《无线网络及安全系统设计书.doc》由会员分享,可在线阅读,更多相关《无线网络及安全系统设计书.doc(34页珍藏版)》请在三一办公上搜索。
1、1. 网络及安全系统设计计算机网络作为一个通信基础设施体系,不仅涉及大量的数据、语音和图像视频传输,同时也对系统的实时性和可靠性提出较高的要求。因此,建设一个先进、高效、合理的计算机网络系统十分的必要。2. 系统建设的原则系统高可靠性高效稳定的系统,能提供全年365天,每天24小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,以确保系统稳定。高性能可扩展性能够根据应用需求方便地进行系统扩充和技术扩展,满足应用系统需求。支持各种高速网络技术(千兆以太网,快速以太网);全系列的交换产品,拓展网络带宽。网络系统的高安全性划分VLAN,并通过核心交换
2、机中的三层路由中的包过滤功能,限制和隔离数据报;提高整个网络的安全性。系统的开放性系统在设计时均采用国际标准协议。如网络管理基于SNMP,并支持RMON和RMON2;VLAN协议支持国际标准IEEE802.1Q等。系统的先进性选用当前业界领先且代表主流发展方向的网络技术来设计相应的系统, 3. 系统设计3.1网络拓扑图3.2 网络配置说明3.2.1 防火墙配置说明防火墙部署:在Internet公网出口部署1台Hillstone SG-6000-M3100高性能防火墙,实现Internet公网与其它各安全区域之间,以及对Internet的访问控制和对来自Internet的各种攻击进行有效的防御。
3、在应用服务器区部署1台Hillstone SG-6000-M3100高性能防火墙,实现应用服务器区与其它各安全区域之间,以及对Internet的访问控制,同时可有效保护应用服务器区不受各种网络攻击。移动用户的接入安全:移动用户可以采用SSL VPN方式,实现对内部资源的安全访问。在Internet出口部署的1台Hillstone SG-6000-M3100设备已集成SSLVPN功能,用户只需通过Internet访问此设备,然后经过认证服务器的认证后,建立VPN通道,即可安全地访问被授权的内网资源。Hillstone SG-6000-M3100简介:SG-6000是Hillstone山石网科公司
4、全新推出的新一代多核安全网关系列产品。其基于角色,深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3100处理能力高达1Gbps,适用于政府机关、企业等机构,可部署在网络的主要结点、总出口及数据中心,为网络提供基于角色,深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。新一代防火墙 - 深度应用安全随着网络的快速发展,越来越多的应用都建立在HTTP/HTTPS等应用层协议之上。新的安
5、全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IP
6、SecVPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。Hillstone独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的缺点。SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。内容安全(UTM Plus)SG-6000可选UTM Plus软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功
7、能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到及时响应。安全可视化 - 基于角色和应用的管理没有能见度就谈不上安全。StoneOS的应用和身份识别,能够满足越来越多的深度安全需求。基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中,通过用户
8、的名称审阅相关记录使查找更简单。基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。全并行处理的安全架构(多核Plus G2)Hillstone山石网科自主开发的64位实时安全操作系统StoneOS,具备强大的并行处理能力。 StoneOS采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS实现了从网络层到应用层的多核全并行处理
