蓝代斯克网络安全准入解决方案.docx

蓝代斯克网络安全准入解决方案.docx

《蓝代斯克网络安全准入解决方案.docx》由会员分享，可在线阅读，更多相关《蓝代斯克网络安全准入解决方案.docx（26页珍藏版）》请在冰豆网上搜索。

蓝代斯克网络安全准入解决方案

XXXXX

网络安全准入解决方案

蓝代斯克（北京）信息技术有限公司

2012年9月

网络安全准入解决方案

目

录

1、企业安全现状............................................................................................................................1

1、项目总体背景....................................................................................................................1

1、建设目标....................................................................................................................................2

2、部署的总体思路........................................................................................................................3

4.1、应用目标...........................................................................................................................3

4.2、用户需求...........................................................................................................................3

4.3、企业网络拓扑...................................................................................................................4

4.4、需求分析...........................................................................................................................4

4.5、部署配置...........................................................................................................................5

4.6、深度部署分析...................................................................................................................6

4.6.1、功能构架................................................................................................................6

4.6.2、优势特色..............................................................................................................15

4.7、效果分析.........................................................................................................................15

五、功能概述..................................................................................................................................17

5.1、安全准入功能.................................................................................................................17

5.2、安全检查功能.................................................................................................................18

5.3、网络安全风险评估.........................................................................................................19

5.4、安全管理与访问控制.....................................................................................................19

5.5、预警信息.........................................................................................................................19

5.6、产品特点.........................................................................................................................19

5.7、运行环境.........................................................................................................................21

5.8、逃生方案.........................................................................................................................21

六、案列分析..................................................................................................................................22

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

目录页

网络安全准入解决方案

一、企业安全现状

随着IT技术的快速发展，如今，企业网络包含着多种多样的网络设备和网络终端，内部服务

器和PC搭载着许多重要的应用平台和数据，网络安全的防范和运维管理尤其重要。

虽然出口处有

防火墙、IPS、防病毒服务器等网关安全设备，网络边界的安全风险越来越小，但是企业网络内部

的风险防范还是比较薄弱，如：

外来计算机、无线手持设备、AP、非法HUB等等可以随便接入企

业网络，内部网络处于透明状态，外来人员如果带有恶意行为进入网络的话，那样后果将是非常

可怕的；还有现在无线设备不断增多，如何很好的去管理和控制也给企业提出了新的难题，这些

行为如果不进行有效的控制会给企业带来很大的安全隐患，如：

黑客攻击、恶意破坏、数据泄露、

病毒木马、网速减慢等等，泛滥的网络访问也给运维部门造成了很大的困难；企业员工可以随意

使用无线设备、内部计算机的安全状况不能有效的进行自动检查、隔离和更新等，这些安全状况

如不及时解决都会给企业带来安全隐患，管理员反复的维护也弄的自己筋疲力尽，工作效率得不到提高。

二、项目总体背景

XXXXX办公自动化已经逐步成为企业生产运营通讯和信息管理的主要平台，通过PC及支撑的

网络，电脑的重要性越来越显现，工作人员不仅用来计算、输入和输出各种数据，并且通过网络

或移动存储设备等途径，信息可以快速地传递到任何网络的节点，正常的信息流动当然对其事业

的运营有着极大的促进作用，而外来设备如果可以随意接入企业网络会给企业带来巨大的网络风

险，一但重要数据流失，后果非常严重，最终导致企业蒙受巨大的损失。

所以有必要对企业部署

网络安全准入系统来防范此类威胁的发生，目的是使管理者能够采取必要手段加强内部网络和信息的安全。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

25

1/

网络安全准入解决方案

三、建设目标

我们针对XXXXX企业内部网络接入安全的薄弱点，根据XXXXX提出的具体需求进行分析并且

与用户进行了多次的沟通和研究,最终我们确定了部署方案，以三位一体的网络安全防范措施来解

决企业现在面临的各种安全问题，终端设备是否可以接入企业网络需要进行身份认证，非法终端

设备或未授权终端设备不能接入企业网络；通过终端安全状况的检查和隔离杜绝安全状况不达标

的计算机接入企业工作网络，如需进入企业工作网络必须满足管理员规定的安全规则，如不符合

进行隔离修复，修复成功以后才能进入。

通过立体的防范措施来解决XXXXX的网络安全问题，确保企业内部业务和数据的安全稳定运行，以便更好地为广大用户提供优质的服务。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

