网络准入控制系统集中式管理方案

网络准入系统集中式管理方案1、项目背景目前网络安全大体自从在股份企业和手下分企业在业务系统上鼎力实行信息化发展策略，目前企业运作的网络是由17家企业的内部网络经过MPLSVPN网络构成的广域网，规模弘大。同时信息技术的迅速发展以致信息网络所起的作用越来越巨大，股份企业及手下分企业的连结密度越来越大，人员沟通和业务系统的使用网络更为屡次，终端所面对的各样安全问题也越来越突出。各个企业的内网建立因规模大小和建设时间的不一样，网络的使用情况也不一样样，特别是网络设施的品牌和型号各异，而且职工和访客携带的电脑或许手机终端等可以任意接入企业网络，在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日，《国家网络安全法》宣告，明确要求各单位加强网络安全建设，而且股份企业属于上市企业，在网络安全上必定加强安全防范措施，增加网络准入控制和审计手段，完满企业的信息化安全系统。网络架构大体鉴于业务需求和网络坚固性需求，整个股份企业的各分支企业都是经过租用联通企业的MPLSVPN专线网络解决企业之间的网络连结，其中股份企业和南沙企业的网络接见需求最大。MPLSVPN网络拓扑图大体以下：图1MPLSVPN网络拓扑图概图各企业内网网络架构概图以以下图2所示：图2各企业内部网络拓扑图概图各企业的调研情况经调研统计，各企业的设施使用的情况以下表1:企业名称网络互换机网络设施接入终端数电脑办公能否支持品牌数量量人员数量广州股份公H3C、华为、30250300H3C、华为支持，12司TP-LINK、台其他不支持。D-LINK南沙分企业H3C，554005004台不支持TP-LINK无线从化分企业神州数码1373129支持海丰分企业3COM134572不支持珠丰分企业华为85076支持新丰分企业3COM84550不支持中山分企业3com，176070不支持TP-link东莞分企业3COM147099不支持梅州分企业3COM、华为、28140160华为支持、3com和科科思思不支持阳江分企业3com44047不支持湛江分企业神州数码31149165支持永信分企业Sunsea1台21020不支持荣鑫分企业华为、880112华为支持、D-LINK不D-LINK支持广西分企业华为9台、10138170华为支持3COM1台湖南分企业H3C20115130支持河北分企业3com,华为23140145不支持汕头分企业3COM266不支持表1各企业的网络设施和终端调研表从表1中可以看出各企业的人员、终端设施和网络设施等等都情况各异，需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。信息安全管理的存在风险目前，各企业都存在以下的信息安全管理风险：（1）企业内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或许职工可以轻易地把终端设施接入到办公网，特别是歹意用户（如黑客，商业间谍）的接入，可能会以致企业机密文件被盗取，或许网络服务器被攻击等等网络安全事件发生，造成严重的结果。跟着无线WIFI的普及，擅自增加外联WIFI设施用于挪动端设施上互联网，内部网络安全更犯难以控制管理。如何做到有线和无线WIFI一致的网络入网管理，是安全的重中之重。（2）窜改终端硬件信息。比方：当某些职工知道领导的IP地点权限比较高的时候，把自己的计算机也设置为领导的IP，于是获取了和领导相同的权限，以致领导身份被冒充，或许和领导使用的计算机造成IP地点矛盾而以致被矛盾的计算机网络故障，这样会直接影响业务办公。3）因为企业内网的好多网络设施是不可以管理，当网络内部出现网络安全事件的时候，很难查问到IP地点或许设施MAC地点的使用信息，难以定位到责任人。（4）因各分企业和股份企业之间的网络已经经过MPLSVPN线路建立成了一个规模更大的广域网架构，只需有一个地方的网络安全出现风险，其他地方的网络安全风险也会受影响。所以，对终端设施进行网络准入控制是保证股份企业网络信息安全的一种安全界限管理手段，需要做到全局考虑，做到分布式部署、集中管理，集中信息一致显现，以股份企业为整体设计一个适合本企业的网络准入系统，建立企业内部网络的界限管理保障系统，用于保障股份企业的网络信息安全。