《广州某企业 ID网络管理平台方案 北京艾科网信科技公司.doc》由会员分享,可在线阅读,更多相关《广州某企业 ID网络管理平台方案 北京艾科网信科技公司.doc(16页珍藏版)》请在金锄头文库上搜索。
1、ACK Networks广州xxx企业ID网络管理平台方案北京艾科网信科技有限公司ACK Networks, Inc.2011年2月27日版本:V1.0目录1.用户网络现状41.1.网络安全概况41.2.网络中容易出现安全问题的位置42.用户需求分析52.1.接入控制52.2.避免重复投资、兼容现有系统,减低实施和维护成本52.3.统一用户管理和认证52.4.统一的实名IP网址管理62.5.建立来宾访客网,防止与办公网互通62.6.统一的实名日志审计62.7.保障办公网的稳定性和可靠性62.8.利用无客户端认证技术实现网络接入,减低实施和维护成本62.9.能够为IPSec以及SSL-VPN提供
2、统一的身份认证。63.网络的边界保护73.1.准入控制73.1.1.网络设备的准入控制(802.1x准入)73.1.2.终端软件的准入控制73.1.3.实名准入控制 (ID-Based NAC)83.2.三种准入控制方法的比较83.3.终端健康性检查93.4.支持多种准入认证方法93.5.灵活的IP、终端和用户的绑定管理93.6.防止私改和私设IP/MAC103.7.根除ARP病毒103.8.非法设备(IP/MAC)接入的检测103.9用户接入网络流程及原理113.10来宾访客网114.测试方案134.1.测试目标134.2.测试模型134.3.测试步骤154.3.1 测试环境的搭建154.3
3、.2 网络IP权限规划154.3.3配置步骤(略)161. 用户网络现状1.1. 网络安全概况广州xxx企业集团有限公司网络规模较大,集团网络中,目前也部署了较为完善的各种网络安全设备。而在用户终端方面,目前采用DHCP服务器为终端进行IP地址的随机动态分配,IP地址管理较为混乱,同时也存在一些弊端。例如:需要在防火墙中设置公司领导访问互联网时时不受限制的,而普通员工则受到一些限制(例如不允许QQ)。为了实现这一需求,于是只能为每个领导设置固定IP地址,然后在防火墙中为这些IP地址设置高访问权限的策略;而对其他IP地址则设置了受限制的策略。然而这样的做法存在几个弊端:1. DHCP环境下,任何
4、人都可以轻易地接入到办公网,如果接入的是恶意用户(如黑客,商业间谍),可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线wifi的普及,这种危险性是越来越高。2.当某些员工知道领导的IP地址权限比较高的时候,把自己的电脑也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导造成IP地址冲突。3.当网络内部出现网络安全事件的时候,安全设备的日志是IP信息,然而这个IP是通过DHCP随机下发的,此时无法定位到责任人。1.2. 网络中容易出现安全问题的位置上述珠啤面临的三个弊端中,归纳起来是两个看似简单的问题,一是非法接入的问题,
5、而另一个是IP地址管理的问题。当前,非法接入的问题开始受到越来越多人的重视,而解决方法也很简单,也就是接入认证。然而仅做接入认证,还远远不够,一个同样严重问题却被大多数人所忽略了-IP地址管理的问题。在以太网中,两个人或者两台终端的通信,体现为两个IP地址之间的通信,所以在网络中想要控制某些通信,就只能控制这些IP地址。例如想要利用防火墙阻止某个用户访问公司服务器,那么我们将在防火墙上设置阻止该用户的IP地址访问该服务器;又或者想对公司领导做上网的带宽保证,保证其上网顺畅,我们也是通过在流控设备上对公司领导的IP地址进行设置。但是,实质上我们要控制的是人或者终端的通信。问题非常明显,IP地址是
6、任何人或终端都是可以设置或者更改的,如果不能维护一个稳固的人(或终端)与IP的关系,显然,一切网络控制策略都是很难按照网络管理员的真实意愿去执行的,因为你本来想控制的是人,可是你却只能控制IP地址,很明显一般情况下这个IP地址与这个人并非必然关联的,因为终端的IP地址是可以更改的。因此,如何维护一个稳固的人(ID)与IP的关系,是我们这个方案需要关注的主要问题。外网用户:要分类用户登录:要认证终端:要安检终端接入:要管制接入设备:要统一管理接入内部:要设安全区监管设备:要安全,要实名用户访问主机:要按部门、按级别网络接出:要按人管主机网:要加防火墙内部网络 图1 网络中易出现安全问题的位置2.
