HC网络设备新编授权管理方案

1、H3C 网络设备 AAA 授权管理方案面临挑战禁止对网络设备的非法访问是网络平安的一项必要条件。传统情况 下，设 备管理用户在访问网络设备前，需要先登录并在本地配置身份验 证信息，只有 拥有合法凭证的用户才能得到相应的访问授权，从而保证 了网络的平安性。然 而当网络规模成倍扩张的时候， IT 根底架构越来越 庞大，网络设备的管理与维 护也变得复杂化，对多个设备或网络效劳进 行屡次认证与控制，增加了额外的 工作本钱。这时就需要一个能够对整 体网络做出统一认证与控制的效劳平台， 有效提高企业 IT 运维的工作效 率及管理操作的平安性。1、 管理挑战：企业庞大的网络架构使得设备管理用户在繁杂的IT

2、运维工作中存在屡次重复认证过程，影响管理工作效率。2、 平安挑战：对设备管理用户的弱身份鉴别，以及在控制对其访问 权限上 的缺失或不力，会带来巨大的平安漏洞。二、 解决方案1. H3C网络设备AAA授权管理方案概述宁盾认证效劳平台通过标准RADIUS协议，可实现H3C网络设备管理用户 的统一身份认证，对其提出的认证请求、授权请求、审计请求做出 响应，提供 AAA效劳。首先对设备管理用户的认证请求做出响应，验证其身份的合法性， 并结合 宁盾双因素认证，通过动态密码对账号进行双重保护；然后根据 用户身份权限 进行授权，控制用户的访问及操作行为；宁盾认证效劳平 台可全程跟踪用户行 为动作，并出具详细

3、的登录认证及操作行为口志报 表，满足审计合规要求等2.3.兼容的网络设备包括H3C交换机、路由器、防火墙及堡垒机、WA网络拓扑宁盾动态密码形式短信令牌：基于短信发送动态密码的形式 令牌：基于时间的动态密码，由 APP生成硬件令牌：基于时间的动态密码，由硬件生成三、方案价值 AAA授权管理：集成RADIUS协议，实现对H3C网络设备管理员实现统 一认证、授权、口志审计，提升日常运维管理工作效率； 支持批量开户：支持对设备管理用户集中开户，可批量设定设备管理 用户的 登录密码、授权策略、失效时间、在线数量和权限提升密码； 与现有系统无缝集成：支持外部数据源，除 AD LDAP等标准帐号源夕卜， 还

4、可以从客户自定义的系统中 OA ERP CRM同步用户数据； 账号双重保护：支持通过短信令牌、硬件令牌、 令牌等动态密码 认证， 提升设备运维账号密码强度，保护账号平安，防止定期修改密 码； 风险账号隔离：通过设定账号认证登录规那么，可以将 H动猜想密码尝 试恶意 登陆设备的账号参加黑名单进行隔离； 访问授权策略：支持按场景分配授权策略，场景可以是设备位置区 域、设 备类型和接入时段的组合； 支持基于角色的授权策略， 包括权 限级别、接入 ACL、 限制时长； 实名可审计：记录设备管理员的认证、授权及行为审计信息口志，并 支持导出到文本文件中。包括登录名、登录结果失败原因、认证 时间、登录设备IP、终端用户IP、权限级别、登录动作、认证类型、效劳类型、授权动作、审计类型、审计时间等； 用户实时监测：可查看当前在线的设备管理用户的登录、授权策略、 接入时 间、接入时长、登录的设备等信息，并可强