一、面临挑战
企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:
多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别;
多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战;
多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。
二、解决方案
1.H3C网络准入控制及终端安全方案概述
时讯网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。
其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。
在此方案中,H3C无线WLC开启portal认证,认证服务器指向时讯认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式
2.1员工场景
①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息;
②支持802.1X认证;
③支持802.1x+portal认证;
④支持802.1x+portal+动态码认证。
2.2访客场景
①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进行认证连接上网;
③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录;
④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;
⑤支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制;
⑥支持邮箱认证,访客可以通过邮箱认证接入网络。
三、方案价值
1.用户+终端安全:基于终端风险及用户角色,实现动态网络访问权限分配,多维终端安全评估(是否AD成员主机、是否安装杀毒软件以及及时更新等),加之基于用户角色做策略,实现不同角色访问权限的控制,从而提升网络安全;
2. 认证方式:支持多种认证方式,可一种或多种同时使用,满足不同企业不同用户的网络准入控制需求;
3.多分支接入:支持多分支统一接入管理,实现单点认证,全网无缝漫游,避免出网二次认证登陆;
4.实名审计:通过与外网上网行为设备或者内网应用防火墙联动,实现基于用户的上网行为实名审计,并通过与时讯既有用户身份数据联动,完成对异常上网的实名追索,避免异常上网对企业造成的法律及安全风险;
5.防私接:支持防非法私接功能,防止非法路由器及设备网络,如随身WIFI插入网络形成热点,对内网安全造成隐患;
6.账号安全:可结合时讯双因素认证方案,通过动态密码技术,双重保障终端用户准入网络身份安全。
H3C网络准入控制及终端安全方案
作者:「时讯无线」
发表于:Nov 02, 2020
浏览: 次
北京时讯遨游网络科技有限公司,是一家创立于北京,致力于无线WiFi宽带网络设备研发、无线WiFi宽带网络媒体运营的新技术企业。公司由一批在宽带网业界从事多年的人士发起创建,凭借团队多年来服务于IT行业的技术实力和丰富的行业资源,提供一流的技术、产品和服务。
景区无线WIFI网络覆盖,酒店无线WIFI网络覆盖,学校无线WIFI网络覆盖,商超无线WIFI网络覆盖,银行无线WIFI网络覆盖,企业无线WIFI网络覆盖,工厂无线WIFI网络覆盖,仓库无线WIFI网络覆盖,政府无线WIFI网络覆盖,室内外无线WIFI网络覆盖,农场无线WIFI网络覆盖,加油站无线WIFI网络等
Wiradius是用户认证计费管理系统,采用国际标准协议RADIUS为基本支撑,可以实现对VOIP电话、网络接入、即时通信、电子商务网站提供认证、计帐、漫游、虚拟计费服务。是由北京时讯遨游网络科技有限公司研制出!