9、。因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。可扩展的模块化设计(多核Plus G2)SG-6000-G5150支持三种类型的扩展模块:接口扩展模块,应用处理扩展模块,存储扩展模块。模块化设计充分保护用户投资。通过增加接口扩展模块提高设备的连接性,使设备不会因为网络带宽或应用系统的升级而过时;增加应用处理扩展模块,可以提高本机应用处理能力,让应用处理不再成为性能瓶颈;存储扩展模块可以实时记录NAT日志,Web访问记录,Web内容审计等日志,满足公安部82
10、号令的要求。在校园网和小区宽带等大流量的场合,也可以使用外置高性能日志服务器。关键指标 SG-6000-M3100防火墙吞吐量1GbpsIPSec吞吐量(1)500Mbps最大并发连接(标配/最大)40/100万防病毒吞吐量(2)70MbpsIPS吞吐量(3)200Mbps每秒新建连接(4)10,000 IPSec隧道数1,000最大SSL VPN 用户数500管理接口1个配置口, 1个USB 2.0口网络接口8个千兆电口电源规格单45W 电源输入范围交流 100-240V 50/60Hz外形尺寸(WDH,mm)1U (442 x 241 x 44)重量5kg工作环境温度0-40工作环境湿度1
11、0-95%(不结露)3.2.2入侵检测系统我们推荐选用入侵防御系统(IPS),集成入侵防御与入侵检测功能(IDS),即可实现检测功能,也可实现对有害行为进行阻断。我们选用绿盟科技的“冰之眼”网络入侵保护系统。作为入侵检测功能使用(采用旁路模式部署),可以实现实时监控和检测网络或系统中的活动状态,一旦发现网络中的可疑行为或恶意攻击,IDS便可做出及时的报警和响应。在本系统中我们建议采用旁路部署模式,起到入侵检测功能(IDS),我们把服务器网段映射到IDS端口,检测服务器网段的所有攻击。绿盟 NIPS600A简介:绿盟网络入侵防护系(NSFOCUS Network Intrusion Preven
12、tion System,简称:NSFOCUSNIPS) 是绿盟科技自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。 入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。 Web威胁防护基于互联网Web站点的挂马检测结果,结合URL信誉评价
13、技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。流量控制阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。用户上网行为监管全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。 产品型号规格和性能NSFOCUS NIPS 600 Series业务接口SOLT插槽XSFP+接口XSFP接口XGE接口8BYPASS4路电口管理接口管理接口1GE配置串口1个RS232性能参数吞吐量(
14、双向)600Mbps最大并发TCP会话数20万每秒新增TCP会话数15万时延(us)100 s物理指标尺寸320*428*44.5mm(1U)重量5.4千克电源100-240V ,AC,(50-60HZ),4A,180W平均无故障时间(MTBF)超过100,000小时工作温度0403.2.3 网络安全管理系统在本项目中网络安全管理系统采用联软科技UniAccess终端准入以及安全管理产品及UniMon综合运行监控。3.2.3.1 方案设计原则方案设计遵循如下原则:1) 先进性原则:提供一致的管理平台和管理界面,在复杂的IT异构环境中实现统一管理,实现分布式、跨平台、跨系统的集中管理。2) 开放
15、性原则:能够提供标准的和开放的应用接口及开发工具,符合IT技术未来的发展方向。3) 可扩展性原则:具有高度可扩充性,能随IT系统和企业业务的增长而增长。4) 安全性原则:对管理对象性能影响小,安全策略执行有效。5) 可靠性原则:系统架构支持高可靠性,避免因为服务宕机或者网络通讯故障导致终端设备不能接入网络的情况,提供备份和冗余的架构和部署方案。6) 兼容性原则:系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机、Windows版本的管理,是一个采用国际、国家或者行业标准的开放系统,以便能够支持升级后的IT系统管理7) 易用性原则:提供运行维护管理平台与工具,简单、
