中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁 > 新聞 > 國內(nèi) >

華三北研所完整的終端準(zhǔn)入控制解決方案

2015-05-13 10:29:41   作者:   來源:CTI論壇   評論:0  點擊:


  H3C推出的終端準(zhǔn)入控制解決方案(EAD)提供了一個全新的、開放的安全防御體系架構(gòu),為客戶帶來完整的終端安全和控制方案。作為國內(nèi)網(wǎng)絡(luò)產(chǎn)品解決方案的主要提供商之一,H3C在自身辦公環(huán)境中首先應(yīng)用了自己開發(fā)并擁有獨立知識產(chǎn)權(quán)的EAD解決方案,在企業(yè)網(wǎng)內(nèi)部安全控制和信息安全防范方面取得了較為顯著的成效。

  案例規(guī)模

  共6000個信息點

  管理需求

  • 提供多種接入方式。不管是局域網(wǎng)還是廣域網(wǎng)、VPN和無線,都能夠?qū)尤氲挠脩暨M行身份認證和安全狀態(tài)控制。
  • 身份認證。對登錄網(wǎng)絡(luò)用戶進行唯一性身份認證,實現(xiàn)一個用戶帳號對應(yīng)一臺或者多臺計算機,且與接入公司資產(chǎn)相綁定;
  • 信息安全。避免外來計算機隨意接入涉密內(nèi)部辦公網(wǎng)絡(luò),杜絕帳戶盜用、PC機盜用、MAC地址仿冒等。
  • 與Norton殺毒聯(lián)動。保證接入網(wǎng)絡(luò)的用戶終端沒有感染病毒,且病毒庫得到及時更新。
  • 軟件黑白名單。規(guī)范接入網(wǎng)絡(luò)的終端必須安裝、運行某些特定管理軟件和防病毒客戶端軟件等。
  • 訪問權(quán)限。員工需要按照所屬部門、角色劃分工作和業(yè)務(wù)訪問權(quán)限,不同的角色有不同的權(quán)利和責(zé)任。對于已經(jīng)接入網(wǎng)絡(luò)的用戶,需要規(guī)范用戶的網(wǎng)絡(luò)行為,不同崗位的員工,其網(wǎng)絡(luò)訪問權(quán)限必須明確區(qū)分,嚴(yán)格控制。認證可以與公司統(tǒng)一的域控制器相融合,達到單點登錄到域就可訪問所有受限資源的目的。
  • 日志審計。提供終端訪問網(wǎng)絡(luò)的詳細上網(wǎng)日志信息和強大的管理查詢功能,便于管理員定位問題和跟蹤終端訪問明細。

  解決方案實施

  針對H3C對于終端的安全防護和實際組網(wǎng)規(guī)劃需求,EAD解決方案的綜合組網(wǎng)如下圖所示:全網(wǎng)在終端接入層交換機(具體設(shè)備型號見上圖示例)啟用802.1X議認證,客戶端PC安裝iNode智能客戶端(以下簡稱iNode客戶端)以及WSUS補丁管理插件,配合事先部署的Norton防病毒客戶端;“隔離”服務(wù)器區(qū)分別放置了DHCP Server、微軟AD域控制器和WSUS補丁服務(wù)器、Norton防病毒服務(wù)器等。

  H3C北研所的辦公網(wǎng)絡(luò)拓撲示意圖如下:

  應(yīng)用效果

  • 用戶身份管理及安全控制策略

  為了嚴(yán)格控制用戶的網(wǎng)絡(luò)接入,北京研發(fā)部門和各地辦事處在接入層設(shè)備處啟用802.1X證,杭州基地則在網(wǎng)關(guān)處啟用Portal認證,并且采用用戶名/密碼/多MAC地址綁定的身份驗證策略,有效限制了用戶訪問網(wǎng)絡(luò)的區(qū)域,并堅決杜絕了外來和未授權(quán)用戶非法使用網(wǎng)絡(luò);通過EAD策略服務(wù)器系統(tǒng)負責(zé)同步AD域控制器中的用戶信息,由管理員審核后方可開通權(quán)限。用戶終端通過DHCP動態(tài)獲取IP地址上網(wǎng),設(shè)置接入安全策略為僅限H3C iNode智能客戶端方可認證,并限制禁止終端用戶私自修改MAC地址和網(wǎng)卡的IP地址必須使用DHCP動態(tài)獲取方式,有效地防止了外來計算機入侵、MAC仿冒盜用帳號和私設(shè)IP導(dǎo)致IP地址沖突的情況發(fā)生。

  • 終端安全管理

  H3C企業(yè)內(nèi)部網(wǎng)使用的防病毒軟件是Symantec的Norton Antivirus企業(yè)版防病毒軟件,為了保證防病毒客戶端的正常運行,iNode客戶端在用戶每次登錄網(wǎng)絡(luò)時,都需要檢查殺毒客戶端是否正常啟動、運行并且強制檢查防病毒軟件的版本和病毒庫版本,一旦用戶的終端在訪問網(wǎng)絡(luò)時出現(xiàn)染毒或者Norton防病毒客戶端運行異常,iNode客戶端會立即上報給安全策略服務(wù)器,用戶終端會立即收到修復(fù)通知并被聯(lián)動接入設(shè)備隔離到“隔離區(qū)”,防止帶毒或者“易感”的終端接入網(wǎng)絡(luò)誘發(fā)安全問題。

  針對終端要求必須安裝和運行的特定軟件,管理員可以設(shè)置軟件黑白名單,認證并實時檢查此類軟件的安裝運行情況,如果有違規(guī)即刻被限制訪問隔離區(qū)甚至直接斷開終端網(wǎng)絡(luò)連接。

  • 員工終端訪問權(quán)限控制

  員工認證通過后,根據(jù)用戶身份和所屬部門,EAD方案將用戶劃分為不同的策略組(如研發(fā)類,非研發(fā)類,會議室,外來人員及臨時帳號等),將其劃分入不同的VLAN,并且授予用戶相應(yīng)的ACL訪問權(quán)限,有效防止越權(quán)訪問資源的發(fā)生。

  與Windows AD域控制機制結(jié)合,采用成熟的802.1X與Windows域統(tǒng)一認證技術(shù),實現(xiàn)網(wǎng)絡(luò)接入和Windows域的單點統(tǒng)一登錄,使得用戶在登錄Windows時僅需輸入一次用戶名密碼即可獲得相應(yīng)的受控訪問權(quán)限,方便了使用和業(yè)務(wù)流程整合。

  EAD安全策略服務(wù)器與智能客戶端配合可以對各種外聯(lián)或代理進行禁止。無論用戶采用何種方式,包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過Modem上網(wǎng)等都可以進行控制,以上的禁止方式,可以進行靈活選擇,滿足不同組網(wǎng)需要。

  • 豐富的終端審計手段

  針對用戶終端的上網(wǎng)行為,EAD提供的詳細上網(wǎng)明細(包括用戶帳號信息,用戶的IP/MAC地址,接入?yún)^(qū)域的設(shè)備IP/端口號/VLAN ID,上下線時間,上下行流量等)、安全日志(違規(guī)安全事件詳細內(nèi)容/發(fā)生時間及相應(yīng)處理結(jié)果等)和系統(tǒng)日志為IT部門管理員提供了豐富的定位問題終端、解決終端網(wǎng)絡(luò)接入問題以及系統(tǒng)維護的手段和方法,上網(wǎng)帳號與相關(guān)資產(chǎn)信息的綁定也為信息安全提供了事后追溯的必要依據(jù)。

分享到: 收藏

專題