网络准入系统的详细需求系统功能需求准入控制要保证网络界限的安全性以及完满性，就必定实现网络准入控制，支持对接入网络的人员和终端进行身份认证和准入检查，防范非授权用户、非法终端、不安全终端接入办公网，做到安全有效的拦截。其中终端检查包括终端硬件信息检查，防病毒软件检查，系统版本及补丁检查等。用户管理可以对用户实现按人、按部门、按级别进行管理，用户数据可以从AD域中导入。支持第三方认证服务（如radius，LDAP,AD,SQL等认证方式）。IP地点的管理必定做到根绝非法设置静态IP地点并能主动检测和拦截此更变动作行为，阻截此终端的网络连结。要可以按部门、按角色、按人（ID）分派IP或IP网段。能确定IP的目前使用人和过去使用者。设置访客特定地区。因企业业务沟通需求，可以为访客供应特别通道，访客经过审批授权赞同后，访客可以借助企业网络资源连结互联网，还可以授权访客可以接见指定开放的内部资源。用户认证登录管理因企业的管理需求，将在股份企业范围内实行域控制管理模式，关于加入域的电脑可以联合域用户作为认证需求，域用户联网登录桌面系统时进行网络准入认证。未加入域的终端可以供应简单的认证方式，同时也可以经过域用户做认证。系统支持改正认证用户的密码。可以做到用户游览，即在分企业能都经过内部用户登录网络，到总部和其他分部也可以用此用户登录，获取相同权限。审计日志管理系统可以详细日志的审计功能，可以审计设施、人员、使用IP地点之间的关系信息，可以迅速审计到设施使用责任人。防范用户卸载软件，支持无客户端准入规则，防范网络架构改正出现准入漏洞。出于网络准入安全和慎重的控制要求，网络准入系统必定可以做到关于未安装客户端软件或许卸载安装客户端软件的终端设施先认证后才能入网。必定做到防范用户经过冒充合法电脑网络配置信息未经授权认证进入企业内网。必定做到防范用户擅自增加无线路由器或许非可管互换机（HUB）改变了网络架构而出现网络准入控制漏洞，以致未认证进入企业内网的现象。系统的坚固性和可靠性鉴于网络准入控制的坚固性和可靠性，在网络准入系统出现宕机或许因系统故障无法提供认证时，可以供应网络准入系统在长时间内无法恢复的紧急方案措施，保证系统可以迅速切换到无认证状态下，保证网络的正常使用。当网络准入系统恢复正常时候时，迅速切换到认证状态，保证网络的准入认证控制。系统管理简单方便因各分企业的系统保护人员的技术水平有限，有些分企业甚至缺少系统保护岗位人员，所以此系统应当偏向简单化，易管理保护。网络设施利旧优先因为考虑到本方案部署规模比较大，特别因产品方案不一样对网络设施的支持功能需求也会有所不一样。股份企业原有一台网络准入系统，可是有些新的功能需求不可以满足，从技术和投资成本上考虑，优先考虑现有网络设施的利旧问题，减少额外的花销支出，做到真实有效的花销节俭。部署方案设计依照企业对网络准入系统的实质需求和技术谈论确认，本方案采用单控制器的集中式管理方式，在股份企业部署一套网络准入系统作为管控中心，同时也负责股份企业当地网络的网络设施的准入控制，其他16家企业依照需求不一样而选择不一样性能的网络准入系统，经过VPN网络连结股份企业的管控中心，网络准入系统的网络架构图以以下图

由管控中心一致管控，由各企业的管理用户分角色管理。3所示：图3网络准入系统的网络架构图本方案部署详解以下：1）股份企业的网络准入系统集中管控中心，其他分企业的网络准入系统为不可以管控的准入代理设施，其由管控中心集中管理。2）分别在股份企业和南沙企业搭建AD域控服务器，供应职工域用户信息给职工用来做认证准入功能，这两台服务器进行数据同步。其他分企业也是由网络准入系统经过网络连结AD域控制服务器读取职工域用户信息做认证。3）逃活力制原理办理方法：当网络准入系统无效时，系统自动切换到无认证的网络模式，使已经准入认证事后的终端设施或新接入网的终端设施不受通信影响。4）故障点详细分析和应紧办理方式：故障点1、股份企业的网络准入系统故障时，作为管控中心的单点故障将会直接影响到所有企业包括股份企业当地内网的网络准入无效，会对新需要入网的终端设施无法认证入网，而已经认证后的设施在不中断内网连结的情况下其企业的内部网络通信不受影响。