【正文】 uidway] dot1x interface Ethernet 0/8 特性[Quidway] dot1x 保存設(shè)置[Quidway] quitQuidway save 風(fēng)險(xiǎn)與災(zāi)備，如認(rèn)證流與數(shù)據(jù)流的分離、獨(dú)立于應(yīng)用之外、在嚴(yán)格之余又具有很高的可擴(kuò)展性等。此命令作用是將telnet時(shí)進(jìn)行的認(rèn)證放在交換機(jī)本地，如果不配置的話，假如以前telnet交換機(jī)只需要輸入密碼的話，那么在下次進(jìn)行telnet登陸時(shí)，交換機(jī)將會(huì)提示要求輸入用戶名和密碼進(jìn)行認(rèn)證。在網(wǎng)絡(luò)設(shè)備配置完成后，將其應(yīng)用到radius配置的“啟用準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備”中：另外，在頁(yè)面策略配置完成后，務(wù)必點(diǎn)擊更新radius服務(wù)器策略，否則radius服務(wù)器將無(wú)法獲取到最新的策略修改。客戶端的安裝，終端認(rèn)證不成功將不能訪問(wèn)網(wǎng)絡(luò)，故客戶端的安裝問(wèn)題將影響用戶的使用，客戶端的安裝請(qǐng)參見(jiàn)“客戶端部署”章節(jié)。在本次方案中。 網(wǎng)絡(luò)準(zhǔn)入控制實(shí)施。ii) 獨(dú)特功能：應(yīng)用準(zhǔn)入可以通過(guò)自動(dòng)重定向，對(duì)未受控或者不合規(guī)的終端，進(jìn)行個(gè)性化的友好提示，通過(guò)友好提示不僅可以幫助最終用戶了解無(wú)法訪問(wèn)業(yè)務(wù)服務(wù)器的原因，為最終用戶接受和適應(yīng)新的終端合規(guī)管理提供幫助，還可以通過(guò)該提示頁(yè)面，發(fā)送執(zhí)行合規(guī)管理的客戶端軟件，真正實(shí)現(xiàn)了最終用戶“自助式”的客戶端部署，不僅大幅度減少系統(tǒng)維護(hù)人員的工作量，也極大減少用戶的厭煩和抵觸行為，保證合規(guī)管理有效性的同時(shí)，在內(nèi)網(wǎng)終端合規(guī)管理過(guò)程中，體現(xiàn)了人性關(guān)懷，有效增強(qiáng)了最終用戶在內(nèi)網(wǎng)合規(guī)管理系統(tǒng)實(shí)施中的積極性，促進(jìn)內(nèi)網(wǎng)合規(guī)更快獲得良好收效。集成的Web準(zhǔn)入控制，平臺(tái)適應(yīng)能力非常廣泛，服務(wù)端能夠在Windows、Linux、unix下使用。5 準(zhǔn)入控制實(shí)施 應(yīng)用準(zhǔn)入控制實(shí)施應(yīng)用準(zhǔn)入介紹天珣系統(tǒng)中，具備其他同類軟件不同的關(guān)鍵準(zhǔn)入控制組件——策略網(wǎng)關(guān)，這個(gè)組件可以安裝在企業(yè)網(wǎng)中一個(gè)或多個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器之上，執(zhí)行應(yīng)用層準(zhǔn)入控制，可以對(duì)來(lái)訪的終端執(zhí)行合規(guī)檢查，如果來(lái)訪終端非受控或不合規(guī)，將被拒絕訪問(wèn)該服務(wù)器或業(yè)務(wù)系統(tǒng)，同時(shí)也達(dá)到對(duì)這些關(guān)鍵服務(wù)器和業(yè)務(wù)系統(tǒng)增強(qiáng)保護(hù)的效果。如果有需要特別注意的地方，就需要制定特別的部署方案?？蛻舳俗灾惭b可采用策略網(wǎng)關(guān)提示安裝，網(wǎng)上鄰居預(yù)安裝，郵件提示預(yù)安裝等方式。