【導讀】圖像視頻傳輸，同時也對系統的實時性和可靠性提出較高的要求。建設一個先進、高效、合理的計算機網絡系統十分的必要。高效穩(wěn)定的系統，能提供全年365天，每天24小時的不停頓運作。作環(huán)境，以確保系統穩(wěn)定。能夠根據應用需求方便地進行系統擴充和技術擴展，滿足應用系統需求。系統在設計時均采用國際標準協議。RMON2；VLAN協議支持國際標準等。選用當前業(yè)界領先且代表主流發(fā)展方向的網絡技術來設計相應的系統，在Inter公網出口部署1臺HillstoneSG-6000-M3100高性能防火墻，自Inter的各種攻擊進行有效的防御。移動用戶可以采用SSLVPN方式，實現對內部資源的安全訪問。立VPN通道，即可安全地訪問被授權的內網資源。在開啟病毒防護或IPS等功能所帶來的性能下降的局限。應用帶寬管理、病毒過濾、入侵防護、上網行為管理等安全服務。新的安全威脅也隨之嵌入到應用之中，而傳統基于狀態(tài)檢測的防火墻只能。平臺的處理能力，可為用戶提供高容量、高性能的VPN解決方案。攻擊、新的URL做到及時響應。

　　

【正文】 提 交 認 證 請 求 （ 身 份 與 安 全 ）， 然 后 交 換 機 把 用 戶 的 身 份（ usernameamp。password）與安策略審計信息提交到 LeagView UniAccess Radius 后臺進行審計、并授權用戶： ? 當用戶沒有安裝 LeagView UniAccess Agent 時，拒絕用戶接入或放入guest vlan 中，限制用戶訪問網絡資源或強制讓其安裝 LeagView UniAccess Agent 并接受管理； ? 當用戶身份（ usernameamp。password）非法時，拒絕用戶接入或放入到 guest vlan 中，限制用戶訪問網絡資源； ? 當用戶安全策略（如：未安裝殺毒軟、隨意共享文件等等）不符合企業(yè)要求時，拒絕接入或將其放入修復 vlan 進行安全修復，直到滿足企業(yè)的安全策略時，方可接入網絡。 部署方法 終端修復服務器 I E E E 80 2. 1 x 設備C i sco N A C L2 IP 設備C i sco N A C L3 IP 設備A R P 干擾器Le a gV i e w 服務器AD 服務器E m ai l 服務器其它認證服務器 首先，在 LeagView UniAccess 管理平臺上定義訪客區(qū) VLAN、修復區(qū)VLAN、工作區(qū) VLAN，并根據實際需要設置無客戶端（ agent）、錯誤身份、不符合安全策略等終端的隔離動作。 其次，在內部接入以太網交換機及端口上開 啟 IEEE 協議 ， 在新增加的 Cisco 三層回家設備開啟 EoU 協議，分別 配置好與 LeagView UniAccess 后臺相關通訊參數。 完成以上部署后， LeagView UniAccess 管理平臺與內部接入交換機協調配合工作。當桌面用戶終端接入辦公網絡時，就需要提交終端身份信息、安全策略信息、硬件 ID 等進行認證、審計、授權。 網絡準入控制系統可靠性保障 為了提高三門核電 本次范圍內的終端安全管理與準入控制系統 的容災性能 ，建議的 LeagView UniAccess 系統部署示意如下 （雙 Radius 服 務器） ： 由于網絡準入控制服務一旦發(fā)生故障，會導致電腦終端無法接入網絡，因此必須保障網絡準入控制的高度可靠。聯軟科技提供的準入控制系統部署方案具有如下特征： 1） 和認證過程相關的設備和系統，不存在單點故障。即：單臺服務器或者設備的暫時性故障，不會導致整個網絡接入服務不可用； 2） 和準入控制系統相關的網絡設備、服務器、數據庫和軟件故障，系統能夠實現自動報警，向相關管理員發(fā)送手機短信息等； 3） 在特殊緊急情況下（例如：雙機故障，或分支機構到總部的廣域網線路中斷） ? 