网络准入系统集中式管理方案

网络准入系统集中式管理方案1、项目背景1.1目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略，目前公司运作的网络是由17家公司的内部网络通过MPLSVPN网络构成的广域网，规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大，股份公司及下属分公司的连接密度越来越大，人员交流和业务系统的使用网络更为频繁，终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同，网络的使用情况也不一样，特别是网络设备的品牌和型号各异，而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络，在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日，《国家网络安全法》颁布，明确要求各单位加强网络安全建设，而且股份公司属于上市公司，在网络安全上必须加强安全防范措施，增加网络准入控制和审计手段，完善公司的信息化安全体系。1.2网络架构概况基于业务需求和网络稳定性需求，整个股份公司的各分支公司都是通过租用联通公司的MPLSVPN专线网络解决公司之间的网络连接，其中股份公司和南沙公司的网络访问需求最大。MPLSVPN网络拓扑图大概如下：图1MPLSVPN网络拓扑图概图各公司内网网络架构概图如下图2所示：图2各公司内部网络拓扑图概图1.3各公司的调研情况经调研统计，各公司的设备使用的情况如下表1:公司名称网络交换机品牌网络设备数量接入终端数量电脑办公人员数量是否支持802.1X广州股份公司H3C、华为、TP-LINK、D-LINK30250300H3C、华为支持，12台其他不支持。南沙分公司H3C，TP-LINK无线554005004台不支持从化分公司神州数码1373129支持海丰分公司3COM134572不支持珠丰分公司华为85076支持新丰分公司3COM84550不支持中山分公司3com，TP-link176070不支持东莞分公司3COM147099不支持梅州分公司3COM、华为、科思28140160华为支持、3com和科思不支持阳江分公司3com44047不支持湛江分公司神州数码31149165支持永信分公司Sunsea1台21020不支持图3网络准入系统的网络架构图本方案部署详解如下：（1）股份公司的网络准入系统集中管控中心，其他分公司的网络准入系统为不可管控的准入代理设备，其由管控中心集中管理。（2）分别在股份公司和南沙公司搭建AD域控服务器，提供员工域用户信息给员工用来做认证准入功能，这两台服务器进行数据同步。其他分公司也是由网络准入系统通过网络连接AD域控制服务器读取员工域用户信息做认证。（3）逃生机制原理处理方法：当网络准入系统失效时，系统自动切换到无认证的网络模式，使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响。（4）故障点详细分析和应紧处理方式：故障点1、股份公司的网络准入系统故障时，作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效，会对新需要入网的终端设备无法认证入网，而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响。此时单点故障发生后，所有公司各自启用网络逃生机制，取消网络认证功能，自动切换到无认证的网络接入模式，保证内网的正常使用。当设备系统恢复后，可切换回认证模式，恢复网络准入控制。故障点2、本方案采用的是单控制中心，当股份公司VPN线路端出现故障时，16家分公司的网络准入系统将无法通过VPN线路连接到管控中心，这会导致16家分公司的网络准入系统同时失效，会对新需要入网的终端设备无法认证入网，而已经认证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响，当此故障点发生后，16家分公司都会启用逃生机制自动切换到无认证模式的接入。故障点3、当某个分公司的VPN线路端发生单点网络故障或者网络准入系统发生的单点设备故障，此时此分公司内部的网络准入系统都会失效，会对于新需要入网的终端设备无法认证入网，而已经认证后的设备在不中断内网连接的情况下在其公司的内网通信不受影响，此分公司会启用逃生机制自动切换到无认证模式的接入。4招标技术要求股份公司原有一套网络准入系统（使用标准的DHCP和802.1X准入技术），但是不能满足此方案中的所有需求。为了做到利旧的原则，原有的网络准入系统原则上不做淘汰，新准入系统最好能兼容或者最大限度的利用原有的准入系统。具体的准入系统技术要求如下：总体要求：支持总共不少于3500终端的准入性能许可，准入方案中需要说明是利用原有准入硬件系统只提供软件还是提供新的硬件系统，如果提供新硬件，需要新硬件ALLInOne要求，单台设备支持所有功能，无需再配置服务器或者第三方系统软件，并说明如何利用原有准入系统。16个分公司要做到股份公司统一准入管理；准入方案要具有可扩展性，为以后公司的容灾扩展提供方便，方案中要说明。提供应急逃生方案。（2）内网接入控制技术要求：基于DHCP的Webportal认证接入，同时可结合802.1X准入一起使用支持无客户端准入无线接入控制支持老旧交换机和Hub的接入控制不得使用串接、策略路由、更改交换机VLAN的准入控制技术建立接入隔离网，隔离不明终端支持来宾访客网。（3）用户管理要求：能结合AD域用户，自动同步AD域用户，实现AD域单点登录用户自注册、自服务定制用户口令安全等级、弱口令字典、过期时间用户口令防暴力破解支持外联LDAP、SQL用户数据库（4）IP地址管理要求接入网络非法IP自动隔离，杜绝非法设置IP造成IP冲突内嵌DHCP服务，认证后的DHCP地址分配基于组/角色/终端的IP地址下发，IP统一可视化管理基于认证的IP地址管理交换机端口接入人及状态的图像直观显示（5）认证要求：可以做到无客户端强制认证支持动态口令牌和动态口令卡内嵌RADIUS服务器、RADIUS统一认证基于用户、部门或角色定义认证强度短信方式多因素认证其他网络设备的ID扩展接口(API)支持第三方认证系统，并实现无缝集成。（6）哑终端准入要求：支持哑终端设备指纹扫描，无需安装客户端或插件，识别唯一设备类型哑终端设备指纹支持：防范非法终端仿冒设备（网络打印机、网络摄像头等）（7）主机健康检测要求：强制插件安装对终端杀毒软件检查，防止无杀毒能力终端入网能够检查终端网卡的唯一性、禁止Proxy代理按不同网段定制不同主机健康检查策略按不同的终端组定制不同主机健康检查策略。（8）用户上网、下网审计要求：IP使用人实时和历史记录查找IP网段当前使用人及状态直观图表显示用户IP实时和历史记录查找对IP日志的按用户管理和查找可提供详尽的报表以及标准的日志导出、存贮、查询功能。（9）部署方式及应急灾备：旁路式部署，不改变网络结构可实现多级分布、分级部署，由一个平台统一管理可实现跨路由的数据分布式同步多台互为容灾热备(Active/Active)设备支持异地容灾、本地双机冗余热备（HA）等5产品购买清单产品名称数量备注网络准入系统1股份公司使用，3年的4小时内提供股份公司的备机服务。网络准入系统16其他16家分公司使用，根据用户和终端数量抉择性能需求。6项目实施周期因本方案是以股份公司为整体设计的方案，牵涉公司单位共有17家，所以实施周期会比较长，实施安装需要分3期，由信息部系统组和厂家技术支持为主，各分公司系统管理员协助，每公司逐个部门迭代安装设置推进。具体实施周期安排如下：第一期实施内容时间周期广州股份公司安装网络准入系统，对网络终端设备和人员的注册和绑定，对计算机用户的网络认证技术指导和使用培训等。1