【正文】 工作區(qū)修復(fù)區(qū)V L A N身份＋安全狀態(tài) + 硬件 ID802. 1XV L AN 動態(tài)切換EAP o v e r L AN＋Ra d iu s訪客可訪問資源安全區(qū)資源修復(fù)區(qū)資源身份＋安全狀態(tài) + 硬件 IDEAP o v e r UDP基于 8 0 2 . 1 x 認證的準入控制 基于 Ci s c o Eo U 認證的準入控制ACL 訪問控制 圖表 4 基于 認證和 Cisco EoU 認證準入控制技術(shù)對比 LeagView UniAccess 網(wǎng)絡(luò)準入控制架構(gòu)的突出特點是以網(wǎng)絡(luò)設(shè)備為控制設(shè)備點，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。聯(lián)軟科技提供的準入控制系統(tǒng)部署方案具有如下特征： ? 和認證過程相關(guān)的設(shè)備和系統(tǒng)，不存在單點故障。 ? 幫助安全管理員解決內(nèi)部用戶私自接 HUB、無線 AP 等不安全行為。當用戶終端接入網(wǎng)絡(luò)時，交換機要求用戶終端提 交 認 證 請 求 （ 身 份 與 安 全 ）， 然 后 交 換 機 把 用 戶 的 身 份（ usernameamp。聯(lián)軟科技提供的準入控制系統(tǒng)部署方案具有如下特征： 1） 和認證過程相關(guān)的設(shè)備和系統(tǒng)，不存在單點故障。 Radius 在完成準入控制認證過程中，需要訪問管理員預(yù)先定義的準入控制策略，這些策略 Radius 會在啟動時，自動到數(shù)據(jù)庫中讀取并緩存在內(nèi)存中（ Policy Cache 技術(shù)），并且在準入控制策略發(fā)生變化時， Radius會收到后臺程序的變更通知，自動更新 Cache。 在部署準入控制系統(tǒng)時，提供 “一鍵式”復(fù)原腳本， 系統(tǒng)管理維護人員只需要在災(zāi)難發(fā)生時，鼠標點擊執(zhí)行復(fù)原腳步（在 3－ 5 分鐘內(nèi)執(zhí)行完畢），即可臨時撤銷準入控制，保障用戶可以繼續(xù)接入網(wǎng)絡(luò)。 管理員可以通過補丁安裝信息列表查看某臺終端設(shè)備需要安裝哪些補丁、哪些補丁已經(jīng)安裝、哪些補丁未安裝信息，界面如下圖所示。 四、 防止文件非法外傳 U 盤 /軟盤控制 LeagView UniAccess 的 U 盤控制功能實現(xiàn) U 盤的讀寫控制。 此外，通過 Agent 所提供的雙向防火墻功能，可以防止通過 FTP 方式外傳文件。 文件共享方式外傳控制 LeagView UniAccess 可以防止桌面終 端用戶通過文件共享的方式外傳文件，例如：通過 Windows 共享、 FTP 共享等。 LeagView UniAccess 還允許管理員為某個補丁定義自動分發(fā)與安裝策略，此時 LeagView UniAccess在策略目標范圍內(nèi)檢查終端設(shè)備是否安裝了該補丁，對于未安裝的終端設(shè)備，在指定時間內(nèi)將補丁主動推下去進行安裝。 客戶端用戶手工安裝補丁 LeagView UniAccess 客 戶端會向終端用戶顯示本機有哪些補丁未安裝以及這些補丁的詳細信息，如下圖所示。這樣系統(tǒng)管理維護人員可以及時采取修復(fù)措施，保障系統(tǒng)的冗余度。（備注：已經(jīng)接入網(wǎng)絡(luò)的終端，在準入控制服務(wù)器發(fā)生故障的情況下，不會斷網(wǎng)。當桌面用戶終端接入辦公網(wǎng)絡(luò)時，就需要提交終端身份信息、安全策略信息、硬件 ID 等進行認證、審計、授權(quán)。 針對三門核 電的情況：接入、匯聚、核心三層架構(gòu)；以阿爾卡特交換機為主（部分型號支持 ）；存在 PDA 等接入方式，我們建議采用 與 EoU結(jié)合的方式來做準入控制，即：在部分接入交換機開啟 、有特殊接入設(shè)備，比如 PDA 接入的網(wǎng)絡(luò)的部分交換機更換為思科三層的交換機，以支持 EoU協(xié)議。借助 LeagView UniAccess 網(wǎng)絡(luò)準入控制技術(shù)，可以對接入網(wǎng)絡(luò)的客戶機設(shè)備進行控制，只有 合法身份和滿足 安全要求的客戶機才允許接入網(wǎng)絡(luò)。 