《宁盾某互联网客户网络准入案例分享.docx》由会员分享,可在线阅读,更多相关《宁盾某互联网客户网络准入案例分享.docx(7页珍藏版)》请在三一办公上搜索。
1、一、客户背景随着信息技术快速发展,某互联网客户企业网络规模越来越大, 接入网络的终端越来越多,现阶段内网接入层采用开放式网络模式, 任何设备或者人员都可以随意进出,不受任何限制。此模式势必会给 企业内网带来一系列网络安全隐患。针对现有开放式接入网络,为提 高企业网络的安全性,可管理性,可实施网络准入控制(Network Admission Control-NAC)。目前该企业内部网络约有8000余台计算机及相关设备,但负责 运维的网络安全从业人员仅有4名。企业急需满足合规条件的低成本 运维方案。目前主流网络准入控制方案大体分为两类:第一大类,通过认证 方式控制终端关联用户实名认证,访问公司内网
2、;第二大类,通过对 终端设备的识别,在接入网络设备上做相应的端口安全策略,以达到 拒绝非法终端的随意接入。简单讲,就是做到把控设备的身份属性和 安全属性。二、项目需求有线/无线场景下终端合法性准入需求设备自动识别并进行相应归类;加域Windows终端入网实现单点登录,对未加域Windows终 端阻断网络访问;Mac OS终端需要经过域账号身份验证通过后方可入网,未经过 身份验证阻断网络访问;检查接入有线终端是否符合公司安全条例(是否安装Symantec. LANDesk、DLP);加域Windows终端不符合公司安全条例,只允许访问外网,访 问内网弹出bbb通知页面提示引导安装缺省软件;通过身
3、份验证Mac OS终端不符合公司安全条例,只允许访问 外网,访问内网弹出bbb通知页面提示引导安装缺省软件。三、解决方案为解决客户最紧迫的运维成本问题,对比传统802.1X认证解决 方案才提供轻量化客户端准入方案Windows终端无需安装客户端, 准入系统部署于核心交换机,免去接入交换机的配置性问题。外网访客身份认证;核心交换机流量镜像实时发现并识别终端合规性状态,并对终端 进行归类;Windows终端采用无客户端AD域检测的方式检测入网终端的 身份合规性及终端安全性;MacOS、Linux终端采用轻量化客户端检测入网终端的安全性, 联动身份认证平台对用户身份进行校验。准入控制,及时发现非合规
4、终端,结合网络准入手段对非合规终 端进行隔离。访客协助扫码身份认证访客接入企业Wi-Fi后,终端自动弹出portal认证页面,被访 人扫码授权并提交访客实名信息,改方案的好处在于帮助企业审计访 客与被访人关系。员工外网AD账号密码身份认证员工在接入有线、无线Wi-Fi后,终端自动弹出portal页面,或登录bbb网址直到弹出员工用户吗密码身份认证页面,完成认证 后,拥有外网访问使用权限。内网终端准入合规将NDACE部署于核心交换机基于流量镜像+Windows AD域 无客户端的方案检测终端是否加入AD域及是否安装杀毒软件,以确 保只有合规的终端准入。MAC和Linux终端需安装轻量化客户端实现
5、合规准入,并且联 动身份认证系统(DKEY AM)进行认证校验。ifrwaiy -可视化终端管理及自动归类可视化接入网络的终端类型、安全合规状态,并根据预设条件对 终端进行自动分类,比如将Windows类型的终端归为一类,Mac OS、Linux终端归为一类。四、网络拓扑五、方案价值入网用户实名认证,且根据认证方式划分网络使用权限;可视化终端未知及终端类型,并可根据企业需求对终端进行自动 归类;核心交换机部署,轻量化/零客户端网络准入,降低运维成本;实时检测入网终端的合规性,及时将非合规终端以虚拟防火墙、Switch VLAN等网络管控的方式对入网终端进行隔离,直到修复成功自动恢复;管理过程自动化强,实时性高,避免周期性检测的安全 隐患。智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因 素认证市场,并以技术为导向,于2013年正式上线网络认证系统, 形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用 的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形 成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、 统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。文档可能无法思考全面,请浏览后下载,另外祝您生活愉快,工作顺利,万事如意