2/25

网络安全准入解决方案

四、部署的总体思路

4.1、应用目标

“堡垒的攻破，往往来源于内部”而发生安全事件的一个主要原因，则是非法电脑的随意接入，

随之带来的问题，则是信息泄密、病毒感染、泛滥的网络访问等重大问题。

而且内部主机如果安全状况薄弱，则可能把一个局部安全问题，扩大成一个全局性的灾难。

针对接入层用户的安全威胁，特别是来自应用层面的安全隐患，防止黑客对核心层设备和服

务器的攻击，防止外来设备的随意接入，对接入设备进行接入日志的跟踪，以及保护内网数据和网络的安全，必须在接入层引入接入认证和安全检查机制。

4.2、用户需求

目前XXXXX内部的客户端大约1000台左右，客户端存在两种情况，加域客户端和未加域的客

户端，需要都能进行内部网络准入的控制。

即部分客户端访问策略和访问用户名和密码通过AD实

现，未加入域的部分则通过LANDesk自带的身份认证系统实现。

核心和出口交换机如图中BH6808

交换机，需要在加入LANDesk设备后能做成旁路模式，尽量不影响整体的网络架构。

用户需要做

准入控制，健康检查之类的可能后期逐步推广，同时需要有终端何时以何种身份接入网络的日志记录。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

3/25

网络安全准入解决方案

4.3、企业网络拓扑

4.4、需求分析

针对XXXXX提出的需求结合贵单位的具体情况和网络拓扑结构，我们在研究了多个方案后，采用我们新一代的网络安全准入产品进行部署，来解决用户面临的问题，可以满足用户的网络准入需求，为提升企业网络安全和用户共同做出努力。

满足需求指标：

◆LANDesk通过标准的接入认证服务802.1X协议，接入层的控制方式使准入控制更加安全可靠，稳定性方面也大大加强。

◆所有终端通过实名认证接入网络，对非法接入终端进行有效阻挡。

◆LANDesk可以完美和AD域无缝结合，使认证更加的方便快捷，对于加入域的计算机可以用域用户做认证，无需自建用户列表。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