網(wǎng)絡(luò)交換機將準備接入網(wǎng)絡(luò)的電腦終端所上傳的以上各種信息轉(zhuǎn)發(fā)給LeagView UniAccess Radius 服務(wù)器，由 LeagView UniAccess Radius 服務(wù)器再去查詢數(shù)據(jù)庫服務(wù)器或 AD 服務(wù)器、郵件服務(wù)器、 LDAP 等，并將查詢分析的結(jié)果返回授權(quán)信息給網(wǎng)絡(luò)交換機。 LeagView UniAccess 網(wǎng)絡(luò)準入控制技術(shù)中，基于 認證和基于Cisco EoU 認證的兩種準入控制技術(shù)都可以控制對不安全終端或者外來終端對網(wǎng)絡(luò)資源的訪問。 LeagView UniAccess 采用基于以 IEEE 認證和 Cisco EoU 認證為核心的網(wǎng)絡(luò)準入控制架構(gòu)，如下圖所示。 圖表 2 網(wǎng)絡(luò)準入控制原理 【訪客區(qū)】 ：一般情況下，定義訪客區(qū)的網(wǎng)絡(luò)資源是可以被任何用戶的終端訪問的，如 Inter 資源。 ? 安全隔離，如果在接入檢查時，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對終端進行隔離或拒絕其訪問網(wǎng)絡(luò)資源，例如：發(fā)現(xiàn)是外來終端則拒絕接入或進入“訪客區(qū)”網(wǎng)段，或者是內(nèi)部不符合安全規(guī)定的終端，則讓其進入“ 修復(fù)區(qū)”。 ? 數(shù)據(jù)庫系統(tǒng)監(jiān)控 ? 支持主流數(shù)據(jù)庫系統(tǒng)的監(jiān)控，包括 SQL Server、 DB Oracle、 Sybase； ? 監(jiān)控數(shù)據(jù)庫系統(tǒng)的服務(wù)狀態(tài)，數(shù)據(jù)庫服務(wù)主要 進程的狀態(tài)、 CPU 利用率和內(nèi)存大小，數(shù)據(jù)庫表空間利用率、日志空間利用率、并發(fā)連接數(shù)，指定 SQL 語句的執(zhí)行效率。包括：軟硬件資產(chǎn)統(tǒng)計，資產(chǎn)變更自動發(fā)現(xiàn)，資產(chǎn)的維護等。即：按組設(shè)置安全管理策略。如為某個部門的所有機器安裝防病毒軟件。 ? 審計 連接在內(nèi)部網(wǎng)絡(luò)的計算機是否同時打開一些組織不允許的方式，如 Modem 撥號、 USB 硬盤、同時跨內(nèi)外網(wǎng)等。 ? 強制接入網(wǎng)絡(luò)的主機設(shè)備安裝規(guī)定的防病毒軟件，并且強制這些防病毒軟件及時更新最新病毒，以加強主機設(shè)備的自身抗病毒能力。 然后，對安裝了 Agent 的電腦終端，進行進一步的管理控制，包括： 1） 安全設(shè)置檢查、加固，非法操作的管理、限制 2） 防止文件非法外傳 (U 盤 /軟盤 /共享等 ) 3） 電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠程控制、補丁管理、分組策略分發(fā)、集中審計。 首先，通過網(wǎng)絡(luò)準入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合如下要求： 1） 常規(guī)接入 ，對于內(nèi)部員工、合作支持廠商及外來訪客等人員的常規(guī)網(wǎng)絡(luò)訪問，必須符合網(wǎng)絡(luò)常規(guī)接入管理規(guī)定，例如：擁有合法的訪問帳號、安裝了指定的操作系統(tǒng)等，支持并自帶 驗證功能的版本。 解決方案要向 IT 系統(tǒng)管理員 提供 一個統(tǒng)一 的登錄 入口，有整體的 桌面安全視圖， 呈現(xiàn) 整個計算機網(wǎng)絡(luò) 系統(tǒng) 中所有終端設(shè)備的安全 運行狀況。 IT 服務(wù)管理以客戶需求（在企業(yè)內(nèi)部則為企業(yè)內(nèi)各部門的業(yè)務(wù)需求）為中心，支持企業(yè)的業(yè)務(wù)服務(wù)。 