在實(shí)際部署中，可根據(jù)情況增加或減少策略網(wǎng)關(guān)的部署數(shù)量。4 客戶端部署 通過(guò)應(yīng)用準(zhǔn)入方式部署客戶端 應(yīng)用準(zhǔn)入控制部署對(duì)于無(wú)法實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制的區(qū)域，可以采用應(yīng)用準(zhǔn)入。一種管理員是全局管理員，這類管理員由一至二個(gè)成員組成，他們負(fù)責(zé)進(jìn)行基本設(shè)置，或一些全局性的策略。全局管理員定義的策略，其他普通管理員可以使用，但不能修改。5400遠(yuǎn)程協(xié)助數(shù)據(jù)流TCP客戶端any按需支援服務(wù)器7895發(fā)起支援請(qǐng)求TCPUTM類USGany客戶端1080發(fā)送攔截頁(yè)面TCP客戶端anyUSG1080接收攔截頁(yè)面TCPUSGany策略網(wǎng)關(guān)代理7893攔截訪問(wèn)，通知代理TCP 數(shù)據(jù)存儲(chǔ)建議采用數(shù)據(jù)的集中存儲(chǔ)模式，便于用戶的數(shù)據(jù)的存儲(chǔ)備份管理。從投資成本上考慮，建議本項(xiàng)服務(wù)器都在集中部署在院總部信息中心更有利，院下屬各廠所多集中在園區(qū)網(wǎng)內(nèi)網(wǎng)絡(luò)帶寬足以滿足集中心管理的需要，因此推薦集中管理的部署方式。在分布式多服務(wù)器架構(gòu)下，中心服務(wù)器是整個(gè)系統(tǒng)策略集中存放的地方，本地服務(wù)器是進(jìn)行日常的策略分發(fā)的地方。三臺(tái)策略服務(wù)器都安裝在中心機(jī)房，要求本次實(shí)施的所有的客戶端電腦及策略網(wǎng)關(guān)都可以通過(guò)TCP/IP協(xié)議的7890端口訪問(wèn)到策略服務(wù)器。如果一臺(tái)服務(wù)器宕機(jī)，其服務(wù)的用戶會(huì)自動(dòng)被其他的服務(wù)器接管。項(xiàng)目時(shí)間表3 管理服務(wù)器部署 總部管理服務(wù)器部署院本部?jī)?nèi)廠所內(nèi)：兩種方式部署管理服務(wù)器，一種是邏輯上的集中管理分級(jí)授權(quán)方式，另一種完全獨(dú)立的策略管理服務(wù)器方式。在規(guī)劃中要預(yù)先基于用戶角色確定每個(gè)部門、用戶或分支機(jī)構(gòu)，確定對(duì)應(yīng)的最合適的安全策略組合，作為系統(tǒng)最終實(shí)現(xiàn)的安全管理目標(biāo)。當(dāng)然，為了根本上解決客戶端電腦的安全管理問(wèn)題，這樣的系統(tǒng)的部署也勢(shì)在必行，因此在系統(tǒng)部署前需要對(duì)系統(tǒng)的實(shí)施過(guò)程、安全策略的制定和安全管理制度的建立，進(jìn)行全面系統(tǒng)地規(guī)劃，并在實(shí)施過(guò)程中，根據(jù)實(shí)際環(huán)境進(jìn)行適時(shí)調(diào)整，從而保證系統(tǒng)和安全策略在XX研究院內(nèi)部順利執(zhí)行下去，實(shí)現(xiàn)項(xiàng)目預(yù)期的目標(biāo)，保障內(nèi)部網(wǎng)絡(luò)具有更高可用性和客戶端電腦的更高安全性。