广州某企业 ID网络管理平台方案 北京艾科网信科技公司

广州广州 xxx 企业企业 ID 网络管理平台方案网络管理平台方案 北京艾科网信科技有限公司 ACK Networks Inc 2020 年年 4 月月 2 日日 版本 V1 0 ACK Networks 目录目录 1 用户网络现状 4 1 1 网络安全概况 4 1 2 网络中容易出现安全问题的位置 4 2 用户需求分析 5 2 1 接入控制 5 2 2 避免重复投资 兼容现有系统 减低实施和维护成本 5 2 3 统一用户管理和认证 5 2 4 统一的实名 IP 网址管理 6 2 5 建立来宾访客网 防止与办公网互通 6 2 6 统一的实名日志审计 6 2 7 保障办公网的稳定性和可靠性 6 2 8 利用无客户端认证技术实现网络接入 减低实施和维护成本 6 2 9 能够为 IPSec 以及 SSL VPN 提供统一的身份认证 6 3 网络的边界保护 7 3 1 准入控制 7 3 1 1 网络设备的准入控制 802 1x 准入 7 3 1 2 终端软件的准入控制 7 3 1 3 实名准入控制 ID Based NAC 8 3 2 三种准入控制方法的比较 8 3 3 终端健康性检查 9 3 4 支持多种准入认证方法 9 3 5 灵活的 IP 终端和用户的绑定管理 9 3 6 防止私改和私设 IP MAC 10 3 7 根除 ARP 病毒 10 3 8 非法设备 IP MAC 接入的检测 10 3 9 用户接入网络流程及原理 11 3 10 来宾访客网 11 4 测试方案 13 4 1 测试目标 13 4 2 测试模型 13 4 3 测试步骤 15 4 3 1 测试环境的搭建 15 4 3 2 网络 IP 权限规划 15 4 3 3 配置步骤 略 16 1 用户网络现状用户网络现状 1 1 网络安全概况网络安全概况 广州 xxx 企业集团有限公司网络规模较大 集团网络中 目前也部署了较为完善的各种 网络安全设备 而在用户终端方面 目前采用 DHCP 服务器为终端进行 IP 地址的随机 动态分配 IP 地址管理较为混乱 同时也存在一些弊端 例如 需要在防火墙中设置公司领导访问互联网时时不受限制的 而普通员工则受到一 些限制 例如不允许 QQ 为了实现这一需求 于是只能为每个领导设置固定 IP 地址 然后在防火墙中为这些 IP 地址设置高访问权限的策略 而对其他 IP 地址则设置了受限 制的策略 然而这样的做法存在几个弊端 1 DHCP 环境下 任何人都可以轻易地接入到办公网 如果接入的是恶意用户 如黑客 商业间谍 可能会导致公司机密文件被窃取 或者网络服务器被攻击等等网络安全事件 发生 造成严重的后果 随着无线 wifi 的普及 这种危险性是越来越高 2 当某些员工知道领导的 IP 地址权限比较高的时候 把自己的电脑也设置为领导的 IP 于是获取了和领导一样的权限 导致领导身份被假冒 或者和领导造成 IP 地址冲突 3 当网络内部出现网络安全事件的时候 安全设备的日志是 IP 信息 然而这个 IP 是通 过 DHCP 随机下发的 此时无法定位到责任人 1 2 网络中容易出现安全问题的位置网络中容易出现安全问题的位置 上述珠啤面临的三个弊端中 归纳起来是两个看似简单的问题 一是非法接入的问题 而另一个是 IP 地址管理的问题 当前 非法接入的问题开始受到越来越多人的重视 而解决方法也很简单 也就是接入认证 然而仅做接入认证 还远远不够 一个同样严 重问题却被大多数人所忽略了 IP 地址管理的问题 在以太网中 两个人或者两台终端的通信 体现为两个 IP 地址之间的通信 所以在网 络中想要控制某些通信 就只能控制这些 IP 地址 例如想要利用防火墙阻止某个用户 访问公司服务器 那么我们将在防火墙上设置阻止该用户的 IP 地址访问该服务器 又 或者想对公司领导做上网的带宽保证 保证其上网顺畅 我们也是通过在流控设备上对 公司领导的 IP 地址进行设置 但是 实质上我们要控制的是人或者终端的通信 问题非常明显 IP 地址是任何人或终端都是可以设置或者更改的 如果不能维护一个稳 固的人 或终端 与 IP 的关系 显然 一切网络控制策略都是很难按照网络管理员的 真实意愿去执行的 因为你本来想控制的是人 可是你却只能控制 IP 地址 很明显一 般情况下这个 IP 地址与这个人并非必然关联的 因为终端的 IP 