4/25

网络安全准入解决方案

◆LANDesk提供自建认证用户列表和批量导入用户等多种机制，对于没有加入域的计算机也可以使用自建用户或导入用户来进行准入认证。

◆802.1X、PORTAL、强制认证多种认证方式相结合，可切换使用，满足用户认证的灵活性和多样性。

◆LANDesk可采用旁路部署和网关部署等多种部署方式，采用旁路部署不改变企业现有网络

结构，避免造成单点故障，实施简单，认证效率高，对复杂网络环境支持力度高。

◆借助于创多B/S构架技术，整个系统的管理和设置全部基于Web方式，只要有浏览器的地

方就可以直接管理，监控整个网络的接入行为和安全评估报告，真正现实走到那里管到那里。

◆LANDesk提供50几项的安全检查服务，并采用策略化的部署方式，可根据企业对网络安全的要求灵活部署。

◆多网络隔离认证，互不影响，保证两网的安全性，提高认证效率。

◆提供强大的接入日志和报表，接入用户日志、接入终端日志、接入时间日志、接入地点日

志、接入方式日志等等，对接入用户进行全程跟踪，使管理员对网络接入情况一目了然，及时规避安全隐患。

◆LANDesk可提供基于交换机动态访问权限控制和基于客户端自身策略化的访问权限控制等多种方式，满足不同网络情况下的访问权限控制需求。

◆LANDesk特有的PSP公共平台共享配置技术可通过扩充模块的方式加载我们其他产品功能，如终端运维、安全审计等产品，给用户提供更多的安全管理功能和增值服务。

4.5、部署配置

根据XXXXX客户端数量和网络拓扑结构来看，需要选用我们的L5100型产品进行部署并做

热备，LANDesk产品采用旁路方式部署，不改变企业现有网络环境，避免造成单点故障，实施

简单，对于像XXXXX那些对网络连续性要求极高的企业，其优点是它对客户网络结构和网络性

能无任何影响，不会引入新的故障点；采用LANDesk的802.1X认证入网技术，实现统一准入控

制管理，其认证技术优点是接入层的控制方式使准入控制更加安全可靠，稳定性方面也大大加

强，并可以和AD域完美结合，使准入认证更加方便快捷；基于LANDesk认证客户端自身策略化的访问权限控制技术，也使企业访问控制更加灵活，配置方便快捷。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

5/25

网络安全准入解决方案

典型部署配置图

4.6、深度部署分析4.6.1、功能构架

A、接入层分区

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

6/25

网络安全准入解决方案

工作区：

正常的工作网路，用户通过身份认证和安全检查后进入的网络。

访客区：

供来宾和未通过身份检查的终端进入的网络，该网络与工作区网络是隔离的。

隔离区：

通过身份认证但是没有通过安全检查的计算机进入的网络，在这个网络内计算机可以完成安检修复。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

7/25

网络安全准入解决方案

B、接入认证过程

接入网路前用户必须提供身份凭据，如果认证通过网络可以正常使用，否则网络是不通的。

LANDesk网络准入控制系统持续监视网络状态，能快速发现网络接入设备和计算机终端，并利用其

独特的隔离管控技术立即将这个设备与网络上的其它设备隔离起来，同时依照安全策略条件进行认证授权和安全检查管理。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

8/25

网络安全准入解决方案

C、接入认证流程图

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

9/25

网络安全准入解决方案

D、802.1认证原理

802.1X首先是一个认证协议它的最终目的就是确定一个端口是否可用。

对于一个端口，如果

认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持

“关闭”，此时只允许802.1X的认证报文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通过。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

10/25

网络安全准入解决方案

E、多层防护

LANDesk提供支持多种认证方式，多层防护体系，提供802.1X、portal、DHCP、网关、AD结合、强制认证、多网络隔离认证等；支持链路层防护（802.1X协议）、支持协议层防护

（ARP、HTTP、DHCP）、支持应用层防护（DNS域名解析服务、网关重定向服务），可根据企业网络

情况灵活应用，不改变网络架构，部署简单，支持无客户端的认证方式，对复杂网络环境支持度高。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

11/25

网络安全准入解决方案

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

12/25

网络安全准入解决方案

F、安全检查策略强制认证

利用技术手段强制接入的终端进行安全检查，建立安全检查与网络接入的互动机制，对不符合规则的终端进行隔离，并且提示和要求其进行安检修复。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

13/25

网络安全准入解决方案

G、终端接入和安检告警

接入告警

根据接入用户、接入主机、接入点定义消息转发规则，发送形式支持控制台、Email、手机短消息。

支持系统外用户告警消息的接收，支持优先级和关注度两维分类属性。

安检告警

根据接入主机、安全事件类型定义消息转发规则，发送形式支持控制台、Email、手机短消息。

支持系统外用户告警消息的接收，支持优先级

H、客户端交互

管理员可以通过控制台对终端发送消息，支持群发，并且可以通过强制下线功能对终端进行断线控制。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

