【正文】 攔截訪問，通知代理TCP 數(shù)據(jù)存儲建議采用數(shù)據(jù)的集中存儲模式，便于用戶的數(shù)據(jù)的存儲備份管理。本部及各分支機構(gòu)的數(shù)據(jù)全部存儲在一臺固定的數(shù)據(jù)庫服務器中，省去數(shù)據(jù)同步的麻煩，增加數(shù)據(jù)一致性。 管理員權(quán)限劃分三權(quán)分立管理在天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)中，基本設(shè)置的操作必須有全局管理員權(quán)限才能進行，而普通的策略配置只需要普通管理員權(quán)限就可以進行。一個普通管理員定義的策略，另外一個普通管理員不能看見，也不能使用。全局管理員定義的策略，其他普通管理員可以使用，但不能修改。全局管理員可以使用、修改任何一個普通管理員或全局管理員定義的策略。對全局管理員或普通管理員，都可以設(shè)置“只讀”屬性，該管理員只能讀取策略信息，不能增加、修改或應用策略。在院總部，建議設(shè)置三種管理員。一種管理員是全局管理員，這類管理員由一至二個成員組成，他們負責進行基本設(shè)置，或一些全局性的策略。第二種管理員是普通管理員，主要由他們進行策略配置，他們定義的策略具有本地屬性，當今后部署范圍擴大，安裝了更多的本地服務器，有更多的管理員參與策略系統(tǒng)管理時，他們定義的策略不會被其他管理員使用。第三種管理員是只讀管理員，一般對部門領(lǐng)導設(shè)置這種權(quán)限，他們可以查看系統(tǒng)，但不需要他們做策略配置。 服務器安裝及數(shù)據(jù)管理見附件一。4 客戶端部署 通過應用準入方式部署客戶端 應用準入控制部署對于無法實施網(wǎng)絡(luò)準入控制的區(qū)域，可以采用應用準入。下圖是采用應用準入的部署圖。分別在院的DNS服務器，ISA服務器，關(guān)鍵的Windows服務器，關(guān)鍵的Linux服務器等經(jīng)常被訪問的服務器上部署策略網(wǎng)關(guān)，當用戶電腦訪問這些服務器時，策略網(wǎng)關(guān)將會檢查用戶電腦是否運行了天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)客戶端軟件，而且是否符合策略規(guī)則。如果不符合，策略網(wǎng)關(guān)將拒絕用戶的訪問，并給出友好的提示。在實際部署中，可根據(jù)情況增加或減少策略網(wǎng)關(guān)的部署數(shù)量。天珣已經(jīng)與啟明星辰天清漢馬USG實現(xiàn)準入控制互動，由USG作為新的應用準入控制類型。當終端需要通過USG進行訪問時，由USG和天珣聯(lián)動，只容許認證通過并且安全狀態(tài)符合要求的終端通過USG進行訪問。 建設(shè)期客戶端部署客戶端部署主要采用客戶自助安裝、后臺自動安裝、或管理員輔助安裝等部署方式。客戶端自助安裝可采用策略網(wǎng)關(guān)提示安裝，網(wǎng)上鄰居預安裝，郵件提示預安裝等方式。后臺自動安裝可使用現(xiàn)有的軟件分發(fā)工具，或用專門的后臺安裝工具進行安裝。管理員輔助安裝是在前面的安裝手段對個別用戶不能成功部署時采用?？蛻舳瞬渴鹨啦块T順序分階段進行，在對每個部門全面部署前，先進行一次終端應用情況調(diào)研，針對每個部門的終端使用情況進行詳細調(diào)研，主要包括：OS、版本、補丁、應用系統(tǒng)、重要數(shù)據(jù)等其它相關(guān)內(nèi)容。如果有需要特別注意的地方，就需要制定特別的部署方案。 維護期客戶端部署新購置電腦對于少量新購置的電腦，建議在入網(wǎng)之前由管理部門安裝天珣客戶端；對于批量購置的電腦，建議與電腦廠商協(xié)商，在出廠時即安裝天珣客戶端。電腦重裝操作系統(tǒng)天珣應用準入的一個重要功能是幫助管理員部署客戶端。