蓝代斯克网络安全准入解决方案.docx

1、蓝代斯克网络安全准入解决方案XXXXX网络安全准入解决方案蓝代斯克（北京）信息技术有限公司2012年9月一、企业安全现状随着IT技术的快速发展，如今，企业网络包含着多种多样的网络设备和网络终端，内部服务器和PC搭载着许多重要的应用平台和数据，网络安全的防范和运维管理尤其重要。虽然出口处有防火墙、IPS、防病毒服务器等网关安全设备，网络边界的安全风险越来越小，但是企业网络内部的风险防范还是比较薄弱，如：外来计算机、无线手持设备、AP、非法HUB等等可以随便接入企业网络，内部网络处于透明状态，外来人员如果带有恶意行为进入网络的话，那样后果将是非常可怕的；还有现在无线设备不断增多，如何很好的去管理和

2、控制也给企业提出了新的难题，这些行为如果不进行有效的控制会给企业带来很大的安全隐患，如：黑客攻击、恶意破坏、数据泄露、病毒木马、网速减慢等等，泛滥的网络访问也给运维部门造成了很大的困难；企业员工可以随意使用无线设备、内部计算机的安全状况不能有效的进行自动检查、隔离和更新等，这些安全状况如不及时解决都会给企业带来安全隐患，管理员反复的维护也弄的自己筋疲力尽，工作效率得不到提高。二、项目总体背景XXXXX办公自动化已经逐步成为企业生产运营通讯和信息管理的主要平台，通过PC及支撑的网络，电脑的重要性越来越显现，工作人员不仅用来计算、输入和输出各种数据，并且通过网络或移动存储设备等途径，信息可以快速地

3、传递到任何网络的节点，正常的信息流动当然对其事业的运营有着极大的促进作用，而外来设备如果可以随意接入企业网络会给企业带来巨大的网络风险，一但重要数据流失，后果非常严重，最终导致企业蒙受巨大的损失。所以有必要对企业部署网络安全准入系统来防范此类威胁的发生，目的是使管理者能够采取必要手段加强内部网络和信息的安全。三、建设目标我们针对XXXXX企业内部网络接入安全的薄弱点，根据XXXXX提出的具体需求进行分析并且与用户进行了多次的沟通和研究,最终我们确定了部署方案，以三位一体的网络安全防范措施来解决企业现在面临的各种安全问题，终端设备是否可以接入企业网络需要进行身份认证，非法终端设备或未授权终端设备

4、不能接入企业网络；通过终端安全状况的检查和隔离杜绝安全状况不达标的计算机接入企业工作网络，如需进入企业工作网络必须满足管理员规定的安全规则，如不符合进行隔离修复，修复成功以后才能进入。通过立体的防范措施来解决XXXXX的网络安全问题，确保企业内部业务和数据的安全稳定运行，以便更好地为广大用户提供优质的服务。四、部署的总体思路4.1、应用目标“堡垒的攻破，往往来源于内部”而发生安全事件的一个主要原因，则是非法电脑的随意接入，随之带来的问题，则是信息泄密、病毒感染、泛滥的网络访问等重大问题。而且内部主机如果安全状况薄弱，则可能把一个局部安全问题，扩大成一个全局性的灾难。针对接入层用户的安全威胁，特

5、别是来自应用层面的安全隐患，防止黑客对核心层设备和服务器的攻击，防止外来设备的随意接入，对接入设备进行接入日志的跟踪，以及保护内网数据和网络的安全，必须在接入层引入接入认证和安全检查机制。4.2、用户需求目前XXXXX内部的客户端大约1000台左右，客户端存在两种情况，加域客户端和未加域的客户端，需要都能进行内部网络准入的控制。即部分客户端访问策略和访问用户名和密码通过AD实现，未加入域的部分则通过LANDesk自带的身份认证系统实现。核心和出口交换机如图中BH6808交换机，需要在加入LANDesk设备后能做成旁路模式，尽量不影响整体的网络架构。用户需要做准入控制，健康检查之类的可能后期逐步