網絡管理員可以通過執(zhí)行腳本的方式，快速將網絡接入設置為“ 不設防”狀態(tài)（臨時撤銷所有準入控制措施），使得所有電腦終端能夠正常接入網絡。 ? 如果執(zhí)行網絡準入控制的網絡設備是 Cisco 的交換機或者路由器，可以在網絡設備上配置緊急模式。在緊急模式下，可以指定電腦終端可以訪問哪些資 源。 通過以上手段， LeagView 可以保障網絡接入服務的高度可用性。 準入控制高可靠性保障措施建議（消除單點故障） 準入控制服務器控制著終端接入網絡，如果這些服務器發(fā)生故障，可能導致終端無法接入網絡，直接影響員工辦公。（備注：已經接入網絡的終端，在準入控制服務器發(fā)生故障的情況下，不會斷網。） 為保障網絡準入控制服務高可靠性，建議采取如下措施： ? Radius 采用雙機，通過在網絡設備上設置多個 Radius IP 地址，網絡設備會在第一臺 Radius 服務器發(fā)生故障的情況下，自動切換到第二臺 Radius服務器； ? 主 Radius 服務器采用獨立的硬件服務器，避免在其上面安裝數據庫或者其它應用軟件，保障 Radius 服務器能夠穩(wěn)定、高效運行； ? Policy Cache 技術保證數據庫服務器故障情況下，不會導致準入控制服務停止。 Radius 在完成準入控制認證過程中，需要訪問管理員預先定義的準入控制策略，這些策略 Radius 會在啟動時，自動到數據庫中讀取并緩存在內存中（ Policy Cache 技術），并且在準入控制策略發(fā)生變化時， Radius會收到后臺程序的變更通知，自動更新 Cache。通過 Policy Cache 技術，即使數據庫服務器發(fā)生故障也不會影響準入控制服務； ? User Cache 技術保證 AD/LDAP(用戶名、密碼驗證 )服務器故障情況下，不會導致準入控制服務立刻停止。所有曾經接入網絡的用戶賬戶， Radius服務器會將其賬戶 Cache 在內存中，只要用戶的賬戶不改變密碼，下次接入時，就不需要重新到 AD/LDAP 服 務器上認證了。 Policy Cache/User Cache 兩個技術，既解決了準入控制中的數據庫和AD/LDAP 服務器的單點故障問題，同時通過內存 Cache 這種方式，大大提高 了終端接入認證的速度。 準入控制災難恢復與“一鍵式”復原技術 考慮到準入控制系統作為一個特殊的關鍵生產系統，必須要考慮特殊災難情況的發(fā)生。 本方案采取兩種措施應對災難情況： ? 單臺準入控制服務器發(fā)生故障，如： Radius、 DB、 AD/LDAP 服務器 LeagView 準入控制系統可以自動監(jiān)測這些服務器的運行狀態(tài)，一旦這些服務器發(fā)生故障 ，系統可以通過手機短信、電子郵件、電話、語音等方式予以及時的告警。這樣系統管理維護人員可以及時采取修復措施，保障系統的冗余度。 ? 多臺準入控制服務器發(fā)生故障，如：兩臺 Radius 服務器同時發(fā)生故障。 在部署準入控制系統時，提供 “一鍵式”復原腳本， 系統管理維護人員只需要在災難發(fā)生時，鼠標點擊執(zhí)行復原腳步（在 3－ 5 分鐘內執(zhí)行完畢），即可臨時撤銷準入控制，保障用戶可以繼續(xù)接入網絡。 三、 補丁分發(fā)及管理方案 補丁斷點續(xù)傳 LeagView UniAccess 補丁分發(fā)支持斷點續(xù)傳，如果在補丁分發(fā)過程中網絡斷開或者 終端設備被關機，當網絡連接正常后， LeagView UniAccess 客戶端代理能夠從原來的文件下載點開始繼續(xù)下載補丁包。 