16、友好的界面,进行直观的操作和管理,提供丰富准确的报表和统计数据。3.2.3.2 方案设计思路1. 遵循ITIL标准在“IT管理”方面,目前全球各大企业均在部署实施IT服务管理系统,IT服务管理是用来提升IT服务效率,协调IT服务部门内部运作,改善IT部门与业务部门之间的沟通,帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理结合企业环境、组织结构、IT资源和管理流程特点,将流程、人和技术三方面整合在一起来解决IT服务管理问题。IT服务管理以客户需求(在企业内部则为企业内各部门的业务需求)为中心,支持企业的业务服务。解决方案设计要采用IT服务管理的理念,按照ITIL最佳
17、实践标准来设计。2. 遵循ISO 17799标准ISO17799作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。ISO17799中,除了安全思路之外,给出了许多非常细致的安全管理指导规范。在ISO17799中有一个非常有名的安全模型,称为PDCA安全模型。PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。联软科技认为,三门核电的桌面安全管理,也将是一个持续、动态、不断改进的过程,Le
18、agView UniAccess安全接入管理系统将为三门核电提供统一的、集成化的平台和工具,帮助三门核电对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。3. 统一的集成化管理平台三门核电的无线网络安全管理系统必须提供统一的、集成化管理平台。解决方案要向IT系统管理员提供一个统一的登录入口,有整体的桌面安全视图,呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到桌面安全的运行状况,终端的安全设置,也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。通过统一的集成化的管理平台,管理员可以完成所有与桌面安全管理维护相关的各种任务,具体包括:l 网络准入控制
19、管理;l 补丁分发管理;l 桌面安全策略设置,包括:移动存储控制、主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等的设置;l 统一的集成化管理平台对管理员的各种操作,应提供审计功能,以备事后审计;l 分级式的系统架构,支持分时段、分区域的管理;l 综合运行监控,包括网络交换机状态、服务器状态等。4. 支持多厂商/多平台解决方案设计的系统要能够实现对主流厂商的网络设备、多种桌面操作系统的支持,是一个采用国际、国家或者行业标准的开放系统,以便将来的网络扩容、系统升级。5. 人、计算机统一管理终端管理需要将计算机、人和组织将结合起来管理。很多计算机的管理信息需要通过人来反映,如计算
20、机有问题时,通常需要知会计算机的用户。设置安全策略,直接设置到人比机器更加直观。3.2.3.3 终端安全管理系统架构一、UniAccess的终端安全管理总体思路LeagView UniAccess对电脑终端进行安全管理的总体思路是:联软科技的网络准入控制系统流程与普通旅客登录飞机的流程可相媲美:1) 均是国际认可的安全管理标准;2) 均具备访客区、修复区、工作区的概念;3) 均具备强身份检查和安检流程;以上过程完全满足网络准入控制的目的和意义:能确保合法的、健康的终端接入内部网络访问被授权的资源。首先,通过网络准入控制技术,确保接入网络的电脑终端符合如下要求:1) 常规接入,对于内部员工、合作
21、支持厂商及外来访客等人员的常规网络访问,必须符合网络常规接入管理规定,例如:拥有合法的访问帐号、安装了指定的操作系统等,支持并自带802.1X验证功能的版本。如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离。通过操作系统自带验证功能实现终端接入的初级管理,非授权终端不能访问网络,接入成功的终端可以访问日常办公区域和互联网等。2) 安全接入,对于内部员工、合作支持厂商及业务相关人员的特殊或涉密网络访问,必须安装Agent,如果是未安装Agent的电脑终端接入网络,其打开WEB浏览器访问任何Web site时,将被重定向到管理员指定的一个页面,提醒其安装Agent。不安装Agen
22、t的电脑将无法访问制定网络(特殊电脑可以例外)。安装了Agent的终端必须符合网络安全接入管理规定,例如:拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。通过客户端Agent实现终端接入的高级管理,保证接入制定区域的终端安全、可信,接入成功的终端可以访问重要的区域,如:生产网和承载网等。然后,对安装了Agent的电脑终端,进行进一步的管理控制,包括:1) 安全设置检查、加固,非法操作的管理、限制2) 防止文件非法外传(U盘/软盘/共享等)3) 电脑终端的集中式管理,例如,资产管理