6、推广，同时需要有终端何时以何种身份接入网络的日志记录。4.3、企业网络拓扑4.4、需求分析针对XXXXX提出的需求结合贵单位的具体情况和网络拓扑结构，我们在研究了多个方案后，采用我们新一代的网络安全准入产品进行部署，来解决用户面临的问题，可以满足用户的网络准入需求，为提升企业网络安全和用户共同做出努力。满足需求指标： LANDesk通过标准的接入认证服务802.1X协议，接入层的控制方式使准入控制更加安全可靠，稳定性方面也大大加强。 所有终端通过实名认证接入网络，对非法接入终端进行有效阻挡。 LANDesk可以完美和AD域无缝结合，使认证更加的方便快捷，对于加入域的计算机可以用域用户做认证，无

7、需自建用户列表。 LANDesk提供自建认证用户列表和批量导入用户等多种机制，对于没有加入域的计算机也可以使用自建用户或导入用户来进行准入认证。 802.1X、PORTAL、强制认证多种认证方式相结合，可切换使用，满足用户认证的灵活性和多样性。 LANDesk可采用旁路部署和网关部署等多种部署方式，采用旁路部署不改变企业现有网络结构，避免造成单点故障，实施简单，认证效率高，对复杂网络环境支持力度高。 借助于创多B/S构架技术，整个系统的管理和设置全部基于Web方式，只要有浏览器的地方就可以直接管理，监控整个网络的接入行为和安全评估报告，真正现实走到那里管到那里。 LANDesk提供50几项的安

8、全检查服务，并采用策略化的部署方式，可根据企业对网络安全的要求灵活部署。 多网络隔离认证，互不影响，保证两网的安全性，提高认证效率。 提供强大的接入日志和报表，接入用户日志、接入终端日志、接入时间日志、接入地点日志、接入方式日志等等，对接入用户进行全程跟踪，使管理员对网络接入情况一目了然，及时规避安全隐患。 LANDesk可提供基于交换机动态访问权限控制和基于客户端自身策略化的访问权限控制等多种方式，满足不同网络情况下的访问权限控制需求。 LANDesk特有的PSP公共平台共享配置技术可通过扩充模块的方式加载我们其他产品功能，如终端运维、安全审计等产品，给用户提供更多的安全管理功能和增值服务。

9、4.5、部署配置根据XXXXX客户端数量和网络拓扑结构来看，需要选用我们的L5100型产品进行部署并做热备，LANDesk产品采用旁路方式部署，不改变企业现有网络环境，避免造成单点故障，实施简单，对于像XXXXX那些对网络连续性要求极高的企业，其优点是它对客户网络结构和网络性能无任何影响，不会引入新的故障点；采用LANDesk的802.1X认证入网技术，实现统一准入控制管理，其认证技术优点是接入层的控制方式使准入控制更加安全可靠，稳定性方面也大大加强，并可以和AD域完美结合，使准入认证更加方便快捷；基于LANDesk认证客户端自身策略化的访问权限控制技术，也使企业访问控制更加灵活，配置方便快捷

10、。典型部署配置图4.6、深度部署分析4.6.1、功能构架A、接入层分区工作区：正常的工作网路，用户通过身份认证和安全检查后进入的网络。访客区：供来宾和未通过身份检查的终端进入的网络，该网络与工作区网络是隔离的。隔离区：通过身份认证但是没有通过安全检查的计算机进入的网络，在这个网络内计算机可以完成安检修复。B、接入认证过程接入网路前用户必须提供身份凭据，如果认证通过网络可以正常使用，否则网络是不通的。LANDesk网络准入控制系统持续监视网络状态，能快速发现网络接入设备和计算机终端，并利用其独特的隔离管控技术立即将这个设备与网络上的其它设备隔离起来，同时依照安全策略条件进行认证授权和安全检查管理