7、 用户需求分析根据对用户网络安全现状的分析,总结需求如下:2.1. 接入控制要保证网络边界的安全性以及完整性,就必须实现网络的接入控制,对接入网络的人员进行身份认证,防止非授权用户接入办公网。2.2. 避免重复投资、兼容现有系统,减低实施和维护成本为避免重复投资,xxx企业希望做到兼容现有设备。尽量减少重复购买,购买已有的设备。如:避免重复采购和更换交换机。2.3. 统一用户管理和认证必须能够对用户实现按人、按部门、按级别进行管理。必须能够支持包括动态口令牌、动态口令卡,短信等的认证方式。2.4. 统一的实名IP网址管理要能够按部门、按角色、按人分配IP或IP网段。要能在DHCP的环境下,还能
8、确定IP的目前使用人和过去使用者。必须能够对网络的地址做得统一管理。必须能够做到IP的统一中心下发,以及杜绝非法设置静态IP地址。2.5. 建立来宾访客网,防止与办公网互通随着xxx企业和其他单位的业务往来的增多,随着笔记本电脑的不断普及,越来越多的来访人员希望在来访期间能够访问互联网。xxx企业希望既为来宾提供上网服务,同时又防止他们进入办公内网。2.6. 统一的实名日志审计要能够将网络上的IP日志转化为按人(ID)的ID日志,以便以后进行审计。2.7. 保障办公网的稳定性和可靠性由于xxx企业及其分支机构分布广,网络可靠性要求高,因此设备要能够支持双机热备、分布式部署和灾备,同时为了简化管
9、理员的维护量,要求能够支持集中式管理。2.8. 利用无客户端认证技术实现网络接入,减低实施和维护成本为防止非法设备接入,防止卸载客户端软件,接入控制必须能够支持无客户端的接入控制。这样既保证了网络安全,有可以减低实施成本和维护成本。2.9. 能够为IPSec以及SSL-VPN提供统一的身份认证。 能够为现有的IPSec VPN提供统一的身份认证,避免维护多套账号和密码,方便用户的同时能够减少管理员的工作量。3.网络的边界保护3.1.准入控制要对各安全域的访问进行授权和控制,就必须首先做好接入控制。保证网络边界的完整性。传统的准入控制方案可分为两类:1.网络设备的准入控制;2.终端软件的准入控制
10、。网络设备的准入控制方案是以Cisco和华三为代表的。要求用户更新交换机。安装支持802.1x的客户端软件。终端软件的准入控制方案是以Symantec和北信源为代表的。要求所有可能入网的终端设备必须安装客户端软件。3.1.1.网络设备的准入控制(802.1x准入)网络设备准入控制代表主要是网络设备商,如Cisco和华三。此解决方案就要求用户将网络交换机升级,更换为能够支持802.1x协议的交换机。对网络设备商来讲,这样可以使现有客户花钱进行网络设备升级,从而保证收入。但对企业来讲,需要对交换机进行再投入,造成了不必要的浪费。当企业网络形成后,由于资金、操作难度等原因,企业很难一次性的将所有设备
11、全部进行更新。采用此网络准入控制方案的话,会造成已更新的网络接入设备可以实现接入控制,而未更新的网络设备无法实现网络准入控制,从而无法保证网络边界的完整;3.1.2.终端软件的准入控制终端准入控制主要代表是杀毒软件厂商,如Symantec(赛门铁克),Macfee(麦咖啡)。此解决方案要求接入终端必须安装客户端软件,这涉及所有相关计算机,影响面大。容易引起使用人员反感,实施阻力大,可实际操作性差。同时,用户的计算机各式各样,操作系统版本新旧不一,应用程序多种多样,使客户端安装调试难度大。另外由于实施网络准入控制,对没有安装客户端的计算机是不允许进入网络的,此解决方案只能够管理已安装客户端软件的
12、终端,对未安装客户端终端的管理力度不够。3.1.3.实名准入控制 (ID-Based NAC)实名准入控制(ID-Based NAC)是专业做准入控制的设备厂家提出的解决方案。由于厂家的利益点不在于推销交换机,因此很好地考虑了老旧交换机、不同厂家交换机的兼容问题。同时,厂家的利益点也不在于推销PC软件,因而很好地考虑了对安装和不安装客户端软件终端的接入,以及其他非Windows操作系统(如:Linux,iPhone, 手机WiFi上网等).通过“ID网管平台”,支持所有厂商的新旧设备,不需要更新网络设备,不需要修改网络配置,不需要安装客户端软件,就可以实现网络准入控制。3.2.三种准入控制方法
13、的比较下面的表对三种准入控制方法进行了比较:终端软件的准入控制(Symantec, 北信源)网络设备的准入控制(Cisco,华三)实名准入控制(ACK)支持802.1x协议YesYesYes支持主机健康检测YesYesYes建立隔离网,在网络上隔离非授权终端NoYesYes非802.1x交换机的接入NoNoYes管理没有安装终端软件的接入NoNoYesWiFi无线接入NoNoYes支持手机WiFi、Linux、iPhone接入控制NoNoYes访客接入控制NoNoYes私改、私设IP/MAC无法根本解决802.1x无法解决可以解决施工周期较长长短实施成本高高低3.3.终端健康性检查“ID网管平
14、台”产品在用户安装插件的基础上可以实现终端的安全性检查功能,可以检测终端上的操作系统版本、系统补丁、杀毒软件等等,如果发现终端不符合健康性检查可以拒绝其接入网络。3.4.支持多种准入认证方法ID网管平台产品支持多种认证方式,如静态密码认证、短信动态密码认证、动态口令卡认证以及指纹认证等。而且认证方式配置灵活,可以设置某些用户使用静态密码认证,某些用户使用动态密码认证,并且可以细粒度的控制动态密码的组成等。3.5.灵活的IP、终端和用户的绑定管理ID网管平台产品可以集中管理网络中的用户以及IP地址,其功能包含一个具有认证功能的DHCP服务器,管理员可以根据实际情况配置IP、终端和用户之间的绑定关
15、系,可以配置如下绑定类型: 无认证终端/IP绑定:用户不需要进行认证,绑定的终端每次接入网络都会获取到绑定中的正常IP地址; 无认证用户/终端/IP绑定:用户不需要进行认证,绑定的终端每次接入网络都会获取到绑定中的正常IP地址; 认证终端/IP绑定:用户需要进行认证,不管用户是谁,认证成功后绑定的终端都会获取到绑定中的正常IP地址; 认证用户/IP绑定:用户需要进行认证,不管用户使用哪个终端,认证成功后用户所使用的终端都会获取到绑定中的正常IP地址; 认证用户/终端/IP绑定:用户需要进行认证,使用绑定中的终端时,认证成功后用户所使用的终端都会获取到绑定中的正常IP地址;除了上面的绑定类型外,ID网管平台还可以