對于偶爾重裝操作系統(tǒng)的終端，可通過應用準入控制由用戶自助安裝客戶端程序。5 準入控制實施 應用準入控制實施應用準入介紹天珣系統(tǒng)中，具備其他同類軟件不同的關(guān)鍵準入控制組件——策略網(wǎng)關(guān)，這個組件可以安裝在企業(yè)網(wǎng)中一個或多個關(guān)鍵業(yè)務系統(tǒng)服務器之上，執(zhí)行應用層準入控制，可以對來訪的終端執(zhí)行合規(guī)檢查，如果來訪終端非受控或不合規(guī)，將被拒絕訪問該服務器或業(yè)務系統(tǒng)，同時也達到對這些關(guān)鍵服務器和業(yè)務系統(tǒng)增強保護的效果。其中，基于DNS應用準入控制，又根據(jù)模式的不同，又可以分為旁路式的DNS準入（此時DNS處于旁路監(jiān)聽模式，無需改變DNS服務器配置或者安裝DNS策略網(wǎng)關(guān)）和在線DNS準入（在DNS服務器上部署DNS策略網(wǎng)關(guān)）。天珣能夠與啟明星辰天清漢馬一體化安全網(wǎng)關(guān)（簡稱：天清漢馬USG）組成UTM2合規(guī)管理方案，實現(xiàn)準入控制聯(lián)動，由天清漢馬USG擔當準入控制網(wǎng)關(guān)，當計算機終端需要通過天清漢馬USG進行訪問時，確保只有受控和合規(guī)的才能通過天清漢馬USG對USG所保護的服務器進行訪問。除此之外，天珣還能夠提供可以與用戶任意平臺的B/S結(jié)構(gòu)的業(yè)務系統(tǒng)無縫集成的Web準入控制。集成的Web準入控制，平臺適應能力非常廣泛，服務端能夠在Windows、Linux、unix下使用。 性能優(yōu)越，而且部署及其簡單，只需把控件加入登錄頁面上，并且替換了用戶名輸入控件，進行小量的頁面修改即可完成部署。應用準入的特點i) 應用準入生效是在數(shù)據(jù)中心的服務器區(qū)，對于網(wǎng)絡(luò)環(huán)境中因接入層交換機或匯聚層交換機不支持相應的網(wǎng)絡(luò)準入認證協(xié)議，或者因內(nèi)網(wǎng)終端合規(guī)管理的現(xiàn)實要求，暫時不需要啟用最嚴格的網(wǎng)絡(luò)準入控制的情況，應用準入將可以代替網(wǎng)絡(luò)準入作為最佳的終端合規(guī)準入控制手段。當然如果終端始終不去訪問數(shù)據(jù)中心服務器，那么將可能無法對其實施應用準入，因此前期對準入所使用的業(yè)務系統(tǒng)的選擇將會非常關(guān)鍵。ii) 獨特功能：應用準入可以通過自動重定向，對未受控或者不合規(guī)的終端，進行個性化的友好提示，通過友好提示不僅可以幫助最終用戶了解無法訪問業(yè)務服務器的原因，為最終用戶接受和適應新的終端合規(guī)管理提供幫助，還可以通過該提示頁面，發(fā)送執(zhí)行合規(guī)管理的客戶端軟件，真正實現(xiàn)了最終用戶“自助式”的客戶端部署，不僅大幅度減少系統(tǒng)維護人員的工作量，也極大減少用戶的厭煩和抵觸行為，保證合規(guī)管理有效性的同時，在內(nèi)網(wǎng)終端合規(guī)管理過程中，體現(xiàn)了人性關(guān)懷，有效增強了最終用戶在內(nèi)網(wǎng)合規(guī)管理系統(tǒng)實施中的積極性，促進內(nèi)網(wǎng)合規(guī)更快獲得良好收效。本項目中應用準入的實施主頁或OA服務器上的中性策略網(wǎng)關(guān)在主頁或OA服務器上安裝天珣中性策略網(wǎng)關(guān)，受控終端訪問主頁或OA服務器時過程如下。開啟準入檢查的網(wǎng)段，對有針對性地檢查特定的網(wǎng)段，對特殊網(wǎng)段可設(shè)置使其不受策略網(wǎng)關(guān)的影響。DNS準入在內(nèi)部DNS服務器上安裝天珣DNS策略網(wǎng)關(guān)，當受控終端發(fā)送DNS請求時與DNS服務器交互過程如下：開啟準入檢查的網(wǎng)段，對有針對性地檢查特定的網(wǎng)段，對特殊網(wǎng)段可設(shè)置使其不受DNS準入的影響。 