网络准入控制系统集中式管理方案

1、网络准入系统集中式管理方案1、项目背景目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略，目前公 司运作的网络是由17家公司的内部网络通过 MPLS VPN网络构成的广域网，规模庞 大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大，股份公司及下 属分公司的连接密度越来越大，人员交流和业务系统的使用网络更为频繁，终端所 面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的 不同，网络的使用情况也不一样，特别是网络设备的品牌和型号各异，而且员工和 访客携带的电脑或者手机终端等可以随意接入公司网络，在信息安全管理上存在很 大的管理难度和安全风险。2017年6月1日，国家网络安全法颁布，明确要求 各单位加强网络安全建设，而且股份公司属于上市公司，在网络安全上必须加强安 全防范措施，增加网络准入控制和审计手段，完善公司的信息化安全体系。网络架构概况基于业务需求和网络稳定性需求，整个股份公司的各分支公司都是通过租用联通 公司的MPLS VP专线网络解决公司之间的网络连接，其中股份公司和南沙公司的网 络访冋需求最大。MPLS VPN网络拓扑图大

2、概如下：图1 MPLS VPN网络拓扑图概图各公司内网网络架构概图如下图 2所示：图2各公司内部网络拓扑图概图各公司的调研情况经调研统计，各公司的设备使用的情况如下表1:公司名称网络交换机 品牌网络设备 数量接入终端数量电脑办公 人员数量是否支持广州股份公 司H3C华为、TP-LINK 、D-LINK30250300H3C华为支持，12 台其他不支持。南沙分公司H3C，TP-LINK 无线554005004台不支持从化分公司神州数码1373129支持海丰分公司3COM134572不支持珠丰分公司华为85076支持新丰分公司3COM84550不支持中山分公司3com，TP-I ink176070不支持东莞分公司3COM147099不支持梅州分公司3COM华为、科思28140160华为支持、3com和科 思不支持阳江分公司3com44047不支持湛江分公司神州数码31149165支持永信分公司Sunsea 1 台21020不支持荣鑫分公司华为、D-LINK880112华为支持、D-LINK不支持广西分公司华为9台、3COM 1 台10138170华为支持湖南分公司H3C20115130支持

3、河北分公司3com,华为23140145不支持汕头分公司3COM266不支持表1各公司的网络设备和终端调研表从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异，需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。信息安全管理的存在风险目前，各公司都存在如下的信息安全管理风险：（1）公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网，特别是 恶意用户（如黑客，商业间谍）的接入，可能会导致公司机密文件被窃取，或者网 络服务器被攻击等等网络安全事件发生，造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网，内部网络安全更加难以控制管理。 如何做到有线和无线 WIFI统一的网络入网管理，是安全的重中之重。（2） 篡改终端硬件信息。比如：当某些员工知道领导的 IP地址权限比较高的 时候，把自己的计算机也设置为领导的IP，于是获取了和领导一样的权限，导致领 导身份被假冒，或者和领导使用的计算机造成 IP地址冲突而导致被冲突的计算机网 络故障，这样会直接影响业务办

4、公。（3）因为公司内网的很多网络设备是不可管理，当网络内部出现网络安全事件 的时候，很难查询到IP地址或者设备MAC地址的使用信息，难以定位到责任人。（4）因各分公司和股份公司之间的网络已经通过 MPLSVPN线路构建成了一个规 模更大的广域网架构，只要有一个地方的网络安全出现风险，其他地方的网络安全 风险也会受影响。所以，对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边 界管理手段，需要做到全局考虑，做到分布式部署、集中管理，集中信息统一展示， 以股份公司为整体设计一个适合本公司的网络准入系统，构建公司内部网络的边界 管理保障体系，用于保障股份公司的网络信息安全。2网络准入系统的详细需求系统功能需求准入控制要保证网络边界的安全性以及完整性，就必须实现网络准入控制，支持对接入 网络的人员和终端进行身份认证和准入检查，防止非授权用户、非法终端、不安全 终端接入办公网，做到安全有效的拦截。其中终端检查包括终端硬件信息检查，防 病毒软件检查，系统版本及补丁检查等。用户管理能够对用户实现按人、按部门、按级别进行管理，用户数据能够从AD域中导入。 支持第三方认证服务（如 radi

5、us，LDAP,AD,SQl等认证方式）。IP地址的管理必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为，阻拦 此终端的网络连接。要能够按部门、按角色、按人（ID）分配IP或IP网段。能确 定IP的目前使用人和过去使用者。设置访客特定区域。 因公司业务交流需求，能够为访客提供特殊通道，访客经过审批授权允许后，访 客可以借助公司网络资源连接互联网，还可以授权访客能够访问指定开放的内部资 源。用户认证登录管理因公司的管理需求， 将在股份公司范围内推广域控制管理模式， 对于加入域的电 脑能够结合域用户作为认证需求，域用户联网登录桌面系统时进行网络准入认证。 未加入域的终端能够提供简易的认证方式，同时也可以通过域用户做认证。系统支 持修改认证用户的密码。能够做到用户漫游，即在分公司能都通过内部用户登录网 络，到总部和其他分部也可以用此用户登录，获取同等权限。审计日志管理系统能够详细日志的审计功能，能够审计设备、人员、使用 IP 地址之间的关联 信息，能够快速审计到设备使用责任人。防止用户卸载软件，支持无客户端准入规则，防止网络架构变更出现准入漏洞。 出于网络准入安全和严谨的控制