補丁測試 LeagView UniAccess 支持補丁測試機制。對于一個新的補丁包，管理員可以選定一組測試計算機進行測試，測試沒有問題后，再對該補丁做確認。LeagView UniAccess 可以控制只有管理員確認的補丁才會被分發(fā)到各個終端。 下面界面顯示所有補丁信息，其中有一個屬性，即補丁是否被管理員所確認。 客戶端用戶手工安裝補丁 LeagView UniAccess 客 戶端會向終端用戶顯示本機有哪些補丁未安裝以及這些補丁的詳細信息，如下圖所示。 終端用戶可以選擇未安裝補丁進行安裝。 管理員可以通過補丁安裝信息列表查看某臺終端設備需要安裝哪些補丁、哪些補丁已經安裝、哪些補丁未安裝信息，界面如下圖所示。 補丁自動分發(fā)安裝 LeagView UniAccess 實現補丁自動分發(fā)與安裝。管理員可以為某類微軟產品如 Windows 20xx 操作系統定義自動分發(fā)與安裝策略，策略內容包括需要升級的補丁級別、補丁分發(fā)時間、補丁安裝方式、是否需要管理員確認、補丁分發(fā)的目的機器范圍、 分發(fā)采用的中繼設備、補丁下載的最大流量等。 LeagView UniAccess 會自動檢查策略目標范圍內的終端設備的補丁安裝情況，如果有規(guī)定級別的補丁未安裝，則自動將補丁分發(fā)下去并根據安裝腳本進行安裝。補丁自動分發(fā)與安裝策略配置界面如下圖所示。 LegView 允許管理員為單臺終端設備配置補丁自動分發(fā)與安裝策略，此時策略的執(zhí)行范圍被限制在指定設備，其他的都與為某類產品定義的補丁升級策略相同。 LeagView UniAccess 還允許管理員為某個補丁定義自動分發(fā)與安裝策略，此時 LeagView UniAccess在策略目標范圍內檢查終端設備是否安裝了該補丁，對于未安裝的終端設備，在指定時間內將補丁主動推下去進行安裝。 LeagView UniAccess 可以設置補丁下載的最大流量，也可以設置分發(fā)的中繼設備，從而避免補丁下載過程占用太大網絡帶寬。 四、 防止文件非法外傳 U 盤 /軟盤控制 LeagView UniAccess 的 U 盤控制功能實現 U 盤的讀寫控制。管理員可以設置允許讀的 U 判標識、允許寫的 U 盤標識、對讀寫是否要審計。當 U 盤接入到客戶端時， LeagView UniAccess 會判斷該 U 盤是可以被讀、被寫 還是不可以接入到客戶端，同時控制用戶對 U 盤的操作。 LeagView UniAccess 可以審計 U 盤操作，審計內容包括何時、哪臺終端、哪個用戶、使用的 U 盤標識、做的操作、文件名稱和大小等信息。 LeagView UniAccess 可以設置對 U 盤的注冊，對于已注冊的 U 盤可以使用，而未注冊的 U 盤一概不可使用；另可對 U 盤的數據進行加密，加過密的 U盤只允許在指定的設備上使用，否則一概為亂碼。 對軟盤的管理控制與 U 盤（包括 USB 硬盤）相同。 文件共享方式外傳控制 LeagView UniAccess 可以防止桌面終 端用戶通過文件共享的方式外傳文件，例如：通過 Windows 共享、 FTP 共享等。 自動運行在桌面終端上的 Agent 可以禁止 Windows共享或者對 Windows共享方式外傳的文件進行審計。 此外，通過 Agent 所提供的雙向防火墻功能，可以防止通過 FTP 方式外傳文件。 離線控制 Agent 本身有自我保護功能，可以禁止桌面終端用戶刪除、卸載 Agent 或者中止 Agent 的運行。 Agent 在離開網絡的情況下，能夠繼續(xù)執(zhí)行各種管理策略，各種審計信息在離線時， Agent 會自動記錄在本地硬盤，在下次連線后自動上傳給服務 器。