網(wǎng)絡(luò)準入控制實施。 Server采用天珣自帶的Radius Server，用戶電腦安裝天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)客戶端軟件。天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)支持分布式多服務器架構(gòu)，建議每套天珣系統(tǒng)至少部署2個Radius服務器。在本次方案中。該認證模式可以和“基本認證”、“擴展組合認證”組合成完善的準入模式。對接入電腦的MAC地址進行驗證，如果不在允許接入的清單內(nèi)，則拒絕該電腦的接入。對于新接入的電腦，該電腦的信息將即時報告給管理員，管理員可以在線決定是否允許該新電腦的接入?？蛻舳说陌惭b，終端認證不成功將不能訪問網(wǎng)絡(luò)，故客戶端的安裝問題將影響用戶的使用，客戶端的安裝請參見“客戶端部署”章節(jié)。n 策略配置首先，在天珣WEB控制臺中添加一條Radius Server策略，在這里配置radius認證服務器及其所使用的認證策略：我們配置“網(wǎng)絡(luò)準入類型”為“”，基本認證為“用戶認證”，并選擇電力集團的AD域作為認證域。接下來再把需要啟用網(wǎng)絡(luò)準入的交換機的IP加入到網(wǎng)絡(luò)設(shè)備配置中，讓radius服務器知道它將對哪些交換機的認證請求進行響應。注意：共享密鑰必須與交換機中配置的key一致，否則將無法認證成功。在網(wǎng)絡(luò)設(shè)備配置完成后，將其應用到radius配置的“啟用準入控制的網(wǎng)絡(luò)設(shè)備”中：另外，在頁面策略配置完成后，務必點擊更新radius服務器策略，否則radius服務器將無法獲取到最新的策略修改。n 交換機配置對于交換機的配置，我們會對兩種電力集團普遍使用的接入層cisco和華為交換機進行介紹。CISCO交換機進入配置命令模式 config terminal配置Radius認證服務器啟用認證 aaa newmodel server組中的所有radius server進行認證 aaa authentication dot1x default group radius aaa authorization network default group radius添加ias到radius server，其中host后面的IP地址為IAS服務器地址，authport和acctport為標準的Radius端口，key為交換機和Raidus服務器通訊密鑰 radiusserver host authport 1812 acctport 1813 key 123456 dot1x systemauthcontrol interface FastEthernet0/7 switchport mode access dot1x portcontrol auto dot1x hostmode multihost（啟用交換機端口的multiplehosts模式，以使交換機可下接hub進行認證） end配置7號端口的重認證周期可選項，以秒為單位，默認為3600秒（1小時），當重認證時，如果網(wǎng)絡(luò)端口接入其他沒有運行天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)的計算機，端口會立刻封閉。 interface FastEthernet0/7 dot1x reauthentication dot1x timeout reauthperiod 3600 end保存當前配置作為啟動配置 copy runningconfig startupconfig注意：CISCO的交換機如果是遠程使用telnet登陸到交換機進行配置的話，請千萬記得配置aa