一、项目背景
XX律师事务所即北京市XX律师事务所,是中国司法部最早批准设立的合伙制律师事务所之一。
北京市XX律师事务所成立于1993年,XX总部设于北京,在上海、深圳、成都、广州、重庆、西安、杭州、天津、苏州、香港、日本东京和美国硅谷、纽约均设有分所。秉承创始合伙人不断创新及追求卓越的现代法律理念,XX已成为中国律师业中规模最大并居于领先地位的综合性律师事务所,拥有1000余名律师、代理人及专业人员,全球就职员工超过5000余名,为全球不同需求的客户提供着优质的法律服务。
为了增强企业网络的安全性及可控性,XX律师事务所深圳分所期望针对旗下企业的员工、访客接入有线、无线网络执行严格的准入控制策略,实现对网络安全更精细粒度的控制。
二、方案目标
根据对现有IT系统的调研和分析,参考对应网络架构,并结合相关业务需求,为完善安全保护技术措施加强无线网络安全管理的要求,本次项目其主要需要实现目标如下:
1、认证系统可提供统一的有线、无线认证管理,并实现分级、分权、分域管控;
2、针对不同用户群体实现不同认证方式,做到基于角色的访问控制以及闭环的身份管理;
3、结合当前网络架构,实现分区域、分时间段、分用户角色、分流量的精细化准入控制;
4、认证平台兼容、扩展性,同时对接多品牌设备、多账号源系统实现统一有线、无线的身份准入。
5、MAC地址无感知认证,提升用户接入的客户感知度; 6、Portal个性化定制,提升宣传形象; 7、认证系统双机部署,实现高可用性。
8、提供完善的报表功能(用户上下线时间、MAC地址、IP地址、用户使用流量大小等;
三、方案拓扑
四、方案解读
统一身份认证系统采用软件加硬件的部署形式,软件可以采用虚拟化部署,软件与硬件旁挂在核心交换机或汇聚交换机旁,无需对现网做任何改动,软件DKEY AM部署可采用Windows与Linux系统环境,可以为内部员工与访客提供全场景认证方式,例如,LDAP账号认证、短信认证、微信认证、协助扫码、邮件审批等多种认证流程,满足不同类型用户群体的不同身份认证需求 。硬件NDACE可以自动发现、识别接入网络的设备,并对其进行诸如杀毒软件、补丁更新等安全检查,然后根据制定好的条件策略下发相应的准入策略:允许接入、受限接入、拒绝接入、重定向登录认证等。
DKEY AM :统一身份认证平台,对终端实现802.1X、Portal认证,对可以接入网络的终端或者账号进行角色划分,并将是否可以接入网络的身份认证判断结果与账号相关的角色信息下发给NDACE; 本方案中, DKEY AM与XX律师事务所深圳分所的Aruba无线控制器对接,为所有用户无线终端接入无线提供Portal认证、MAC地址无感知、角色划分,同时,针对不同用户群体的无线客户端接入提供不同的认证方式;
NDACE :准入引擎,基于DPI深度包检测技术,主动或被动探测终端的安全合规性,并结合DKEY AM下发的用户身份认证判断结果对用户终端接入网络进行网络阻断或放行,同时,对放行的终端跟据账号角色信息做网络访问控制;
本方案中, NDACE旁挂在XX律师事务所深圳分所核心交换机上,为所有用户有线终端接入有线提供Portal认证、MAC地址无感知、网络访问控制, NDACE通过两个端口与交换机互联,其中一个为交换机的镜像口,交换机将所有终端访问应用系统的业务数据镜像NDACE, NDACE通过此接口嗅探、识别、学习终端的合规性;另外一个接口为交换机的接入口, NDACE通过此接口来阻断不合规的终端;
根据对XX律师事务所深圳分所现有业务的调研和分析,并结合相关业务需求,具体身份认证规划如下:
1. DKEY AM与Aruba无线控制器、NDACE、AD域服务器对接为内部员工接入有线、无线网络提供基于AD域账号的Portal认证; 2. DKEY AM与Aruba无线控制器、短信平台、微信公众号对接为访客接入无线网络提供Portal认证的短信认证或者微信认证; 3. DKEY AM可灵活基于认证方式、终端类型、角色类型等,提供用户过滤、上网时段、上网时长、在线设备数量、最大最小流量、二次免认证等多种多样精细化的准入控制手段;
4. DKEY AM结合无线控制器、NDACE对所有接入用户开启MAC地址无感知功能, 同时,通过设置DKEY AM的二次免认证时间,灵活设置接入用户的Portal认证频次,从而实现在简便、高效、安全的准入控制;
5. NDACE可设置MAC地址白名单,对已知可信的合法终端直接放行。
五、实现效果
1. 统一的有线、无线认证管理,并实现分级、分权、分域管控; 2. 实现MAC地址无感知认证,部分终端加入MAC地址白名单免认证;
3. 针对不同用户群体采用不同的认证方式,员工采用联动AD域做用
户名密码认证的方式,访客采用微信认证等方式;
4. portal页面语言类型根据识别终端浏览器语言自动调整。 5. “不合规”的有线终端弹出告警页面并被拒绝入网。
六、方案优势
1、员工、访客实现认证及访问分离; 2、企业宣传新视窗; 3、多样化报表展现; 4、完善的实名审计功能;
5、兼容国内、外主流无线、有线设备。
智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi认证管理等多个产品线于一体的全场景解决方案。
相关推荐:
loading