23、、软件分发、远程控制、补丁管理、分组策略分发、集中审计。再次,要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。1) Agent自带反卸载、反非法中止、非法删除功能;2) 如果电脑终端私自卸载Agent(如重新安装操作系统)或者中止Agent的运行,LeagView UniAccess后台系统可以及时发现这种行为。企业可以依据有关安全管理规范对其进行警告或者处罚,防范这种行为的再次发生。二、UniAccess的终端安全管理系统架构下图是联软科技的LeagView UniAccess网络安全管理系统架构。图表 1 网络安全管理系统架构首先,LeagView Un
24、iAccess安全接入管理系统,通过网络准入控制技术,对接入网络的电脑终端进行实时安全检查,检查的内容包括:1) 账户检查:用户名和密码p 防止外来人员私自安装一个相同的Agent后接入网络2) 安全设置规范检查: 终端的安全设置p 检查系统账户,包括:Guest账户和弱口令检查;p Windows域检查,检查终端是否加入指定的Windows域;p 检查可写共享设置,检查终端是否设置了可写或者没有权限限制的可写共享;p 检查终端操作系统补丁安装情况;p 检查终端的防病毒安装情况及其病毒特征库是否及时升级;p 检查终端是否有可疑的注册表项;p 检查终端是否有可疑的文件存在;p 检查终端是否安装了
25、非法软件。3) 终端注册ID检查: 检查终端是否在内部网络注册登记过p 网络准入控制确保接入网络的电脑终端是合法的、符合接入安全管理规范的电脑终端,而且是接受管理电脑终端。其次,对接入网络的电脑终端,可以进行进一步的安全管理和控制,包括:1) 安全加固,安全加固可以实现:p 对主机的账户口令、屏保口令、共享目录、自动运行的服务进行安全加固,如提示用户设置强口令、设置屏保口令,删除写共享目录,停止一些危险的服务进程等。p 强制接入网络的主机设备安装规定的防病毒软件,并且强制这些防病毒软件及时更新最新病毒,以加强主机设备的自身抗病毒能力。p 自动为客户端安装最新补丁包,加强客户端的抗攻击能力。2)
26、 安全评估,对电脑终端的安全设置和运行状态进行评估。p 管理员可以定义主机必须满足什么样的安全要求才能够具备较强的抗攻击能力,当不满足时就认为主机是有安全漏洞的,这样的主机是很容易受到安全攻击的。比如账户口令是否是强口令;目录是否有缺省可写共享;是否运行了一些危险进程;通过检查注册表发现是否有已知的间谍软件;是否安装了最新补丁包;是否安装了规定的防病毒软件并及时更新了病毒特征库。p 检测每个客户端的网络访问流量,确定是否有发送大量广播包、流量异常大、网络连接异常多的情况,对于这些异常情况及时向管理员报告,在大规模攻击出现之前找到根源。3) 安全审计,对内部的桌面电脑的操作和网络访问行为进行审计
27、。p 审计客户端访问Interent网、Email、文件拷贝、FTP等,防止企业机密信息泄漏。p 审计连接在内部网络的计算机是否同时打开一些组织不允许的方式,如Modem拨号、USB硬盘、同时跨内外网等。p 审计内部的计算机是否运行非法软件,是否未经许可更改计算机上的软件、硬件配置等。最后,如果通过评估和审计发现问题,系统管理员可以通过集中式操作控制平台,对电脑终端进行集中式的管理和设置。通过集中式控制平台,也可以对电脑终端进行各种批量的查询和统计。例如:1) 策略分发。集中、批量、分组对桌面电脑进行安全设置、安全状态查询。2) 软件分发和补丁管理。集中软件分发和补丁管理减轻管理员的日常维护工
28、作量,提高效率。如为某个部门的所有机器安装防病毒软件。3) 远程控制。远程控制可以让维护人员不用离开办公位置就能够维护远程计算机。4) 设备定位。对于不安全的接入网络的设备,管理员能够快速定位设备是连接在哪个网络交换机的哪个端口,是在什么物理位置、谁的设备,这样可以做出相应措施来控制攻击的扩散,如直接从网络断开这台设备。5) 资产管理。管理员可以一目了然地知道连接到网络上的设备都是什么样的软硬件配置、有多少设备。此外,LeagView UniAccess安全接入管理系统可以对电脑终端分组进行管理,例如,将财务部门的电脑和其它部门的电脑区别对待,将总经理办公室的电脑和其它部门的电脑区别对待。即:
