網(wǎng)絡準入系統(tǒng)集中式管理方案

網(wǎng)絡準入系統(tǒng)集中式管理方案1、項目背景1.1目前網(wǎng)絡安全概況自從在股份公司和下屬分公司在業(yè)務系統(tǒng)上大力推廣信息化發(fā)展策略，目前公司運作的網(wǎng)絡是由17家公司的內(nèi)部網(wǎng)絡通過MPLSVPN網(wǎng)絡構(gòu)成的廣域網(wǎng)，規(guī)模龐大。同時信息技術(shù)的快速發(fā)展導致信息網(wǎng)絡所起的作用越來越巨大，股份公司及下屬分公司的連接密度越來越大，人員交流和業(yè)務系統(tǒng)的使用網(wǎng)絡更為頻繁，終端所面臨的各種安全問題也越來越突出。各個公司的內(nèi)網(wǎng)構(gòu)建因規(guī)模大小和建設(shè)時間的不同，網(wǎng)絡的使用情況也不一樣，特別是網(wǎng)絡設(shè)備的品牌和型號各異，而且員工和訪客攜帶的電腦或者手機終端等可以隨意接入公司網(wǎng)絡，在信息安全管理上存在很大的管理難度和安全風險。2017年6月1日，《國家網(wǎng)絡安全法》頒布，明確要求各單位加強網(wǎng)絡安全建設(shè)，而且股份公司屬于上市公司，在網(wǎng)絡安全上必須加強安全防范措施，增加網(wǎng)絡準入控制和審計手段，完善公司的信息化安全體系。1.2網(wǎng)絡架構(gòu)概況基于業(yè)務需求和網(wǎng)絡穩(wěn)定性需求，整個股份公司的各分支公司都是通過租用聯(lián)通公司的MPLSVPN專線網(wǎng)絡解決公司之間的網(wǎng)絡連接，其中股份公司和南沙公司的網(wǎng)絡訪問需求最大。MPLSVPN網(wǎng)絡拓撲圖大概如下：圖1MPLSVPN網(wǎng)絡拓撲圖概圖各公司內(nèi)網(wǎng)網(wǎng)絡架構(gòu)概圖如下圖2所示：圖2各公司內(nèi)部網(wǎng)絡拓撲圖概圖1.3各公司的調(diào)研情況經(jīng)調(diào)研統(tǒng)計，各公司的設(shè)備使用的情況如下表1:公司名稱網(wǎng)絡交換機品牌網(wǎng)絡設(shè)備數(shù)量接入終端數(shù)量電腦辦公人員數(shù)量是否支持802.1X廣州股份公司H3C、華為、TP-LINK、D-LINK30250300H3C、華為支持，12臺其他不支持。南沙分公司H3C，TP-LINK無線554005004臺不支持從化分公司神州數(shù)碼1373129支持海豐分公司3COM134572不支持珠豐分公司華為85076支持新豐分公司3COM84550不支持中山分公司3com，TP-link176070不支持東莞分公司3COM147099不支持梅州分公司3COM、華為、科思28140160華為支持、3com和科思不支持陽江分公司3com44047不支持湛江分公司神州數(shù)碼31149165支持永信分公司Sunsea1臺21020不支持圖3網(wǎng)絡準入系統(tǒng)的網(wǎng)絡架構(gòu)圖本方案部署詳解如下：（1）股份公司的網(wǎng)絡準入系統(tǒng)集中管控中心，其他分公司的網(wǎng)絡準入系統(tǒng)為不可管控的準入代理設(shè)備，其由管控中心集中管理。（2）分別在股份公司和南沙公司搭建AD域控服務器，提供員工域用戶信息給員工用來做認證準入功能，這兩臺服務器進行數(shù)據(jù)同步。其他分公司也是由網(wǎng)絡準入系統(tǒng)通過網(wǎng)絡連接AD域控制服務器讀取員工域用戶信息做認證。（3）逃生機制原理處理方法：當網(wǎng)絡準入系統(tǒng)失效時，系統(tǒng)自動切換到無認證的網(wǎng)絡模式，使已經(jīng)準入認證過后的終端設(shè)備或新接入網(wǎng)的終端設(shè)備不受通信影響。（4）故障點詳細分析和應緊處理方式：故障點1、股份公司的網(wǎng)絡準入系統(tǒng)故障時，作為管控中心的單點故障將會直接影響到所有公司包括股份公司本地內(nèi)網(wǎng)的網(wǎng)絡準入失效，會對新需要入網(wǎng)的終端設(shè)備無法認證入網(wǎng)，而已經(jīng)認證后的設(shè)備在不中斷內(nèi)網(wǎng)連接的情況下其公司的內(nèi)部網(wǎng)絡通信不受影響。此時單點故障發(fā)生后，所有公司各自啟用網(wǎng)絡逃生機制，取消網(wǎng)絡認證功能，自動切換到無認證的網(wǎng)絡接入模式，保證內(nèi)網(wǎng)的正常使用。當設(shè)備系統(tǒng)恢復后，可切換回認證模式，恢復網(wǎng)絡準入控制。故障點2、本方案采用的是單控制中心，當股份公司VPN線路端出現(xiàn)故障時，16家分公司的網(wǎng)絡準入系統(tǒng)將無法通過VPN線路連接到管控中心，這會導致16家分公司的網(wǎng)絡準入系統(tǒng)同時失效，會對新需要入網(wǎng)的終端設(shè)備無法認證入網(wǎng)，而已經(jīng)認證后的設(shè)備在不中斷內(nèi)網(wǎng)連接的情況下在其公司的內(nèi)部網(wǎng)通信不受影響，當此故障點發(fā)生后，16家分公司都會啟用逃生機制自動切換到無認證模式的接入。