解决方案 Solutions优质快速IT解决方案,解决企业IT技术难点

当前位置: 首页 > 解决方案

无线准入方案

日期:2020-02-12 20:58:22 / 人气:

盈高无线准入方案

无线准入方案(图2)

无线准入方案(图3)

无线准入方案(图4)

无线准入方案(图5)

无线准入方案(图6)

无线准入方案(图7)

无线准入方案(图8)

无线准入方案(图9)

第1章  终端接入安全背景

信息网络的迅速发展,网络规模的不断扩大,在这个过程中,计算机终端的各种安全问题逐渐开始显现,当前公司的办公专网和生产网中就存在如下的风险,包括:

            非可信人员以及非法设备接入;

            不同部门区域访问控制问题;

            网络边界扩展问题(私接小路由、HUB);

            各类移动手机、平板电脑接入问题等;

目前在网络规划和建设中,相关的安全设备也在不断增加,但如果终端受到安全威胁或者安全威胁来自内网终端设备,如非法接入等,仅靠当前的安全体系,缺乏有效的手段对威胁进行实时监测和及时阻断,由此将带来各种损失。因此,为提高公司信息安全管理水平,需要建设一套安全准入控制平台,从而及时发现内网中的各种违规行为,并及时上报、及时通告、及时处理,以达到公司办公专网信息安全建设要求。

第2章  解决方案介绍

2.1 现状分析

2.1.1  非法人员与非法终端网络接入风险

公司各个区域的网络接口方便了公司人员接入网络,同时也方便了外来人员与外来计算机或非可信终端设备接入网络,信息安全管理人员对此类情况很难判定并加以监视和控制。而一些严重的安全问题往往就是由于这些随意、非法加入网络的终端设备引起。

而在以往笼统的管理中,制定的一系列详尽、严格的信息安全管理规章和规范,由于种种原因,都很难实际落地。作为网络安全管理人员而言,怎样有效的把所有的管理制度落实到公司范围?这对管理者而言提出了严峻的考验。如何通过技术手段让这些规章、规范有效落地,真正发挥其实际意义,而不需要通过纯粹的行政手段监督,将信息安全管理人员从这样低效、重复、尴尬的管理模式中解放出来,显得非常迫切和必要。

2.1.2  终端网络权限分配与越权访问风险

    公司内部人员需要对其赋予相应访问权限来完成所对应的工作,但同时要保证关键资源的安全性,必须对权限进行适当的控制,并使非法用户无法访问关键资源而合法用户不能越权执行所不具有权限的操作。例如在生产区域各种工控机、虚拟机等随时都有接入网络的需求,网络管理人员怎么才能做到实时授权,保障该类设备只能访问固定的区域。

同时随着各项业务的开展,访客来往公司也十分的频繁,对于来宾和第三方人员的安全规划、有效管理的问题也完全凸显出来。这种细化的权限粒度分派管理问题让我们的网络管理人员十分头疼。

2.1.3  网络规范使用行为管理需求

为保障网络的整体健硕性,除了对接入终端安全性进行检查,保障办公终端的办公软件、安全管控、监控软件运行和完备性,还需要规范各人员的网络使用方式,比如内网终端非法外联管控、私接HUB或无线NAT路由设备、拓展网络边界等。在公司网络中,由于使用和接入扩展的需要,存在大量的NAT和HUB设备。对于NAT和HUB下接入终端的管控,成为了终端准入控制的一大难点。

在日常办公中,不少用户私自接入无线设备以方便移动终端使用,往往由于员工误操作或者意识不足,将内外网均混接在无线设备上。由于家用路由往往设置为默认密码或者无密码,将导致公司办公专网直接暴露在极为不可信区域,公司网络中应严查“私接无线设备”违规情况,主要违规行为体现在私设无线NAT热点,随身WIFI违规等,随着无线设备的普及,随意接入无线设备成为成本低、危害大的违规方式,严重威胁内网的信息安全。

2.2 方案设计

2.2.1  总体设计

针对公司无线网接入问题,从安全的角度进行总体的设计规划,通过准入控制系统的建设与部署实施,逐渐建立起覆盖全公司网络的所有终端安全接入网络的控制平台,实现网络安全准入控制,最终实现“全网接入可控、行为可控”,重点实现以下的内容:

u  杜绝非法接入及越权访问行为,形成入网流程化管理

u  实现用户、访客的访问权限的细粒度分配及管理

u  网络透视化管理:实现全网可视化管理及边界完整性防护管理

u  非法外联实时监测,保障网络隔离


2.2.2  部署方式

准入设备采用旁路部署方式,端口镜像准入控制技术,镜像思科无线控制器返回核心上网的流量,重置未进行授权的网络连接。进行网络管控,如下图所示:


2.2.3  终端接入管理

Ø  办公区终端:当访问WEB资源时,自动重定向引导安装控件,完成身份认证、设备注册及安全检查,由管理人员审核通过后,方能访问网络资源。准入系统身份认证支持多种方式,如本地服务器身份认证、手机短信,AD域服务器联动认证等。


不同身份的终端及人员接入公司办公专网,需要符合对应级别的安全基线要求。准入系统根据公司实际接入情况,实时审计设备和人员的接入信息,制定符合各级部门的接入检查标准,确保接入终端和人员的安全性、合规性。

u  防病毒软件的安装率与病毒库的及时更新

u  操作系统补丁的及时更新

u  OA等办公软件的安装统计

u  违规外联的管控

u  移动介质使用管理

u  安全监控类软件的运行保障

Ø  访客管理

由于公司专网业务较多,业务访客的频率也自然处于一个需要管控的等级。对于大型网络而言,访客的管理也是一个十分重要的网络安全工作内容。

准入系统可提供临时访客访问模式,管理员可以事先配置访客可以访问的资源,比如只能访问固定区域等。这种基于应用控制访客访问权限,既可以很好地满足业务需要,实现人性化管理,又可以很好地保护核心网络资源。对访客权限做到如下的精细化管理:

1.   禁止访客非授权入网;

2.   对试图入网的访客进行有效审计;

3.   对部分访客进行审核后允许入网;

4.   访客入网后权限受到控制;

5.   明确访客访问的内部员工对象,后台可以查到访客是哪位员工做的授权,进行一对一监管;

6.   访客可以通过短信认证的方式入网,后台将会等级接收短信的手机号,以便后期查询访客上网记录;

7.   访客入网有时效限制,超过规定时间自动出网,如需入网则必须再次向管理员申请。

第3章  逃生方案

对于安全系统来说,系统本身的稳定可靠运行也是关系到项目成效的关键点。准入系统自身支持双机热备部署方案,防止准入单点故障,有可靠的逃生及应急预案,保障公司业务正常运行:

Ø  应急预案一

自动bypass 当设备出现故障,交换机还会不断的把镜像流量发送给准入,但此时准入已经不能正常工作,reset报文不能正常发出,不会产生阻断效果。

Ø  应急预案二

手工应急响应 当网络发生故障时,准入系统有应急模式,由管理人员放开网络,方便维护人员进行故障排查。