无线554005004台不支持从化分公司神州数码1373129支持海丰分公司3COM134572不支持珠丰分公司华为85076支持新丰分公司3COM84550不支持中山分公司3com,TP-link176070不支持东莞分公司3COM147099不支持梅州分公司3COM、华为、科思28140160华为支持、3com和科思不支持阳江分公司3com44047不支持湛江分公司神州数码31149165支持永信
4、分公司Sunsea 1台21020不支持荣鑫分公司华为、D-LINK880112华为支持、D-LINK不支持广西分公司华为9台、3COM 1台10138170华为支持湖南分公司H3C 20115130支持河北分公司3com,华为23140145不支持汕头分公司3COM266不支持 表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都状况各异,须要从多角度考虑信息平安的管理技术问题和网络准入方案的技术可行性。1.4 信息平安管理的存在风险目前,各公司都存在如下的信息平安管理风险:(1) 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证限制
5、和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特殊是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络平安事务发生,造成严峻的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络平安更加难以限制管理。如何做到有线和无线WIFI统一的网络入网管理,是平安的重中之重。(2) 篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获得了和领导一样的权限,导致领导身份被假冒,或者和领导运用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会干脆影响业务
6、办公。(3)因为公司内网的许多网络设备是不行管理,当网络内部出现网络平安事务的时候,很难查询到IP地址或者设备MAC地址的运用信息,难以定位到责任人。 (4)因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构,只要有一个地方的网络平安出现风险,其他地方的网络平安风险也会受影响。所以,对终端设备进行网络准入限制是保证股份公司网络信息平安的一种平安边界管理手段,须要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息平安。2 网络准入系统的具
7、体需求2.1 系统功能需求2.1.1 准入限制 要保证网络边界的平安性以及完整性,就必需实现网络准入限制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、担心全终端接入办公网,做到平安有效的拦截。其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等。2.1.2 用户管理 能够对用户实现按人、按部门、按级别进行管理,用户数据能够从AD域中导入。支持第三方认证服务(如radius,LDAP,AD,SQL等认证方式)。2.1.3 IP地址的管理必需做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接。要能够按部门、按角色、按
8、人(ID)安排IP或IP网段。能确定IP的目前运用人和过去运用者。2.1.4 设置访客特定区域。因公司业务沟通需求,能够为访客供应特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源。2.1.5 用户认证登录管理因公司的管理需求,将在股份公司范围内推广域限制管理模式,对于加入域的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证。未加入域的终端能够供应简易的认证方式,同时也可以通过域用户做认证。系统支持修改认证用户的密码。能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获得
9、同等权限。2.1.6 审计日志管理系统能够具体日志的审计功能,能够审计设备、人员、运用IP地址之间的关联信息,能够快速审计到设备运用责任人。2.1.7 防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞。出于网络准入平安和严谨的限制要求,网络准入系统必需能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网。必需做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网。必需做到防止用户私自增加无线路由器或者非可管交换机(HUB)变更了网络架构而出现网络准入限制漏洞,导致未认证进入公司内网的现象。2.1.8 系统的稳定性和牢靠性鉴于网络准入限制的稳
10、定性和牢靠性,在网络准入系统出现宕机或者因系统故障无法供应认证时,能够供应网络准入系统在长时间内无法复原的紧急预案措施,保证系统能够快速切换到无认证状态下,保证网络的正常运用。当网络准入系统复原正常时候时,快速切换到认证状态,保证网络的准入认证限制。2.1.9 系统管理简洁便利因各分公司的系统维护人员的技术水平有限,有些分公司甚至缺少系统维护岗位人员,所以此系统应当偏向简洁化,易管理维护。2.1.10 网络设备利旧优先 因为考虑到本方案部署规模比较大,特殊因产品方案不同对网络设备的支持功能需求也会有所不同。股份公司原有一台网络准入系统,但是有些新的功能需求不能满意,从技术和投资成本上考虑,优先
11、考虑现有网络设备的利旧问题,削减额外的费用支出,做到真正有效的费用节约。3 部署方案设计依据公司对网络准入系统的实际需求和技术探讨确认,本方案实行单限制器的集中式管理方式,在股份公司部署一套网络准入系统作为管控中心,同时也负责股份公司本地网络的网络设备的准入限制,其他16家公司依据需求不同而选择不同性能的网络准入系统,通过VPN网络连接股份公司的管控中心,由管控中心统一管控,由各公司的管理用户分角色管理。网络准入系统的网络架构图如下图3所示:图3 网络准入系统的网络架构图本方案部署详解如下: (1)股份公司的网络准入系统集中管控中心,其他分公司的网络准入系统为不行管控的准入代理设备,其由管控中
12、心集中管理。(2)分别在股份公司和南沙公司搭建AD域控服务器,供应员工域用户信息给员工用来做认证准入功能,这两台服务器进行数据同步。其他分公司也是由网络准入系统通过网络连接AD域限制服务器读取员工域用户信息做认证。(3)逃命机制原理处理方法:当网络准入系统失效时,系统自动切换到无认证的网络模式,使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响。(4)故障点具体分析和应紧处理方式:故障点1、股份公司的网络准入系统故障时,作为管控中心的单点故障将会干脆影响到全部公司包括股份公司本地内网的网络准入失效,会对新须要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的状况下其公司
13、的内部网络通信不受影响。此时单点故障发生后,全部公司各自启用网络逃命机制,取消网络认证功能,自动切换到无认证的网络接入模式,保证内网的正常运用。当设备系统复原后,可切换回认证模式,复原网络准入限制。故障点2、本方案采纳的是单限制中心,当股份公司VPN线路端出现故障时,16家分公司的网络准入系统将无法通过VPN线路连接到管控中心,这会导致16家分公司的网络准入系统同时失效,会对新须要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的状况下在其公司的内部网通信不受影响,当此故障点发生后,16家分公司都会启用逃命机制自动切换到无认证模式的接入。 故障点3、当某个分公司的VPN线路端发生
14、单点网络故障或者网络准入系统发生的单点设备故障,此时此分公司内部的网络准入系统都会失效,会对于新须要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的状况下在其公司的内网通信不受影响,此分公司会启用逃命机制自动切换到无认证模式的接入。 4 招标技术要求股份公司原有一套网络准入系统(运用标准的DHCP和802.1X准入技术),但是不能满意此方案中的全部需求。为了做到利旧的原则,原有的网络准入系统原则上不做淘汰,新准入系统最好能兼容或者最大限度的利用原有的准入系统。具体的准入系统技术要求如下:(1) 总体要求:n 支持总共不少于3500终端的准入性能许可,准入方案中须要说明是利用原有
15、准入硬件系统只供应软件还是供应新的硬件系统,假如供应新硬件,须要新硬件ALL In One要求,单台设备支持全部功能,无需再配置服务器或者第三方系统软件,并说明如何利用原有准入系统。n 16个分公司要做到股份公司统一准入管理;n 准入方案要具有可扩展性,为以后公司的容灾扩展供应便利,方案中要说明。n 供应应急逃命方案。(2)内网接入限制技术要求:n 基于DHCP的Webportal认证接入,同时可结合802.1X准入一起运用n 支持无客户端准入n 无线接入限制n 支持老旧交换机和Hub的接入限制n 不得运用串接、策略路由、更改交换机VLAN的准入限制技术n 建立接入隔离网,隔离不明终端n 支持来宾访客网。(3)用户管理要求:n 能结合AD域用户,自动同步AD域用户,实现AD域单点登录n 用户自注册、自服务n 定制用户口令平安等级、弱口令字典、过期时间n 用户口令防暴