11、。C、接入认证流程图D 、802.1认证原理802.1X首先是一个认证协议它的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。E 、多层防护LANDesk提供支持多种认证方式，多层防护体系，提供802.1X、portal、DHCP、网关、AD结合、强制认证、多网络隔离认证等；支持链路层防护（802.1X协议）、支持协议层防护（ARP、HTTP、DHCP）、支持应用

12、层防护（DNS域名解析服务、网关重定向服务），可根据企业网络情况灵活应用，不改变网络架构，部署简单，支持无客户端的认证方式，对复杂网络环境支持度高。F 、安全检查策略强制认证利用技术手段强制接入的终端进行安全检查，建立安全检查与网络接入的互动机制，对不符合规则的终端进行隔离，并且提示和要求其进行安检修复。G 、终端接入和安检告警接入告警根据接入用户、接入主机、接入点定义消息转发规则，发送形式支持控制台、Email、手机短消息。支持系统外用户告警消息的接收，支持优先级和关注度两维分类属性。安检告警根据接入主机、安全事件类型定义消息转发规则，发送形式支持控制台、Email、手机短消息。支持系统外用

13、户告警消息的接收，支持优先级H、客户端交互管理员可以通过控制台对终端发送消息，支持群发，并且可以通过强制下线功能对终端进行断线控制。4.6.2、优势特色稳定性网络基础架构是IT基础架构中负责信息传输最核心的环节，因此为了保证服务的持续性和稳定性，对认证系统的稳定性提出了很高的要求，系统在如下几个环节作了充分的考虑。便利性采用旁路部署，不需要改变用户网络环境，不需要对网络做特殊改造，不影响用户现有业务系统的使用。双机热备4.7、效果分析基于上述观点，XXXXX安装网络准入与安全控制系统是非常有必要的。网络准入控制系统成为了企业网络信息安全管理的重点，它将被动的安全防御转变为积极的主动安全防御思想

14、，从而将企业内部的网络构造 成为一个坚固安全堡垒，守卫企业网络资源。积极主动诊断多种网络访问设备的健康性，采用隔离管控和有效引导的方法，有针对性和区别性管理各种网络访问设备。实现积极地自我防御，达到保证企业持续稳定、高速的发展目的。五、功能概述5.1、安全准入功能LANDesk网络准入控制系统提出3不原则，即：不升级网络、不改变网络结构、不影响业务系统。最大化的支持企业内部网络准入控制系统，从而使内部网络管理变得安全、透明、可控，LANDesk准入安全控制系统真正意义上为企业打造了“为规不入网，入网必合规”的网络安全管理体系。LANDesk借助于802.1X和RADIUS协议，通过与网络内交换

15、机和无线设备的联动，达到对接入终端设备安全接入网络管理的目的。同时配合内置的HTTP、DHCP、DNS等服务，对不符合安全接入规则的终端，采取Web访问重定向、强制隔离等安全隔离的措施。产品功能特性： 支持被动式无客户户端方式认证 支持主动式客户端端认证 多样化的用户认证方式，完美支持与AD、LDAP整合，支持内建用户 支持用户身份访问认证方式 支持主机身份的访问认证方式，按照主机或设备的硬件ID进行认证 支持基于用户身份接入点限制，管理者授权用户或终端只能在某接入点进行认证 支持基于主机接入时间限制，管理授权用户接入使用时间 支持802.1x、DHCP、VPN、HUB、无线等网络接入访问管理