地址是可以更改的 因此 如何维护一个稳固的人 ID 与 IP 的关系 是我们这个方案需要关注的主要问 题 外外 网网 用户 要分类 用户登录 要认证 终端 要安检 终端接入 要管制 接入设备 要统一管理 接入内部 要设安全区 监管设备 要安全 要实 名 用户访问主机 要按部门 按级别 网络接出 要按人管 主机网 要加防火墙 内部网络 图图 1 网络中易出现安全问题的位置网络中易出现安全问题的位置 2 用户需求分析用户需求分析 根据对用户网络安全现状的分析 总结需求如下 2 1 接入控制接入控制 要保证网络边界的安全性以及完整性 就必须实现网络的接入控制 对接入网络的人员 进行身份认证 防止非授权用户接入办公网 2 2 避免重复投资 兼容现有系统 减低实施和维护成本避免重复投资 兼容现有系统 减低实施和维护成本 为避免重复投资 xxx 企业希望做到兼容现有设备 尽量减少重复购买 购买已有的设 备 如 避免重复采购和更换交换机 2 3 统一用户管理和认证统一用户管理和认证 必须能够对用户实现按人 按部门 按级别进行管理 必须能够支持包括动态口令牌 动态口令卡 短信等的认证方式 2 4 统一的实名统一的实名 IP 网址管理网址管理 要能够按部门 按角色 按人分配 IP 或 IP 网段 要能在 DHCP 的环境下 还能确定 IP 的目前使用人和过去使用者 必须能够对网络的地址做得统一管理 必须能够做到 IP 的统 一中心下发 以及杜绝非法设置静态 IP 地址 2 5 建立来宾访客网 防止与办公网互通建立来宾访客网 防止与办公网互通 随着 xxx 企业和其他单位的业务往来的增多 随着笔记本电脑的不断普及 越来越多的 来访人员希望在来访期间能够访问互联网 xxx 企业希望既为来宾提供上网服务 同时又防 止他们进入办公内网 2 6 统一的实名日志审计统一的实名日志审计 要能够将网络上的 IP 日志转化为按人 ID 的 ID 日志 以便以后进行审计 2 7 保障办公网的稳定性和可靠性保障办公网的稳定性和可靠性 由于 xxx 企业及其分支机构分布广 网络可靠性要求高 因此设备要能够支持双机热备 分布式部署和灾备 同时为了简化管理员的维护量 要求能够支持集中式管理 2 8 利用无客户端认证技术实现网络接入 减低实施和维护成本利用无客户端认证技术实现网络接入 减低实施和维护成本 为防止非法设备接入 防止卸载客户端软件 接入控制必须能够支持无客户端的接入控 制 这样既保证了网络安全 有可以减低实施成本和维护成本 2 9 能够为能够为 IPSec 以及以及 SSL VPN 提供统一的身份认证 提供统一的身份认证 能够为现有的 IPSec VPN 提供统一的身份认证 避免维护多套账号和密码 方便用户的 同时能够减少管理员的工作量 3 网络的边界保护 3 1 准入控制准入控制 要对各安全域的访问进行授权和控制 就必须首先做好接入控制 保证网络边界的完整 性 传统的准入控制方案可分为两类 1 网络设备的准入控制 2 终端软件的准入控制 网络设备的准入控制方案是以 Cisco 和华三为代表的 要求用户更新交换机 安装支持 802 1x 的客户端软件 终端软件的准入控制方案是以 Symantec 和北信源为代表的 要求所有可能入网的终端 设备必须安装客户端软件 3 1 1 网络设备的准入控制 802 1x 准入 网络设备准入控制代表主要是网络设备商 如 Cisco 和华三 此解决方案就要求用户将 网络交换机升级 更换为能够支持 802 1x 协议的交换机 对网络设备商来讲 这样可以使 现有客户花钱进行网络设备升级 从而保证收入 但对企业来讲 需要对交换机进行再投入 造成了不必要的浪费 当企业网络形成后 由于资金 操作难度等原因 企业很难一次性的 将所有设备全部进行更新 采用此网络准入控制方案的话 会造成已更新的网络接入设备可 以实现接入控制 而未更新的网络设备无法实现网络准入控制 从而无法保证网络边界的完 整 3 1 2 终端软件的准入控制 终端准入控制主要代表是杀毒软件厂商 如 Symantec 赛门铁克 Macfee 麦咖啡 此解决方案要求接入终端必须安装客户端软件 这涉及所有相关计算机 影响面大 容易 引起使用人员反感 实施阻力大 可实际操作性差 同时 用户的计算机各式各样 操作系 统版本新旧不一 应用程序多种多样 使客户端安装调试难度大 另外由于实施网络准入控 制 