欢迎进入九游会官方网站

022-89646530guoqingjun@runyuchina.com

首页
关于我们
公司简介 资质荣誉 新闻中心 风采展示
解决方案
九游会官方网站 大数据 云计算 虚拟化 网络安全 容灾备份 双机
客户案例
典型案例 部分客户
服务支持
售前咨询 售后技术支持
联系我们
招贤纳士 公司地址 在线留言

客户案例

当前位置:首页 客户案例 典型案例 典型案例

某科技公司安全网络方案

现今存在问题

随着网络规模不断扩大,内部网络缺乏用户和终端的识别、准入机制,造成严重的网络安全威胁。

A 网络环境多样化

传统的企业园区主要是有线网络,PC等终端设备通过交换机、路由器接入网路中。现在企业组网环境趋于多样化,除了有线网络,还有WLAN等混合接入环境,对于从不同网络接入的用户缺乏统一的认证准入。

B 用户身份多样化

用户角色多样,除了企业正式员工,还有外协员工、合作方员工、访客、VIP等多种用户角色、每种角色都要求不一样的网络授权且需要统一管理,用户分布在不同的组织机构中。

C 接入终端类型复杂化

除了传统的PC(包括Windows、Linux、MacOS多种操作系统)、服务器,还有手机、PAD等移动终端、尤其是不同类型的终端需要授予不同的权限,缺少网络权限的划分,以及摄像头、打印机、门禁卡等哑终端,不同终端设备全部接入到网络中。

业务逻辑丰富化

网络上承载的业务越来越丰富,不仅有传统固定园区网络的办公,还有BYOD环境下复杂用户和终端的接入。以及远程移动办公业务,都需要对内网资源进行精准的授权。在很多场景下。就可以进入内部网络各个区域,就可以访问相关的应用数据,任何外来人员或客户只要将计算机插入网线,其中没有任何身份的认证和安全措施,对整个网络和应用造成很大的安全威胁,如知道相关应用系统的帐号及密码。网络的终端全部都是基于工作组的模式,没有进行网络域的集中管理模式和相关的策略性的定义。

接入控制需求

1)内网准入认证:能通过802.1x协议,配合支持准入控制功能的网络交换机,实现用户身份认证,对于认证失败的用户,断开其网络连接;对于认证通过的主机,按照策略设定完成相应网络权限设置;

2)网关准入控制:针对无线用户、VPN用户和来访客人,应配合支持准入控制功能的安全网关设备,只有身份认证通过的用户,才能允许其访问内部网络;

3)访客管理:对于访客用户。如微信认证、短信认证,提供多种灵活的网络接入方式,实现用户留存、快速上网和营销推广。

4)现网认证终端数要求:现网络中实现200人固定员工认证,认证服务器中需部署800个认证账号及密码主要用于访客来进行使用。

方案介绍

典型组网

 图片2.png

EIA典型组网图

如图所示,在华米科技公司现要求一套EIA终端准入认证系统,EIA专注于网络接入控制、终端智能识别,可以为华米科技提供全面、完善的端到端网络接入解决方案。 

准入方面,对局域网用户采用接入层802.1x部署方案。EIA直接与H3C 交换机配合,实现终端准入控制功能。H3C交换机支持标准的802.1x功能,不仅可以实现单端口单用户的准入控制,也可以实现单端口多用户的准入控制,从而实现对HUB及小交换机用户的管理。特定情况下,可以将HUB下挂到H3C交换机下面,EIA可以区分HUB下面的多个用户,并根据不同用户下发不同策略。

对于无线用户,EIA可以与胖AP、AC无线控制器等配合,通过Portal方式进行准入控制。由于瘦APAC无线控制器的组网方式给大部分用户所采用,因此一般情况下无线EIA方案主要是与AC无线控制器配合。无线用户接入时,会弹出页面对用户进行认证和检查。

EIA也支持无线环境下的802.1x用户接入,802.1x是二层认证方式、用户从连接无线开始就需要做身份认证,因此安全控制更严格。同时,相对于Portal的私有协议实现方式,802.1x作为通用的网络接入认证协议,被绝大部分厂商的设备所支持,所以在多种厂商的无线设备混合使用的场景下,建议使用802.1x的认证方式,适用性更强。

EIA可以不仅可以支持常见的准入认证功能,也支持ACL下发、认证元素绑定、多场景授权、微信短信二维码认证等创新功能。另外,EIA支持与H3C UBAS行为审计系统、NTA流量分析系统联动,结合EIA强大的用户身份、权限的管理。为管理员提供行之有效的网络管理和用户管理策略,可以帮助管理员分析网络中的异常流量,追查恶意的上网行为,高效地管理网络用户的同时。

 网络准入认证

通过与不同网络接入设备的联动,EIA解决方案可在多种应用场景中实现用户终端安全准入认证。满足不同网络环境下,终端安全准入认证的需要。

 802.1x准入认证

802.1x将接入层设备作为准入认证的控制点,对试图接入网络的用户终端进行身份认证,降低各种安全威胁在企业扩散的风险,防止非法用户和终端接入网络。

方案组网

图片3.png 

接入层EIA解决方案组网应用

方案说明

用户终端需要安装iNode客户端(若操作系统支持也可以不安装客户端),在上网前首先进行802.1x认证,否则将不能接入网络。802.1x认证要求用户名密码信息准确,并且满足管理员设置的接入条件(接入的时间、地点等)和绑定检查信息(终端的IP、MAC等),才能被授予相应的网络权限。

在接入交换机(H3C或者主流厂商的交换机设备)端口上要启用802.1x认证,强制进行基于用户的802.1x认证和动态ACL、VLAN控制。

EIA802.1x认证,提高身份验证的安全性,除了用户名密码验证,还支持多种双因子认证方式(如证书认证、动态密码认证等)。同时,EIA还提供多种信息绑定检查,如终端IP地址、终端MAC地址、接入设备IP地址、接入设备端口号、VLAN、SSID等,如根据接入时段、接入位置、终端类型、终端厂商等条件设置不同的场景,并且还支持基于场景的策略授权,用户接入时按照优先级匹配,只有匹配成功并且绑定检查也通过的用户才允许接入到网络中。






官网首页 关于我们 九游会官方网站 解决方案 客户案例 服务支持 联系我们
022-89646530 地址:徽省合肥市高新区望江西路800号创新产业园一期C4栋1001室 邮编: 230022 传真:022-89646530
九游会官方网站 版权所有 ICP备:皖ICP备10200466号-2

在线客服

在线咨询
在线咨询
在线咨询
在线咨询
咨询电话022-89646530

返回顶部