29、按组设置安全管理策略。对于不同级别的安全事件,采取不同的处理流程,确保重要的安全事件能够得到快速、有效的处理。三、UniAccess的终端安全管理系统主要功能简介具体来说,LeagView UniAccess网络安全管理系统采用集中式管理方式,提供了以下几个方面的管理功能:1) 网络准入控制,防止非法电脑接入支持基于802.1X的网络准入控制以及Cisco NAC网络准入控制技术,防止非法的或者不安全的终端接入内部网络系统(非法终端或不安全终端接入一方面会产生信息安全行为,另一方面会破坏网络的正常稳定运行);LeagView UniAccess安全接入管理系统的准入控制解决方案,通过与网络设备
30、的紧密集成(网络交换机、路由器),在不改变网络结构(例如:路由调整)、不降低网络性能和可靠性的情况下,可以支持对总部局域网接入、远程分支机构接入、VPN接入、无线AP接入方式的准入控制。由于和网络设备紧密集成,LeagView UniAccess安全接入管理系统的准入控制解决方案的另外一个特点是,电脑终端一接入网络,立刻接受管理和控制,在通过准入控制认证之前,不能访问其它的网络资源或者破坏网络的性能和稳定性。2) 防止文件非法外传及员工终端操作行为管理防止保存于电脑终端上信息机密文件被员工非法外传出去,包括:禁止/审计通过软盘、U盘、网络共享等方式COPY出去。对员工的各种不规范行为进行矫正,
31、例如:使用非法软件、访问非法网站、改变电脑终端的硬件配置等。3) 桌面终端的系统安全管理对桌面终端的安全状态进行主动评估,及时发现终端的安全漏洞和不安全的设置;对终端进行安全加固,自动为桌面终端安装补丁和进行安全设置;例如:检查桌面终端上是否有设置屏幕保护、口令、加入Windows域,检查是否有木马的注册表项目,防病毒软件及病毒特征库检查,以及对桌面终端设置Windows本地安全策略,打补丁等。4) 设备自动发现与资产管理自动发现网络上的所有接入设备,实现对桌面终端资产的自动管理。包括:软硬件资产统计,资产变更自动发现,资产的维护等。5) 桌面终端的批量管理,提高管理效率批量对桌面终端进行管理
32、和维护,例如:集中式自动安装软件、远程监控和远程协助、快速设备定位,批量设置终端的安全选项等,可以提高终端的日常管理和维护效率。此外,LeagView UniAccess支持信息资产安全分级管理,各种安全管理策略可以按照:部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。3.2.3.4 综合运行监控系统架构作为通用系统管理平台,UniMon实现了网络、防火墙、IDS、主机、数据库、应用系统等的运行状况监控。UniMon的统一运行监控体系如下图所示。图 1 UniMon统一运行监控体系UniMon采用集中式管理方式,提供了以下多个方面的运行监控功能:
33、网络系统监控 支持主流网络设备监控,包括思科、华为、3Com、北电; 支持二层网络拓扑自动发现; 监控网络设备CPU、内存; 监控网络线路的连通性、响应时间、流量、带宽利用率、广播包、错包率、丢包率等。 通过真实设备面板图查看网络设备的运行状态及端口情况。 主机系统监控 支持主流操作系统的主机监控,包括Windows服务器、Linux服务器、AIX、Solaris、HP-UX、Sco Unix等; 监控主机设备的CPU、内存、磁盘、网络接口状态和流量、对外提供的服务状态和响应时间、进程的CPU和内存。 数据库系统监控 支持主流数据库系统的监控,包括SQL Server、DB2、Oracle、S
34、ybase; 监控数据库系统的服务状态,数据库服务主要进程的状态、CPU利用率和内存大小,数据库表空间利用率、日志空间利用率、并发连接数,指定SQL语句的执行效率。 应用系统监控 支持主流应用系统的监控,包括WebSphere、Weblogic、IIS、Web服务器、邮件服务器; 监控这些应用系统的主要进程CPU、内存,应用系统的响应时间。 可自定义的监控画面 管理员可以根据实际系统和管理理念,自己定义和组织监控画面,包括监控画面之间的层次结构、监控画面内容、监控画面的访问权限。 统一日志监控 集中采集所有网络设备、主机设备的系统日志,并将管理员需要关心的日志信息通过告警事件方式及时通知管理员
35、; 通过接收SNMP Trap实现对网络设备、主机及各种IT系统资源的实时监控; 丰富的无代理监控手段 通过SNMP对网络设备、安全设备及主机服务器实现监控; 通过Telnet/SSH实现对Linux、Unix系统的无代理监控; 通过JDBC实现对Oracle、SQL Server、DB2、Sybase等数据库监控; 通过JMX实现对J2EE等业务系统的无代理监控; 通过HTTP、POP3/SMTP、MQ、WMI、Radius、LDAP等监控方式实现对相应的IT系统的无代理监控 内置上千种监控参数模板 为了方便管理员设置要监控的参数,UniMon缺省带了上千种监控参数的配置模板,管理员只要选择