对没有安装客户端的计算机是不允许进入网络的 此解决方案只能够管理已安装客户端 软件的终端 对未安装客户端终端的管理力度不够 3 1 3 实名准入控制 ID Based NAC 实名准入控制 ID Based NAC 是专业做准入控制的设备厂家提出的解决方案 由于厂 家的利益点不在于推销交换机 因此很好地考虑了老旧交换机 不同厂家交换机的兼容问题 同时 厂家的利益点也不在于推销 PC 软件 因而很好地考虑了对安装和不安装客户端软件 终端的接入 以及其他非 Windows 操作系统 如 Linux iPhone 手机 WiFi 上网等 通过 ID 网管平台 支持所有厂商的新旧设备 不需要更新网络设备 不需要修改网 络配置 不需要安装客户端软件 就可以实现网络准入控制 3 2 三种准入控制方法的比较三种准入控制方法的比较 下面的表对三种准入控制方法进行了比较 终端软件的准入控制终端软件的准入控制 Symantec 北信源 网络设备的准入控制网络设备的准入控制 Cisco 华三 实名准入控制实名准入控制 ACK 支持 802 1x 协议YesYesYes 支持主机健康检测YesYesYes 建立隔离网 在网 络上隔离非授权终 端 NoYesYes 非 802 1x 交换机的 接入 NoNoYes 管理没有安装终端 软件的接入 NoNoYes WiFi 无线接入NoNoYes 支持手机 WiFi Linux iPho ne 接入控制 NoNoYes 访客接入控制NoNoYes 私改 私设 IP MAC无法根本解决802 1x 无法解决可以解决 施工周期较长长短 实施成本高高低 3 3 终端健康性检查终端健康性检查 ID 网管平台 产品在用户安装插件的基础上可以实现终端的安全性检查功能 可以检 测终端上的操作系统版本 系统补丁 杀毒软件等等 如果发现终端不符合健康性检查可以 拒绝其接入网络 3 4 支持多种准入认证方法支持多种准入认证方法 ID 网管平台产品支持多种认证方式 如静态密码认证 短信动态密码认证 动态口令卡 认证以及指纹认证等 而且认证方式配置灵活 可以设置某些用户使用静态密码认证 某些 用户使用动态密码认证 并且可以细粒度的控制动态密码的组成等 3 5 灵活的灵活的 IP 终端和用户的绑定管理 终端和用户的绑定管理 ID 网管平台产品可以集中管理网络中的用户以及 IP 地址 其功能包含一个具有认证功 能的 DHCP 服务器 管理员可以根据实际情况配置 IP 终端和用户之间的绑定关系 可以 配置如下绑定类型 无认证终端 IP 绑定 用户不需要进行认证 绑定的终端每次接入网络都会获取到绑定 中的正常 IP 地址 无认证用户 终端 IP 绑定 用户不需要进行认证 绑定的终端每次接入网络都会获取 到绑定中的正常 IP 地址 认证终端 IP 绑定 用户需要进行认证 不管用户是谁 认证成功后绑定的终端都会获 取到绑定中的正常 IP 地址 认证用户 IP 绑定 用户需要进行认证 不管用户使用哪个终端 认证成功后用户所使 用的终端都会获取到绑定中的正常 IP 地址 认证用户 终端 IP 绑定 用户需要进行认证 使用绑定中的终端时 认证成功后用户 所使用的终端都会获取到绑定中的正常 IP 地址 除了上面的绑定类型外 ID 网管平台还可以限制用户和终端的对应关系 可以限制用户 只能使用某个终端或者终端只能给某个用户使用等等 这中绑定的灵活性极大地方便了管理 员的网络管理工作 增强了网络准入控制的安全性 这种灵活的 IP 地址绑定技术 使得在 DHCP 环境下按照各种条件实现固定 IP 成为现实 3 6 防止私改和私设防止私改和私设 IP MAC 通过 ID 网管平台 可以实现对全网的统一 IP MAC 管理 这就保证的 IP 地址的集中 下发 当有终端私设 IP MAC 或手改 IP MAC 时 ID 网管平台 可以通过交换机上 DAI 动态 ARP 检测 功能 阻止这些非法终端上网 对于不支持 DAI 功能的交换机 如 旧式傻瓜 交换机 HUB 等 可以通过 ID 网管平台 中的 ACK DAI 功能 与交换机联动 实现同样 效果的 DAI 功能和 IP Source Guard IPSG 功能 从而阻止手改 IP 和私设 IP 3 7 根除根除 ARP 病毒病毒 实施了实名准入控制以后 ID 网管平台 实现了对全网的统一 IP MAC 管理 这就保 证了 