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)實(shí)施方案（）啟明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月55 / 57目錄1 系統(tǒng)實(shí)施原則 1 最大限度降低對(duì)用戶的影響 1 全面細(xì)致規(guī)劃，分步實(shí)施 1 安全策略從簡(jiǎn)到繁，安全級(jí)別步進(jìn)式提高 22 實(shí)施計(jì)劃 23 管理服務(wù)器部署 3 總部管理服務(wù)器部署 3 廠所獨(dú)立管理服務(wù)器部署 4 部署實(shí)施建議 5 管理服務(wù)器與客戶端通信要求 5 數(shù)據(jù)存儲(chǔ)建議 9 管理員權(quán)限劃分 9 服務(wù)器安裝及數(shù)據(jù)管理 94 客戶端部署 10 通過(guò)應(yīng)用準(zhǔn)入方式部署客戶端 10 應(yīng)用準(zhǔn)入控制部署 10 建設(shè)期客戶端部署 11 維護(hù)期客戶端部署 115 準(zhǔn)入控制實(shí)施 11 應(yīng)用準(zhǔn)入控制實(shí)施 12 網(wǎng)絡(luò)準(zhǔn)入控制實(shí)施 15 風(fēng)險(xiǎn)與災(zāi)備 21 客戶端準(zhǔn)入部署 27 客戶端準(zhǔn)入控制部署建議 286 分工界面 297 附件一：服務(wù)器安裝及數(shù)據(jù)管理 311 系統(tǒng)實(shí)施原則 最大限度降低對(duì)用戶的影響部署終端安全管理系統(tǒng)的根本目的，是借助系統(tǒng)所提供的準(zhǔn)入控制的技術(shù)手段，確保接入的電腦是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客戶端電腦對(duì)XX研究院網(wǎng)絡(luò)和信息資源帶來(lái)的風(fēng)險(xiǎn)和威脅，保證XX研究院每一個(gè)用戶的電腦始終處于良好的運(yùn)行狀態(tài)，大大降低故障發(fā)生概率，從而保證每個(gè)用戶都能夠完全專注在自己的本職業(yè)務(wù)工作，并大大提高每一個(gè)用戶的工作效率。部署前需要規(guī)劃的內(nèi)容包括：內(nèi)部網(wǎng)絡(luò)和用戶的安全分級(jí)和規(guī)劃，系統(tǒng)部署的次序和周期，針對(duì)不同部門或用戶角色的安全策略組合，系統(tǒng)安全策略的動(dòng)態(tài)調(diào)整等等。在實(shí)施過(guò)程中，再按照由簡(jiǎn)到繁的次序，先實(shí)施所有用戶都必須遵守的安全策略，然后再根據(jù)不同分支機(jī)構(gòu)、部門和用戶，步進(jìn)式下發(fā)和執(zhí)行各級(jí)安全策略，從而實(shí)現(xiàn)安全級(jí)別步進(jìn)式提高，構(gòu)建立體的、混合模式的終端安全策略管理體系。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持多策略服務(wù)器架構(gòu)。每一個(gè)管理網(wǎng)段的電腦都有3次從服務(wù)器獲取規(guī)則的機(jī)會(huì)，它們首先會(huì)從Primary的策略服務(wù)器獲取規(guī)則，如果失敗，則從Secondary的策略服務(wù)器獲取規(guī)則，如果再失敗，則從中心服務(wù)器獲取規(guī)則，如果還是失敗，則使用客戶端本地緩存的規(guī)則。因?yàn)橹行姆?wù)器有日常的管理負(fù)荷，建議中心服務(wù)器管理3000臺(tái)終端電腦，本地服務(wù)器管理7000臺(tái)終端電腦。全系統(tǒng)只需要一個(gè)中心服務(wù)器，可以有多個(gè)本地服務(wù)器，中心服務(wù)器可以兼作本地服務(wù)器。 部署實(shí)施建議 管理服務(wù)器與客戶端通信要求CC與管理服務(wù)器的通信列表。本部及各分支機(jī)構(gòu)的數(shù)據(jù)全部存儲(chǔ)在一臺(tái)固定的數(shù)據(jù)庫(kù)服務(wù)器中，省去數(shù)據(jù)同步的麻煩，增加數(shù)據(jù)一致性。