终端准入方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
终端准入方案
背景介绍:所有终端通过支持802.1x的交换机接入,通过核心交换连接不同行政区划的网络,所有登记终端都有分配的IP地址。
准入要求:未登记终端不可以接入业务内网,但是可以访问终端管理平台下载Agent软件,进行申报资产信息获取合法性验证,验证资产通过后,可以进行准入认证和安全
检查,没有通过认证和安全检查的客户端,进入修复区域,修复成功后可以进入
业务内网,在业务内网中如果不满足实施安全检查要求,会再次进入隔离区域。网络环境部署示意图:
部署说明:1、接入交换机配置Guest、Fix、Normal,3种Vlan,分别对应访客、修复、业务内网,并且配置Guest和Fix的IP地址池(如果无DHCP功能,可以指向上层
交换);
2、防护平台、资产系统、管理平台部署在Server Vlan,DHCP服务器(TopSec
提供的应用)可以部署在Server Vlan或者Normal Vlan;
3、接入交换机配置ACL,Guest、Fix、Normal都可以访问防护平台服务器。Fix、
Normal都可以访问WSUS(补丁服务器)、A V(防病毒软件升级服务器)、FTP
(软件服务器),Normal可以访问所有服务器和应用;
4、Radius和LDAP均部署在Linux下,LDAP数据由防护平台中“网络准入”
的“准入用户管理”维护(包括Vlan号);
准入流程示意图
准入流程说明:
1、接入内网交换机的终端配置DHCP之后,交换机会自动将其划分到Guest
Vlan,并且分配Guest IP,可以访问防护平台下载Agent软件。
2、客户端Agent安装时,填写资产编号和管理员分配的IP,登记信息与Agent
本地的MAC地址一起发送到服务器进行合法性验证,验证通过后,会更新
资产中的信息,否则会提示验证过程中的异常信息,如果是终端填写错误,
可以再次修改,如果是资产信息问题,防护平台管理会协调资产管理员进行
信息更正后的重新验证;
3、Agent合法性验证沟通之后,可以进行准入认证和安全检查,如果不能通过,
会被交换机划分到Fix Vlan分配Fix IP,可以访问WSUS、A V、FTP服务器;
4、Agent准入通过之后,交换机会划分终端进入对应的Normal Vlan,由DHCP
服务器根据资产登记的信息分配所有的IP;(资产信息如果更改了IP,则下
次Agent申请时会得到更新后的IP)
5、违规内联的监视界面,会发现未完成准入的终端,可以选择对应端口MAC
过滤,阻断通讯。已经完成准入的终端,如果自行修改了IP、MAC或者交
换机端口可以通过策略定义自动阻断或者关闭端口,也可以手动控制;
终端问题详解:
1、没有安装Agent的终端如何处理?
a)会被交换机划分到Guest Vlan中;
b)如果终端配置了DHCP则可以访问防护平台服务器;
c)如果没有配置DHCP,则无法访问所有应用和终端
2、Agent安装注意事项?
a)需要从指定的服务器下载服务器的Agent安装包;(如果交换机支持重定
向,则可以自动访问)
b)Agent安装包分为正式、临时,正式是针对业务内网中已经在资产系统中
登记的终端,临时是针对业务内网中外来终端;
c)Agent安装包(正式)需要登记资产编号和分配IP(管理员预先分配的),
Agent安装包(临时)需要登记资产使用人和联系部门;
d)正式安装包可以触发自动验证,如果资产没有验证过,且登记信息与申报
信息一致,则可以自动解锁;
e)临时安装包,需要管理员手动验证;
f)Agent安装完成之后会可能会提示重新启动操作系统,相关功能会在重启
后生效;
3、通过hub等无802.1x认证的网络设备连接到交换机的认证端口,如果区分合法
和非法,合规和违规?
a)违规内联功能,会根据资产信息生成安全终端的绑定信息,绑定规则包括:
IP、MAC、PORT(交换机端口)、Agent ID(Agent唯一识别编号);
b)违规内联策略中,针对未安装Agent的终端,可以设定处理策略,过滤其
网络访问(无论是通过何种设备连接,都可以限制其网络访问不能通过交
换机端口);
c)违规内联策略中,针对已经安装Agent的终端,可以设定处理策略:提醒、
阻断网络、重启等管理性操作(具体操作与交换机型号和软件版本相关)
d)违规内联策略中,针对混接情况(交换机端口中发现有超过合法登记的
IP、MAC出现),可以进行过滤非法IP或者MAC发起的网络连接;
e)针对已经Agent的终端,所有网络信息变更,可以在终端监控中发现,可
以根据桌面策略进行监控和限制;
4、DHCP会不会导致网络资源不受控?
a)Guest Vlan和Fix Vlan的ip是提前定义用于未登记和安全检查不通过的终
端,影响仅在接入交换机的范围内,不会影响其他网络;
b)准入通过的终端,获取的IP是资产登记的IP,对于IP的管理可以资产中
查看到分配资源的情况;
c)由于IP是根据资产系统登记的信息进行分配的,因此如果进行网络调整,
只需要更新管理信息之后,终端就会在下发连接时,自动获取最新的IP
信息,无需终端使用者手动变更;