方案設(shè)計原則 方案設(shè)計遵循如下原則： 1) 先進性原則：提供一致的管理平臺和管理界面，在復(fù)雜的 IT 異構(gòu)環(huán)境中實現(xiàn)統(tǒng)一管理，實現(xiàn)分布式、跨平臺、跨系統(tǒng)的集中管理。 綠盟 NIPS600A 簡介： 綠盟網(wǎng)絡(luò)入侵防護系（ NSFOCUS Network Intrusion Prevention System，簡稱： NSFOCUS NIPS） 是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計目標旨在準確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā) 出告警。 G2) SG6000G5150 支持三種類型的擴展模塊：接口擴展模塊，應(yīng)用處理擴展模塊，存儲擴展模塊。 全并行處理的安全架構(gòu) (多核 Plus174。 StoneOS174。 Hillstone 獨具特色的即插即用 VPN，可以讓遠端分支機構(gòu)只需簡單的用戶名和密碼即可自動從中心端下載網(wǎng)絡(luò)和安全配置，完全解決了傳統(tǒng) IPSec VPN設(shè)備配置難、使用難、維護成本高的缺點。 新一代防火墻 深度應(yīng)用安全 隨著網(wǎng)絡(luò)的快速發(fā)展，越來越多的應(yīng)用都建立在 HTTP/HTTPS 等應(yīng)用層協(xié)議之上。 在應(yīng)用服務(wù)器區(qū)部署 1 臺 Hillstone SG6000M3100 高性能防火墻，實現(xiàn)應(yīng)用服務(wù)器區(qū)與其它各安全區(qū)域之間，以及對 Inter 的訪問控制，同時可有效保護應(yīng)用服務(wù)器區(qū)不受各種網(wǎng)絡(luò)攻擊。 2. 系統(tǒng)建設(shè)的原則 系統(tǒng)高可靠性 高效穩(wěn)定的系統(tǒng)，能提供全年 365 天，每天 24 小時的不停頓運作。支持各種高速網(wǎng)絡(luò)技術(shù)（千兆以太網(wǎng)，快 速以太網(wǎng)）；全系列的交換產(chǎn)品，拓展網(wǎng)絡(luò)帶寬。 Hillstone SG6000M3100 簡介： SG6000是 Hillstone山石網(wǎng)科公司全新推出的新一代多核安全網(wǎng)關(guān)系列產(chǎn)品。 StoneOS174。) SG6000 可選 UTM Plus174。不同的用戶甚至同一用戶在不同的地點或時間都可以有不同的管理策略。 StoneOS174。在校園網(wǎng)和小區(qū)寬帶等大流量的場合，也可以使用外置高性能日志服務(wù) 器。 Web 威脅防護 基于互聯(lián)網(wǎng) Web 站點的掛馬檢測結(jié)果，結(jié)合 URL 信譽評價技術(shù)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截 Web威脅。 4) 安全性原則：對管理對象性能影響小，安全策略執(zhí)行有效。 ISO17799 中，除了安全思路之外，給出了許多非常細致的安全管理指導(dǎo)規(guī)范。 4. 支持多廠商 /多平臺 解決方案設(shè)計的系統(tǒng)要能夠?qū)崿F(xiàn)對主流廠商的網(wǎng)絡(luò)設(shè)備、 多種桌面操作系統(tǒng)的支持 ，是一個采用國際、國家或者行業(yè)標準的開放系統(tǒng)，以便 將來的網(wǎng)絡(luò)擴容、系統(tǒng)升級 。 2） 安全接入 ，對于內(nèi)部員工、合作支持廠商及業(yè)務(wù)相關(guān)人員的特殊或涉密網(wǎng)絡(luò)訪問，必須安裝 Agent，如果是未安裝 Agent 的電腦終端接入網(wǎng)絡(luò)，其打開 WEB 瀏覽器訪問任何 Web site 時，將被重定向到管理員指定的一個頁面，提醒其安裝 Agent。企業(yè)可以依據(jù)有關(guān)安全管理規(guī)范對其進行警告或者處罰，防范這種行為的再次發(fā)生。 ? 管理員可以定義主機必須滿足什么樣的安全要求才能夠具備較強的抗攻擊能力，當不滿足時就認為主機是有安全漏洞的，這樣的主機是很容易受到安全攻擊的。通過集中式控制平臺，也可以對電腦終端進行各種批量的查詢和統(tǒng)