故障點3、當某個分公司的VPN線路端發(fā)生單點網(wǎng)絡故障或者網(wǎng)絡準入系統(tǒng)發(fā)生的單點設(shè)備故障，此時此分公司內(nèi)部的網(wǎng)絡準入系統(tǒng)都會失效，會對于新需要入網(wǎng)的終端設(shè)備無法認證入網(wǎng)，而已經(jīng)認證后的設(shè)備在不中斷內(nèi)網(wǎng)連接的情況下在其公司的內(nèi)網(wǎng)通信不受影響，此分公司會啟用逃生機制自動切換到無認證模式的接入。4招標技術(shù)要求股份公司原有一套網(wǎng)絡準入系統(tǒng)（使用標準的DHCP和802.1X準入技術(shù)），但是不能滿足此方案中的所有需求。為了做到利舊的原則，原有的網(wǎng)絡準入系統(tǒng)原則上不做淘汰，新準入系統(tǒng)最好能兼容或者最大限度的利用原有的準入系統(tǒng)。具體的準入系統(tǒng)技術(shù)要求如下：總體要求：支持總共不少于3500終端的準入性能許可，準入方案中需要說明是利用原有準入硬件系統(tǒng)只提供軟件還是提供新的硬件系統(tǒng)，如果提供新硬件，需要新硬件ALLInOne要求，單臺設(shè)備支持所有功能，無需再配置服務器或者第三方系統(tǒng)軟件，并說明如何利用原有準入系統(tǒng)。16個分公司要做到股份公司統(tǒng)一準入管理；準入方案要具有可擴展性，為以后公司的容災擴展提供方便，方案中要說明。提供應急逃生方案。（2）內(nèi)網(wǎng)接入控制技術(shù)要求：基于DHCP的Webportal認證接入，同時可結(jié)合802.1X準入一起使用支持無客戶端準入無線接入控制支持老舊交換機和Hub的接入控制不得使用串接、策略路由、更改交換機VLAN的準入控制技術(shù)建立接入隔離網(wǎng)，隔離不明終端支持來賓訪客網(wǎng)。（3）用戶管理要求：能結(jié)合AD域用戶，自動同步AD域用戶，實現(xiàn)AD域單點登錄用戶自注冊、自服務定制用戶口令安全等級、弱口令字典、過期時間用戶口令防暴力破解支持外聯(lián)LDAP、SQL用戶數(shù)據(jù)庫（4）IP地址管理要求接入網(wǎng)絡非法IP自動隔離，杜絕非法設(shè)置IP造成IP沖突內(nèi)嵌DHCP服務，認證后的DHCP地址分配基于組/角色/終端的IP地址下發(fā)，IP統(tǒng)一可視化管理基于認證的IP地址管理交換機端口接入人及狀態(tài)的圖像直觀顯示（5）認證要求：可以做到無客戶端強制認證支持動態(tài)口令牌和動態(tài)口令卡內(nèi)嵌RADIUS服務器、RADIUS統(tǒng)一認證基于用戶、部門或角色定義認證強度短信方式多因素認證其他網(wǎng)絡設(shè)備的ID擴展接口(API)支持第三方認證系統(tǒng)，并實現(xiàn)無縫集成。（6）啞終端準入要求：支持啞終端設(shè)備指紋掃描，無需安裝客戶端或插件，識別唯一設(shè)備類型啞終端設(shè)備指紋支持：防范非法終端仿冒設(shè)備（網(wǎng)絡打印機、網(wǎng)絡攝像頭等）（7）主機健康檢測要求：強制插件安裝對終端殺毒軟件檢查，防止無殺毒能力終端入網(wǎng)能夠檢查終端網(wǎng)卡的唯一性、禁止Proxy代理按不同網(wǎng)段定制不同主機健康檢查策略按不同的終端組定制不同主機健康檢查策略。（8）用戶上網(wǎng)、下網(wǎng)審計要求：IP使用人實時和歷史記錄查找IP網(wǎng)段當前使用人及狀態(tài)直觀圖表顯示用戶IP實時和歷史記錄查找對IP日志的按用戶管理和查找可提供詳盡的報表以及標準的日志導出、存貯、查詢功能。（9）部署方式及應急災備：旁路式部署，不改變網(wǎng)絡結(jié)構(gòu)可實現(xiàn)多級分布、分級部署，由一個平臺統(tǒng)一管理可實現(xiàn)跨路由的數(shù)據(jù)分布式同步多臺互為容災熱備(Active/Active)設(shè)備支持異地容災、本地雙機冗余熱備（HA）等5產(chǎn)品購買清單產(chǎn)品名稱數(shù)量備注網(wǎng)絡準入系統(tǒng)1股份公司使用，3年的4小時內(nèi)提供股份公司的備機服務。網(wǎng)絡準入系統(tǒng)16其他16家分公司使用，根據(jù)用戶和終端數(shù)量抉擇性能需求。6項目實施周期因本方案是以股份公司為整體設(shè)計的方案，牽涉公司單位共有17家，所以實施周期會比較長，實施安裝需要分3期，由信息部系統(tǒng)組和廠家技術(shù)支持為主，各分公司系統(tǒng)管理員協(xié)助，每公司逐個部門迭代安裝設(shè)置推進。具體實施周期安排如下：第一期實施內(nèi)容時間周期廣州股份公司安裝網(wǎng)絡準入系統(tǒng)，對網(wǎng)絡終端設(shè)備和人員的注冊和綁定，對計算機用戶的網(wǎng)絡認證技術(shù)指導和使用培訓等。1