14/25

网络安全准入解决方案

4.6.2、优势特色

稳定性

网络基础架构是IT基础架构中负责信息传输最核心的环节，因此为了保证服务的持续性和稳定性，对认证系统的稳定性提出了很高的要求，系统在如下几个环节作了充分的考虑。

便利性

采用旁路部署，不需要改变用户网络环境，不需要对网络做特殊改造，不影响用户现有业务系统的使用。

双机热备

4.7、效果分析

基于上述观点，XXXXX安装网络准入与安全控制系统是非常有必要的。

网络准入控制系统成为

了企业网络信息安全管理的重点，它将被动的安全防御转变为积极的主动安全防御思想，从而将

企业内部的网络构造成为一个坚固安全堡垒，守卫企业网络资源。

积极主动诊断多种网络访问设

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

15/25

网络安全准入解决方案

备的健康性，采用隔离管控和有效引导的方法，有针对性和区别性管理各种网络访问设备。

实现积极地自我防御，达到保证企业持续稳定、高速的发展目的。

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

16/25

网络安全准入解决方案

五、功能概述

5.1、安全准入功能

LANDesk网络准入控制系统提出3不原则，即：

不升级网络、不改变网络结构、不影响业务系

统。

最大化的支持企业内部网络准入控制系统，从而使内部网络管理变得安全、透明、可控，

LANDesk准入安全控制系统真正意义上为企业打造了“为规不入网，入网必合规”的网络安全管理体系。

LANDesk借助于802.1X和RADIUS协议，通过与网络内交换机和无线设备的联动，达到对接入

终端设备安全接入网络管理的目的。

同时配合内置的HTTP、DHCP、DNS等服务，对不符合安全接入规则的终端，采取Web访问重定向、强制隔离等安全隔离的措施。

产品功能特性：

◆支持被动式无客户户端方式认证

◆支持主动式客户端端认证

◆多样化的用户认证方式，完美支持与AD、LDAP整合，支持内建用户

◆支持用户身份访问认证方式

◆支持主机身份的访问认证方式，按照主机或设备的硬件ID进行认证

◆支持基于用户身份接入点限制，管理者授权用户或终端只能在某接入点进行认证◆支持基于主机接入时间限制，管理授权用户接入使用时间

◆支持802.1x、DHCP、VPN、HUB、无线等网络接入访问管理

◆支持密码、令牌多因素认证

◆动态检测系统与IP和MAC欺骗保护，防止私自更改IP

◆支持旁路部署和网关部署

◆支持基于交换机的动态VLAN访问控制技术

◆支持基于认证客户端策略化访问权限控制

◆提供多种接入跟踪日志报表

◆………

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

17/25

网络安全准入解决方案

5.2、安全检查功能

LANDesk网络准入控制系统持续监视网络状态，能快速发现网络接入设备和计算机终端，并利

用其独特的隔离管控技术立即将这个设备与网络上的其它设备隔离起来，同时依照安全策略条件

进行认证授权管理。

对于已授权的计算机终端或用户，如发现其已不符合安全策略，则LANDesk调

用安全策略引擎立对该终端或网络设备的安全状态进行二次检查，期间禁止其访问企业网络，并引导修复安全漏洞，及时提供预警信息。

在LANDesk安全策略配置中心，管理者可轻松定义安全策略，在设备与终端接入认证授权前或是认证授权后有效。

LANDesk提供50几项终端安检规则，如当前系统的版本属性、补丁更新状态、防病毒软件的

运行状态、软件进程的运行状态、关键文档的完整性等多个检查内容，是网络免受来自未知PC非法接入带来的巨大安全隐患。

LANDesk支持安全检查项目：

◆操作系统检查，OS版本，SP版本

◆补丁检查，检查补丁完整性

◆防病毒检查，检查防病毒的更新情况

◆自定义软件，检查用户指定软件的存在，可联动防病毒软件或防火墙

◆关键位置文件检查，检查指定位置文件存在性

◆外设使用安全检查

◆用户密码强度检查，检查认证用户的密码合规性

◆支持主机系统屏保检查，帮组用户开启屏幕保护

◆支持注册表检查，检查注册表关键值是否存在

◆支持网络配置检查

◆支持IE安全检查

◆支持网络外联检查

◆………

蓝代斯克（北京）信息技术有限公司|授权文档，未经许可，禁止传阅和复制！

18/25

网络安全准入解决方案

5.3、网络安全风险评估

主动安全风险评估是LANDesk网络访问控制系统的另一特点，根据积极主动的安全防御建设思

想，加强企业网络安全进行风险评估就显得