6、要求， 网络准入系统必须能够做到对于未安装客 户端软件或者卸载安装客户端软件的终端设备先认证后才能入网。必须做到防止用 户通过假冒合法电脑网络配置信息未经授权认证进入公司内网。必须做到防止用户 私自增加无线路由器或者非可管交换机（HUB改变了网络架构而出现网络准入控制 漏洞，导致未认证进入公司内网的现象。系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性， 在网络准入系统出现宕机或者因系统故障 无法提供认证时，能够提供网络准入系统在长时间内无法恢复的紧急预案措施，保 证系统能够快速切换到无认证状态下，保证网络的正常使用。当网络准入系统恢复 正常时候时，快速切换到认证状态，保证网络的准入认证控制。系统管理简单方便因各分公司的系统维护人员的技术水平有限， 有些分公司甚至缺少系统维护岗位 人员，所以此系统应该偏向简单化，易管理维护。因为考虑到本方案部署规模比较大，特别因产品方案不同对网络设备的支持功 能需求也会有所不同。股份公司原有一台网络准入系统，但是有些新的功能需求不 能满足，从技术和投资成本上考虑，优先考虑现有网络设备的利旧问题，减少额外 的费用支出，做到真正有效的费用节省。3 部署

7、方案设计根据公司对网络准入系统的实际需求和技术讨论确认， 本方案采取单控制器的集 中式管理方式，在股份公司部署一套网络准入系统作为管控中心，同时也负责股份 公司本地网络的网络设备的准入控制，其他 16 家公司根据需求不同而选择不同性能 的网络准入系统，通过 VPN网络连接股份公司的管控中心，由管控中心统一管控， 由各公司的管理用户分角色管理。网络准入系统的网络架构图如下图 3 所示： 图 3 网络准入系统的网络架构图本方案部署详解如下：（1）股份公司的网络准入系统集中管控中心，其他分公司的网络准入系统为不 可管控的准入代理设备，其由管控中心集中管理。（2）分别在股份公司和南沙公司搭建 AD域控服务器，提供员工域用户信息给 员工用来做认证准入功能，这两台服务器进行数据同步。其他分公司也是由网络准 入系统通过网络连接AD域控制服务器读取员工域用户信息做认证。（3）逃生机制原理处理方法：当网络准入系统失效时，系统自动切换到无认证 的网络模式，使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响。（4）故障点详细分析和应紧处理方式：故障点1股份公司的网络准入系统故障时，作为管控中心的单

8、点故障将会直接 影响到所有公司包括股份公司本地内网的网络准入失效，会对新需要入网的终端设 备无法认证入网，而已经认证后的设备在不中断内网连接的情况下其公司的内部网 络通信不受影响。此时单点故障发生后，所有公司各自启用网络逃生机制，取消网 络认证功能，自动切换到无认证的网络接入模式，保证内网的正常使用。当设备系 统恢复后，可切换回认证模式，恢复网络准入控制。故障点2、本方案采用的是单控制中心，当股份公司 VPN线路端出现故障时，16 家分公司的网络准入系统将无法通过 VPN线路连接到管控中心，这会导致16家分公 司的网络准入系统同时失效，会对新需要入网的终端设备无法认证入网，而已经认 证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响，当此故障 点发生后，16家分公司都会启用逃生机制自动切换到无认证模式的接入。故障点3、当某个分公司的VPN线路端发生单点网络故障或者网络准入系统发生 的单点设备故障，此时此分公司内部的网络准入系统都会失效，会对于新需要入网 的终端设备无法认证入网，而已经认证后的设备在不中断内网连接的情况下在其公 司的内网通信不受影响，此分公司会启用逃生机制自动

9、切换到无认证模式的接入。4招标技术要求股份公司原有一套网络准入系统（使用标准的 DHC味口准入技术），但是不能满 足此方案中的所有需求。为了做到利旧的原则，原有的网络准入系统原则上不做淘 汰，新准入系统最好能兼容或者最大限度的利用原有的准入系统。具体的准入系统 技术要求如下：（1）总体要求：支持总共不少于3500终端的准入性能许可，准入方案中需要说明是利用原 有准入硬件系统只提供软件还是提供新的硬件系统，如果提供新硬件，需要 新硬件ALL In One要求，单台设备支持所有功能，无需再配置服务器或者 第三方系统软件，并说明如何利用原有准入系统。16个分公司要做到股份公司统一准入管理；准入方案要具有可扩展性，为以后公司的容灾扩展提供方便，方案中要说明。 提供应急逃生方案。（2）内网接入控制技术要求：基于DHC啲Webportal认证接入，同时可结合准入一起使用支持无客户端准入无线接入控制支持老旧交换机和Hub的接入控制不得使用串接、策略路由、更改交换机 VLAN的准入控制技术建立接入隔离网，隔离不明终端支持来宾访客网。（3）用户管理要求：能结合AD域用户，自动同步AD域用户，实现AD域单点登录用户自注册、自服务定制用户口令安全等级、弱口令字典、过期时间用户口令防暴力破解支持外联LDAP SQL用户数据库（4）IP地址管理要求接入网络非法IP自动隔离，杜绝非法设置IP造成IP冲突内

《网络准入控制系统集中式管理方案》由会员博****1分享，可在线阅读，更多相关《网络准入控制系统集中式管理方案》请在金锄头文库上搜索。