16、 支持密码、令牌多因素认证 动态检测系统与IP和MAC欺骗保护，防止私自更改IP 支持旁路部署和网关部署 支持基于交换机的动态VLAN访问控制技术 支持基于认证客户端策略化访问权限控制 提供多种接入跟踪日志报表 5.2、安全检查功能LANDesk网络准入控制系统持续监视网络状态，能快速发现网络接入设备和计算机终端，并利用其独特的隔离管控技术立即将这个设备与网络上的其它设备隔离起来，同时依照安全策略条件进行认证授权管理。对于已授权的计算机终端或用户，如发现其已不符合安全策略，则LANDesk调用安全策略引擎立对该终端或网络设备的安全状态进行二次检查，期间禁止其访问企业网络，并引导修复安全漏洞，及

17、时提供预警信息。在LANDesk安全策略配置中心，管理者可轻松定义安全策略，在设备与终端接入认证授权前或是认证授权后有效。LANDesk提供50几项终端安检规则，如当前系统的版本属性、补丁更新状态、防病毒软件的运行状态、软件进程的运行状态、关键文档的完整性等多个检查内容，是网络免受来自未知PC非法接入带来的巨大安全隐患。LANDesk支持安全检查项目： 操作系统检查，OS版本，SP版本 补丁检查，检查补丁完整性 防病毒检查，检查防病毒的更新情况 自定义软件，检查用户指定软件的存在，可联动防病毒软件或防火墙 关键位置文件检查，检查指定位置文件存在性 外设使用安全检查 用户密码强度检查，检查认证用

18、户的密码合规性 支持主机系统屏保检查，帮组用户开启屏幕保护 支持注册表检查，检查注册表关键值是否存在 支持网络配置检查 支持IE安全检查 支持网络外联检查 5.3、网络安全风险评估主动安全风险评估是LANDesk网络访问控制系统的另一特点，根据积极主动的安全防御建设思想，加强企业网络安全进行风险评估就显得尤为重要。LANDesk帮助管理者实现企业网络总体安全风险评估、部门安全风险评估以及指定计算机终端安全风险评估，从而促使企业不断提高内部网络信息安全管理水平。5.4、安全管理与访问控制利用LANDesk的动态检测技术，针对接入内部网络的计算机终端实行多种安全策略的检查。 不符合安全策略的计算机

19、终端进行友好提示，提供向导式的安全修复指引。 拦截可疑的计算机终端或设备、恶意尝试认证的用户，支持强制隔离下线和锁定功能。 支持访客管理，外来访客仅能进入规划的安全访客区，允许访问Internet，但安全访客区与内网完全隔离。 LANDesk可提供基于交换机动态访问权限控制和基于客户端自身策略化的访问权限控制等多种方式，满足不同网络情况下的访问权限控制需求。 支持用户、交换机、终端等多种绑定机制，支持认证用户限制、认证终端限制、认证时间限制、认证地点限制、认证范围限制等多种访问控制条件。5.5、预警信息LANDesk预警中心的快速检测扫描技术，可迅速发现网络中非法接入者以及不符合安全检查条件的

20、计算机终端用户。实时的安全信息通报机制，帮助管理者快速查找和排除安全隐患。例如：认证失败、非法尝试认证、不符合安全规则等。5.6、产品特点直观的用户界面LANDesk是一套容易部署和使用的网络准入控制系统，基于Web通过向导式的管理界面允许管理员在任何地方对系统进行配置和管理，管理员可以花费最少的时间和精力快速制定网络访问策略和系统部署。丰富的报表日志提供各种网络安全状况的年报、季报、月报、周报、日报，管理员通常对企业终端整体安全状况了解不多，不能全方位的了解终端安全的薄弱点，LANDesk提供详细终端接入、安全检查、安全评估等日志并形成报表，管理员可以根据报表快速的定位网络安全隐患，迅速解决