IP MAC 和人的一一对映 而 ARP 病毒的原理就在于不断广播假的 IP 和 MAC 地址 以达到网络阻塞或窃密的目的 在交换机上启用了 DAI 功能以后 就能保证 ARP 病毒无法穿越交换机端口 由于 3com 等接入交换机不支持 DAI 功能 因此无法进一步限制 ARP 病毒的传播范围 通过 ACK DAI 的功能 可以和 3com 等交换机联动 实现 DAI 和 IPSG 功能 防止 ARP 病毒入网 同时 ID 网管平台 可以帮助网管人员定位到人 定位到具体的位置 3 8 非法设备非法设备 IP MAC 接入的检测接入的检测 在实施了实名准入控制以后 ID 网管平台 可以对 xxx 企业的全网络进行检测 一旦 有任何设备接入 ID 网管平台 会将设备隔离在隔离网中 同时将设备的 IP MAC 和其他 相关信息与注册的合法设备信息进行比较 从而防止非法设备接入办公内网 这样就保证了网络边界的完整性 3 9 用户接入网络流程及原理用户接入网络流程及原理 下面是人员进入网络的流程图 人员带终端插入交换机网口后 终端被放在 隔离网 在隔离网内 ID 网管平台 首 先判断终端是否在本地注册过 如明确是内部员工 ID 网管平台 会弹出认证网页 要求 用户输入用户名和口令 在验证用户身份后 ID 网管平台 将终端放入此用户被指定的子 安全域 而如果 ID 网管平台 发现终端未注册 则弹出页面 让用户选择是否进入 来 宾访客网 如果 是内部员工购买了新的终端 则选择网上注册页面 进行等级注册 3 10 来宾访客网来宾访客网 随着笔记本 Laptop 的不断普及 越来越多的来访者会携带自己的笔记本电脑 如何 即能够为来宾访客提供好的服务 又要保证安全 防止外来人员进入办公内网 由于 ID 网管平台 能够对内网的设备进行 设备管理 Device Management 因此 ID 网管平 台 可以区分出接入的设备是内部设备还是外部设备 在发现有外部设备接入后 ID 网管平台 可以将此设备放入 来宾访客 网 来宾 访客网 有以下几个特点 与办公网隔离 能够访问互联网 不需网管参与 来宾可在不同安全域或子安全域中都可访问互联网 防止员工误入 来宾访客网 4 测试方案 4 1 测试目标测试目标 4 2 测试模型测试模型 由于网络准入方案涉及面比较广 一般不具备大范围测试的条件 为了尽量减少测试影 响 建议就现有的两个规模较小的 vlan 和几个部门 根据 xxx 企业的需求 归纳为以下 模型进行测试 1 员工隶属部门以及所属 vlan 信息如下表所示 VLAN 部门角色姓名 经理周红 职员李四财务部 职员王五 经理钟明 职员陈平 VLAN10 开发部 职员刘星 主任张三 职员郭芳 VLAN20 信息中心 职员吴飞 员工隶属信息表 2 接入控制功能需求 A 在不需要安装认证客户端的情况下 所有员工终端接入办公网前必须进行身 份认证 包括有线接入和无线接入 B 财务部和开发部的员工只能在 VLAN10 内接入办公网 而信息中心员工在任 何 VLAN 都可以接入办公网 C 认证通过后 按照用户 ID 部门 角色等条件进行 IP 地址分配 D 默认状态下 所有员工在本 VLAN 第一次接入网络后获取的 IP 地址 将与该 用户自动绑定 从此形成固定 IP 的关系 E 接入办公网后 信息中心和开发部都不能通过网络访问财务部的终端 即财 务部与其他部门隔离 F 财务部和开发部只有经理能够访问互联网 信息中心员工在任意 VLAN 接入 都能够访问互联网 所有人在任何地方接入成功后 权限不变 G 办公网内的个人电脑终端只能专机专人使用 严禁非法使用他人电脑接入网 络 但是信息中心的员工可以使用除财务部外任何人的电脑 H 支持终端安全检查 检查终端是否安装并运行了指定的杀毒软件 否则不允 许接入办公网 I 访客来访时 允许其在任意位置接入网络 包括无线 AP 接入 允许访客访 问互联网 但是访客与办公网必须相互隔离 访客入网功能要求实现网管员免 干预 并且能够识别记录每一个访客及其终端 为安全事件提供审计记录 同 时需要防止员工接入误接入到访客网中 J 网络打印机和网络传真机等网络办公设备允许使用其原有静态 IP K 要求提供接入认证的设备能够支持双机冗余热备 并且能够支持分布式部署 和集中管理 L 为信息中心用户开放 VPN 认证 对 VPN 认证启用短信密码或者动态口令牌