全局管理員可以使用、修改任何一個(gè)普通管理員或全局管理員定義的策略。第二種管理員是普通管理員，主要由他們進(jìn)行策略配置，他們定義的策略具有本地屬性，當(dāng)今后部署范圍擴(kuò)大，安裝了更多的本地服務(wù)器，有更多的管理員參與策略系統(tǒng)管理時(shí)，他們定義的策略不會(huì)被其他管理員使用。下圖是采用應(yīng)用準(zhǔn)入的部署圖。天珣已經(jīng)與啟明星辰天清漢馬USG實(shí)現(xiàn)準(zhǔn)入控制互動(dòng)，由USG作為新的應(yīng)用準(zhǔn)入控制類型。后臺(tái)自動(dòng)安裝可使用現(xiàn)有的軟件分發(fā)工具，或用專門的后臺(tái)安裝工具進(jìn)行安裝。 維護(hù)期客戶端部署新購(gòu)置電腦對(duì)于少量新購(gòu)置的電腦，建議在入網(wǎng)之前由管理部門安裝天珣客戶端；對(duì)于批量購(gòu)置的電腦，建議與電腦廠商協(xié)商，在出廠時(shí)即安裝天珣客戶端。其中，基于DNS應(yīng)用準(zhǔn)入控制，又根據(jù)模式的不同，又可以分為旁路式的DNS準(zhǔn)入（此時(shí)DNS處于旁路監(jiān)聽(tīng)模式，無(wú)需改變DNS服務(wù)器配置或者安裝DNS策略網(wǎng)關(guān)）和在線DNS準(zhǔn)入（在DNS服務(wù)器上部署DNS策略網(wǎng)關(guān)）。 性能優(yōu)越，而且部署及其簡(jiǎn)單，只需把控件加入登錄頁(yè)面上，并且替換了用戶名輸入控件，進(jìn)行小量的頁(yè)面修改即可完成部署。本項(xiàng)目中應(yīng)用準(zhǔn)入的實(shí)施主頁(yè)或OA服務(wù)器上的中性策略網(wǎng)關(guān)在主頁(yè)或OA服務(wù)器上安裝天珣中性策略網(wǎng)關(guān)，受控終端訪問(wèn)主頁(yè)或OA服務(wù)器時(shí)過(guò)程如下。該認(rèn)證模式可以和“基本認(rèn)證”、“擴(kuò)展組合認(rèn)證”組合成完善的準(zhǔn)入模式。n 策略配置首先，在天珣WEB控制臺(tái)中添加一條Radius Server策略，在這里配置radius認(rèn)證服務(wù)器及其所使用的認(rèn)證策略：我們配置“網(wǎng)絡(luò)準(zhǔn)入類型”為“”，基本認(rèn)證為“用戶認(rèn)證”，并選擇電力集團(tuán)的AD域作為認(rèn)證域。n 交換機(jī)配置對(duì)于交換機(jī)的配置，我們會(huì)對(duì)兩種電力集團(tuán)普遍使用的接入層cisco和華為交換機(jī)進(jìn)行介紹。華為交換機(jī) ，目前提供3種認(rèn)證方法：PAP認(rèn)證、CHAP認(rèn)證、EAP中繼認(rèn)證。該準(zhǔn)入控制手段已經(jīng)大量應(yīng)用于教育、金融行業(yè)，在近年來(lái)舉辦的重大賽事如廣州亞運(yùn)會(huì)，該準(zhǔn)入控制手段也已經(jīng)全面應(yīng)用。因此，一套完整的、可操作的風(fēng)險(xiǎn)預(yù)案便成了關(guān)鍵時(shí)刻的法寶。Radius認(rèn)證服務(wù)器：與Swich聯(lián)動(dòng)，提供對(duì)客戶端及用戶進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證服務(wù)器。按照天珣系統(tǒng)的設(shè)計(jì)原理，以上組件中，除了中心服務(wù)器和本地服務(wù)器之外，其他任意組件，例如無(wú)備份的單一Radius服務(wù)器、目錄服務(wù)器（本方案中的AD域服務(wù)器）、交換機(jī)、客戶端，只要其中之一出現(xiàn)影響認(rèn)證