36、要监控哪个设备的哪个参数。 智能化的故障处理 可以为每类故障事件定义处理流程,UniMon根据这些流程自动处理故障,包括何时以什么方式将故障通知给哪些相关人员。 故障报警方式,支持邮件、自动电话拨号、手机短信、TTS语音报警方式,能将不同级别的告警通过邮件、电话、短信、TTS语音报警通知相关用户;3.2.3.5 三门核电终端准入控制解决方案一、终端网络准入控制总体思路1、UniAccess网络准入控制的流程部署准入控制系统后,改变了电脑终端接入网络的行为模式。一般来说,电脑终端接入网络需要:l 注册登记,内部终端要访问网络资源之前,需要在网络上注册登记(用户账户登记、终端ID注册等),取得接入
37、网络的权限。l 接入检查,终端在接入网络时,准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。l 安全隔离,如果在接入检查时,发现终端不符合安全规定,需要对终端进行隔离或拒绝其访问网络资源,例如:发现是外来终端则拒绝接入或进入“访客区”网段,或者是内部不符合安全规定的终端,则让其进入“修复区”。l 安全通知,对被隔离的终端进行通知,告知其被隔离的原因。l 安全修复,自动引导被隔离的终端,让其修复安全设置或者进行注册登记,使得其可以正常访问网络资源。一个完整的网络准入控制系统,应该包括以上五个方面的内容,缺少其中一个或者两个方面的内容,就不是完善的解决方案,会给准入控制系统的部署和推
38、广带来问题。联软科技的LeagView UniAccess网络准入控制解决方案是一个完整的准入控制方案,可以提供以上五个方面的所有内容。2. UniAccess网络准入控制技术原理联软科技网络准入控制的宗旨是:为防止非法用户、病毒、蠕虫、新兴黑客技术等对企业安全造成危害,采用NAC,只允许合法的、安全的、值得信任的设备(如PC、服务器、PDA)接入网络,而不允许其它设备接入。管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源:访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表(自定义动态ACL组)。图表 2 网络准入控制原理【访客区】:一般情况下
39、,定义访客区的网络资源是可以被任何用户的终端访问的,如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。【修复区】:修复区网络资源是用来修复安全漏洞的,如补丁服务器、防病毒服务器、软件安装包服务器等,不符合组织安全策略要求的终端被限制在修复区中,强制它们进行安全修复。【工作区】:工作区即是合法用户通过认证、检查并成功进入网络后,规定用户可以访问的网络资源,如:文件服务器、邮件服务器、其它应用系统等。任何终端设备在接入网络时,必须遵循以下认证、审计、授权等步骤:n 第一步,用户开机并以有线或无线方式接入企业内部网络,并发起网络访问;n 第二步,网络内部接入设备要求用户接
40、入认证(身份与安全策略);n 第三步,根据用户终端的身份、安全状态的审计结果,分别采取以下措施:p 未安装agent的终端,拒绝接入网络或划入访客区;p 已安装agent,但身份不合法的终端,拒绝接入网络或划入访客区;p 已安装agent、身份合法,但安全策略不合法的终端,拒绝接入网络或划入修复区(如:启用guest帐户、未装杀毒软件等);p 已安装agent、身份合法、安全策略合法的终端,系统授权给终端相应的工作区资源,允许用户访问应该访问的资源。p 已安装agent、身份合法、安全策略合法的终端,但终端的硬件ID标识不合法,拒绝接入网络或划入访客区、修复区。即LeagView UniAcc
41、ess可以将用户和终端设备硬件ID进行绑定,即某个用户只能通过某台合法终端设备接入到网络中,这样可以禁止内部合法身份的员工私自将个人或他人电脑接入到网络中。n 第四步,合法身份的用户以及满足组织安全规范的终端设备接入到网络时,系统会根据用户身份自动将终端设备切换到属于该用户的工作区中,从而实现不同权限的人可以访问不同的网络资源。LeagView UniAccess采用基于以IEEE 802.1x认证和Cisco EoU认证为核心的网络准入控制架构,如下图所示。图表 3 LeagView UniAccess网络准入控制架构LeagView UniAccess 网络准入控制架构提供了四种方法解决不
