终端准入方案

终端准入方案

背景介绍：所有终端通过支持802.1x的交换机接入，通过核心交换连接不同行政区划的网络，所有登记终端都有分配的IP地址。

准入要求：未登记终端不可以接入业务内网，但是可以访问终端管理平台下载Agent软件，进行申报资产信息获取合法性验证，验证资产通过后，可以进行准入认证和安全

检查，没有通过认证和安全检查的客户端，进入修复区域，修复成功后可以进入

业务内网，在业务内网中如果不满足实施安全检查要求，会再次进入隔离区域。网络环境部署示意图：

部署说明：1、接入交换机配置Guest、Fix、Normal，3种Vlan，分别对应访客、修复、业务内网，并且配置Guest和Fix的IP地址池（如果无DHCP功能，可以指向上层

交换）；

2、防护平台、资产系统、管理平台部署在Server Vlan，DHCP服务器（TopSec

提供的应用）可以部署在Server Vlan或者Normal Vlan；

3、接入交换机配置ACL，Guest、Fix、Normal都可以访问防护平台服务器。Fix、

Normal都可以访问WSUS（补丁服务器）、A V（防病毒软件升级服务器）、FTP

（软件服务器），Normal可以访问所有服务器和应用；

4、Radius和LDAP均部署在Linux下，LDAP数据由防护平台中“网络准入”

的“准入用户管理”维护（包括Vlan号）；

准入流程示意图

准入流程说明：

1、接入内网交换机的终端配置DHCP之后，交换机会自动将其划分到Guest

Vlan，并且分配Guest IP，可以访问防护平台下载Agent软件。

2、客户端Agent安装时，填写资产编号和管理员分配的IP，登记信息与Agent

本地的MAC地址一起发送到服务器进行合法性验证，验证通过后，会更新

资产中的信息，否则会提示验证过程中的异常信息，如果是终端填写错误，

可以再次修改，如果是资产信息问题，防护平台管理会协调资产管理员进行

信息更正后的重新验证；

3、Agent合法性验证沟通之后，可以进行准入认证和安全检查，如果不能通过，

会被交换机划分到Fix Vlan分配Fix IP，可以访问WSUS、A V、FTP服务器；

4、Agent准入通过之后，交换机会划分终端进入对应的Normal Vlan，由DHCP

服务器根据资产登记的信息分配所有的IP；（资产信息如果更改了IP，则下

次Agent申请时会得到更新后的IP）

5、违规内联的监视界面，会发现未完成准入的终端，可以选择对应端口MAC

过滤，阻断通讯。已经完成准入的终端，如果自行修改了IP、MAC或者交

换机端口可以通过策略定义自动阻断或者关闭端口，也可以手动控制；

终端问题详解：

1、没有安装Agent的终端如何处理？

a)会被交换机划分到Guest Vlan中；

b)如果终端配置了DHCP则可以访问防护平台服务器；

c)如果没有配置DHCP，则无法访问所有应用和终端

2、Agent安装注意事项？

a)需要从指定的服务器下载服务器的Agent安装包；（如果交换机支持重定

向，则可以自动访问）

b)Agent安装包分为正式、临时，正式是针对业务内网中已经在资产系统中

登记的终端，临时是针对业务内网中外来终端；

c)Agent安装包（正式）需要登记资产编号和分配IP（管理员预先分配的），

Agent安装包（临时）需要登记资产使用人和联系部门；

d)正式安装包可以触发自动验证，如果资产没有验证过，且登记信息与申报

信息一致，则可以自动解锁；

e)临时安装包，需要管理员手动验证；

f)Agent安装完成之后会可能会提示重新启动操作系统，相关功能会在重启

后生效；

3、通过hub等无802.1x认证的网络设备连接到交换机的认证端口，如果区分合法

和非法，合规和违规？

a)违规内联功能，会根据资产信息生成安全终端的绑定信息，绑定规则包括：

IP、MAC、PORT（交换机端口）、Agent ID（Agent唯一识别编号）；

b)违规内联策略中，针对未安装Agent的终端，可以设定处理策略，过滤其

网络访问（无论是通过何种设备连接，都可以限制其网络访问不能通过交

换机端口）；

c)违规内联策略中，针对已经安装Agent的终端，可以设定处理策略：提醒、

阻断网络、重启等管理性操作（具体操作与交换机型号和软件版本相关）

d)违规内联策略中，针对混接情况（交换机端口中发现有超过合法登记的

IP、MAC出现），可以进行过滤非法IP或者MAC发起的网络连接；

e)针对已经Agent的终端，所有网络信息变更，可以在终端监控中发现，可

以根据桌面策略进行监控和限制；

4、DHCP会不会导致网络资源不受控？

a)Guest Vlan和Fix Vlan的ip是提前定义用于未登记和安全检查不通过的终

端，影响仅在接入交换机的范围内，不会影响其他网络；

b)准入通过的终端，获取的IP是资产登记的IP，对于IP的管理可以资产中

查看到分配资源的情况；

c)由于IP是根据资产系统登记的信息进行分配的，因此如果进行网络调整，

只需要更新管理信息之后，终端就会在下发连接时，自动获取最新的IP

信息，无需终端使用者手动变更；