此时单点故障发生后，所有企业各自启用网络逃活力制，撤消网络认证功能，自动切换到无认证的网络接入模式，保证内网的正常使用。当设施系统恢复后，可切换回认证模式，恢复网络准入控制。故障点2、本方案采用的是单控制中心，当股份企业VPN线路端出现故障时，16家分公司的网络准入系统将无法经过VPN线路连结到管控中心，这会以致16家分企业的网络准入系统同时无效，会对新需要入网的终端设施无法认证入网，而已经认证后的设施在不中断内网连结的情况下在其企业的内部网通信不受影响，当此故障点发生后，16家分企业都会启用逃活力制自动切换到无认证模式的接入。故障点3、当某个分企业的VPN线路端发生单点网络故障或许网络准入系统发生的单点设施故障，此时此分企业内部的网络准入系统都会无效，会关于新需要入网的终端设施无法认证入网，而已经认证后的设施在不中断内网连结的情况下在其企业的内网通信不受影响，此分企业会启用逃活力制自动切换到无认证模式的接入。招标技术要求股份企业原有一套网络准入系统（使用标准的DHCP和准入技术），可是不可以满足此方案中的所有需求。为了做到利旧的原则，原有的网络准入系统原则上不做裁汰，新准入系统最好能兼容或许最大限度的利用原有的准入系统。详细的准入系统技术要求以下：（1）整体要求：支持总合好多于3500终端的准入性能赞同，准入方案中需要说明是利用原有准入硬件系统只供应软件还是供应新的硬件系统，假如供应新硬件，需要新硬件ALLInOne要求，单台设施支持所有功能，无需再配置服务器或许第三方系统软件，并说明如何利用原有准入系统。个分企业要做到股份企业一致准入管理；准入方案要拥有可扩展性，为此后企业的容灾扩展供应方便，方案中要说明。供应给急逃生方案。（2）内网接入控制技术要求：鉴于DHCP的Webportal认证接入，同时可联合准入一同使用支持无客户端准入无线接入控制支持老旧互换机和Hub的接入控制不得使用串接、策略路由、改正互换机VLAN的准入控制技术建立接入间隔网，间隔不明终端支持贵宾访客网。（3）用户管理要求：能联合AD域用户，自动同步AD域用户，实现AD域单点登录用户自注册、自服务定制用户口令安全等级、弱口令词典、过期时间用户口令防暴力破解支持外联LDAP、SQL用户数据库（4）IP地点管理要求接入网络非法IP自动间隔，根绝非法设置IP造成IP矛盾内嵌DHCP服务，认证后的DHCP地点分派鉴于组/角色/终端的IP地点下发，IP一致可视化管理鉴于认证的IP地点管理互换机端口接入人及状态的图像直观显示（5）认证要求：可以做到无客户端逼迫认证支持动向口令牌和动向口令卡内嵌RADIUS服务器、RADIUS一致认证鉴于用户、部门或角色定义认证强度短信方式多因素认证其他网络设施的ID扩展接口(API)支持第三方认证系统，并实现无缝集成。（6）哑终端准入要求：支持哑终端设施指纹扫描，无需安装客户端或插件，鉴识独一设施种类哑终端设施指纹支持：防范非法终端仿冒设施（网络打印机、网络摄像优等）（7）主机健康检测要求：逼迫插件安装对终端杀毒软件检查，防范无杀毒能力终端入网可以检查终端网卡的独一性、禁止Proxy代理按不一样网段定制不一样主机健康检查策略按不一样的终端组定制不一样主机健康检查策略。8）用户上网、下网审计要求：IP使用人及时和历史记录查找IP网段目前使用人及状态直观图表显示用户IP及时和历史记录查找对IP日志的按用户管理和查找可供应详细的报表以及标准的日志导出、存贮、查问功能。9）部署方式及应急灾备：旁路式部署，不改变网络构造可实现多级分布、分级部署，由一个平台一致管理可实现跨路由的数据分布式同步多台互为容灾热备(Active/Active)设施支持异地容灾、当地双机冗余热备（HA）等产品购置清单产品名称数量备注网络准入系统1股份企业使用，3年的4小时内供应股份企业的备机服务。网络准入系统16其他16家分企业使用，依照用户和终端数量抉择性能需求。6项目实行周期因本方案是以股份企业为整体设计的方案，涉及企业单位共有17家，所以实行周期会比较长，实行安装需要分3期，由信息部系统组和厂家技术支持为