42、同网络环境的网络准入控制:(1)、 IEEE802.1xLeagView UniAccess 网络准入控制的802.1x实现同时支持多厂商网络设备,如华为、Cisco、H3C等。支持IEEE802.1x的Single Host、Multi-host、Multi-Auth模式。特别是Mutli-Auth模式,在有Hub的网络环境中也可以实现准入控制。(2)、 Cisco NAC-IP-2和Cisco NAC-IP-3作为802.1x的补充,当网络中有支持Cisco NAC-IP-2和Cisco NAC-IP-3的网络设备存在时,连接在这部分网络设备下的终端可以通过Cicso NAC机制来实现准入
43、控制。(3)、 ARP干扰与IEEE802.1x相结合,为未安装代理的终端设备提供URL重定向功能。这样可以提示这些终端设备为什么被限制访问网络资源。ARP干扰器只需要部署在访客区VLAN中。LeagView UniAccess 网络准入控制技术中,基于802.1x认证和基于Cisco EoU认证的两种准入控制技术都可以控制对不安全终端或者外来终端对网络资源的访问。基于802.1x认证的准入控制通过VLAN动态切换,将不安全的终端切换到修复区,将外来终端切换到访客区,从而实现对这些终端的访问控制;基于Cisco EoU证准入控制通过动态ACL(访问控制列表),直接限制外来终端或者不安全的终端对
44、网络资源的访问。图表 4 基于802.1x认证和Cisco EoU认证准入控制技术对比LeagView UniAccess 网络准入控制架构的突出特点是以网络设备为控制设备点,但又不局限于一家网络设备厂商,能够适应各种网络环境要求。LeagView UniAccess网络准入控制架构支持高可靠性,避免因为LeagView UniAccess服务宕机或者网络通讯故障导致终端设备不能接入网络的情况。3、UniAccess准入控制系统部署后的影响部署网络准入控制服务之后,所有的桌面电脑接入计算机网络之前,都必须经过如下认证:1. 检查该电脑是否有合法身份(用户名、密码),LeagView UniAc
45、cess可接合微软AD服务器、邮件服务器、LDAP等验证。2. 检查该电脑是否是本单位内部的合法终端(检查电脑的硬件ID),合法的电脑硬件ID保存在管理服务器的数据库中。3. 检查该电脑是否符合安全管理规定:例如操作系统补丁是否安装、防病毒软件是否安装等。这些管理规定产生的安全策略保存在管理服务器的数据库中。网络交换机将准备接入网络的电脑终端所上传的以上各种信息转发给LeagView UniAccess Radius服务器,由LeagView UniAccess Radius服务器再去查询数据库服务器或AD服务器、邮件服务器、LDAP等,并将查询分析的结果返回授权信息给网络交换机。由于网络准入
46、控制服务一旦发生故障,会导致电脑终端无法接入网络,因此必须保障网络准入控制的高度可靠。联软科技提供的准入控制系统部署方案具有如下特征:n 和认证过程相关的设备和系统,不存在单点故障。即:单台服务器或者设备的暂时性故障,不会导致整个网络接入服务不可用;n 和准入控制系统相关的网络设备、服务器、数据库和软件故障,系统能够实现自动报警,向相关管理员发送手机短信息等;n 在特殊紧急情况下(例如:双机故障,或分支机构到总部的广域网线路中断)p 网络管理员可以通过执行脚本的方式,快速将网络接入设置为“不设防”状态(临时撤销所有准入控制措施),使得所有电脑终端能够正常接入网络。p 如果执行网络准入控制的网络
47、设备是Cisco的交换机或者路由器,可以在网络设备上配置紧急模式。在紧急模式下,可以指定电脑终端可以访问哪些资源。通过以上手段,LeagView UniAccess可以保障网络接入服务的高度可用性。4、UniAccess准入帮助用户解决问题LeagView UniAccess网络准入控制是LeagView UniAccess安全接入控制系统的一个管理组件。借助LeagView UniAccess网络准入控制技术,可以对接入网络的客户机设备进行控制,只有合法身份和满足安全要求的客户机才允许接入网络。LeagView UniAccess网络准入控制可以帮助用户很好地解决如下问题:n 防止非法的外来电脑接入网络,影响内部网络的安全;n 防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络,影响网络的正常运行;n 确保接入网络的客户机符合安全管理要求。n 帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。LeagView UniAccess网络准入控制杜绝非