21、问题。灵活管理方式与运维管理系统（DMS）配合，可以根据访问目标、设备类别、状态、地点和时间段有效管理需要访问的网络资源，能够针对不同的个别用户、计算机、打印机、其他设备以及他们所在的部门属性赋予不同的网络资源访问策略。超强的网络环境适应性早期的网络准入控制系统解决方案已被实践证明是过于复杂，不够灵活和难以部署。而LANDesk网络准入控制系统具有很强的网络环境适应能力，不要求用户升级网络，兼容新老设备，支持旁路部署，不构成单点故障。消灭网络安全弱点LANDesk准入强制的安全策略让未通过授权的用户和设备远离网络，即在一个LANDesk网络准入环境内，每一台访问网络的设备及其用户都必须通过严谨

22、的认证、授权、健康度检查。未授权用户不得访问网络，而未通过健康检查的计算机终端则可以根据发现的漏洞或安全弱点来引导其进行修补，满足管理员设定的安全条件后访问合法的网络资源。5.7、运行环境硬件环境1U或2U专用管理服务器，Linux架构嵌入式操作系统，4-8个千兆网口，一个Console口，2个USB、标准电源接口等认证客户端支持操作系统Windows 2000 Professional/Server/Advance Server Windows XP Professional Windows 2003 Server Windows VistaWindows 7 5.8、逃生方案LANDesk

23、安全准入设备可提供4种安全逃生机制供用户选择，分别是：双机热备、主副服务器认证、逃生用户本地认证系统、免认证功能，通过这4种安全逃生方案保证在设备出问题时，不影响客户业务系统的正常使用，新一代的终端强制认证技术即使是在设备当机情况下也不会影响用户网络的正常使用。六、案列分析联通公司作为新兴的电信运营商，是在中国电信运营市场不断开放的情况下成立的。公司以移动业务为基础，逐渐拓展到市话、长途、IP、数据、寻呼等业务，成为目前国内业务种类最为齐全的电信运营商。目前济南联通有员工3000余人，加上营业厅、10060、10010等各集中系统的终端设备1000余台，终端总体数量约4500台。目前终端的维护

24、模式为信息化支撑中心承担着除县公司外的区公司、各中心、各职能部室等维护，县公司终端为自维护模式。公司虽然采取了远程维护、内网补丁升级、防病毒系统布署，内部维护网站等手段，但因为缺乏有效的管理系统，仍然无法保证终端系统的资产管理、接入管理、补丁分发及应用软件分发、使用人员的行为管理等功能，给公司的内部信息安全及资产管理和系统维护管理上带来了一定程度上的困难。济南市联通公司对整个业务网络进行了准入控制管理，建立了终端接入内网的准入机制和体系，接入内部网络的终端需要进行接入认证，认证的账户和口令全部集成LDAP中已有的账户和口令。对内部终端接入时进行安全检查，检查内部终端防病毒软件的安装和升级情况，

25、以满足山东省联通对济南联通在防病毒软件部署方面的要求。济南市联通公司对终端安全管理系统有着很高的性能要求。客户端占用的资源必须很小，因为在这类大型的企业网络中，终端数量巨大且分布范围很广。如果系统客户端在终端运行时占用过多的资源，将对用户的日常工作造成极大的影响，使员工的工作效率大大降低。系统的网络性能也不可忽视，管理系统在运行时应该尽可能少的占用网络资源以保证企业的关键应用和服务。LANDesk终端安全与准入系统完全采用系统底层协议软件开发技术，与操作系统底层技术紧密结合，因此性能极其优异。在网络性能方面，LANDesk终端安全与准入系统客户端与服务器之间只传送很小的策略规则文件，基本不会影响网络的性能。而且LANDesk终端安全与准入系统的分布式多服务器架构对终端可实现本地化管理，接入安全控制点由服务器自动进行分配，其工作在每个内网段内，极大降低了网络的负荷。济南市联通终端安全管理项目是济南联通基础建设的重要组成部分。本项目实现了桌面终端安全管理在全市层面的实施，并完成了项目的。具体建设目标是：以市公司为中心，建立内网准入和安全检查机制，对外来终端随意接入网络及内部终端不满足安全条件的事件起到了很好的控制效果。