如何使用网络基础设施来保护HP打印和成像设备.PDF

如何使用网络基础设施来保护 HP 打印和成像设备 书 皮 白 目录： 概述 1 威胁分析 2 获得额外的安全保护 2 示例部署 3 步骤 1 ：域名系统和静态 IP 地址 6 步骤 2 ：公钥基础结构 7 PKI：安装认证机构 (CA) 14 PKI：创建证书模板 20 PKI：颁发证书 26 PKI：创建 Jetdirect CSR 和安装证书 40 PKI：HP Jetdirect 证书配置 44 步骤 3 ：802.1X 和 VLAN 53 802.1X：打印和成像虚拟 LAN 54 步骤 4 ：基于交换机的 IP 访问控制列表 55 步骤 5 ：IP 安全保护 (IPsec) 56 IPsec：打印机管理 VLAN 57 步骤 6 ：设备安全保护 58 总结 58 概述 随着网络打印机和多功能打印机 (MFP) 功能的不断增强，其数据发送和接收功能开始变得与网络 PC 越来越接近。对于公司来说，将这些网络设备看作是可访问其网络以发送和接收数据的公共 PC ，不 失为明智之举。很多关注安全问题的客户使用 Web Jetadmin 以及 HP 打印和成像设备的各种安全功 能，“锁定设备”以防止未经授权的使用。虽然这种方法非常奏效，但大多数客户地点的以下三个常 设小组通过群策群力，甚至可以进一步加强安全保护：打印机管理员、IT 信息安全小组以及网络基础 设施小组。本教程旨在逐步分析如何配置 HP 打印和成像设备以及网络基础设施，以便在简单设备 “锁定”的基础上提供额外的安全保护。 1 威胁分析 有多少企业会允许将 PC 放在走廊或容易进入的工作间以供大家使用，而不要求使用 PC 的任何人进 行登录即可访问其内部网络以发送和接收数据呢？关注安全问题的客户理所当然地认为这是一个错 误，但在网络 MFP 方面，他们所面临的情况恰恰如此。在具有扫描至电子邮件设置的客户环境中， MFP 通常随处可见。 在很多情况下，HP 网络打印机和 MFP （以下称为 HP 打印和成像设备，即“HP PID”）是即插即用 的。只需将它们连接到网络上并运行设备附带的 CD，用户即可启动并使用设备了。通常，这些用户 甚至不需要了解与网络或 IP 地址有关的任何内容。获得这种简便易用性的代价是，默认情况下，HP PID 信任网络、用户以及声称自己是管理员的人。这种默认信任可能是一些疏忽配置的根源，它们可 能会造成停机以及更恶意的攻击。 对 HP PID 的攻击通常来自内部威胁，例如，来自其它有漏洞的设备（如 Web 服务器）的威胁，或 者由可信员工造成的威胁。虽然很多针对网络打印机的攻击可能只是将打印机纸张耗尽或更改显示； 但其它网络攻击的破坏性可能会非常大（如 IP 地址丢失），并且可能会对客户业务造成危害（如长 时间停机而影响生产）。不过，另一种威胁的破坏性通常甚至更大，但却常常被人们忽略。例如，在 客户环境中值夜班的维护人员可能会扫描机密文档，然后将其发送到竞