终端准入方案.docVIP

终端准入方案 背景介绍：所有终端通过支持802.1x的交换机接入，通过核心交换连接不同行政区划的网络，所有登记终端都有分配的IP地址。 准入要求：未登记终端不可以接入业务内网，但是可以访问终端管理平台下载Agent软件，进行申报资产信息获取合法性验证，验证资产通过后，可以进行准入认证和安全检查，没有通过认证和安全检查的客户端，进入修复区域，修复成功后可以进入业务内网，在业务内网中如果不满足实施安全检查要求，会再次进入隔离区域。 网络环境部署示意图： 部署说明：1、接入交换机配置Guest、Fix、Normal，3种Vlan，分别对应访客、修复、业务内网，并且配置Guest和Fix的IP地址池（如果无DHCP功能，可以指向上层交换）； 2、防护平台、资产系统、管理平台部署在Server Vlan，DHCP服务器（TopSec提供的应用）可以部署在Server Vlan或者Normal Vlan； 3、接入交换机配置ACL，Guest、Fix、Normal都可以访问防护平台服务器。Fix、Normal都可以访问WSUS（补丁服务器）、AV（防病毒软件升级服务器）、FTP（软件服务器），Normal可以访问所有服务器和应用； 4、Radius和LDAP均部署在Linux下，LDAP数据由防护平台中“网络准入”的“准入用户管理”维护（包括Vlan号）； 准入流程示意图 准入流程说明： 接入内网交换机的终端配置DHCP之后，交换机会自动将其划分到Guest Vlan，并且分配Guest IP，可以访问防护平台下载Agent软件。 客户端Agent安装时，填写资产编号和管理员分配的IP，登记信息与Agent本地的MAC地址一起发送到服务器进行合法性验证，验证通过后，会更新资产中的信息，否则会提示验证过程中的异常信息，如果是终端填写错误，可以再次修改，如果是资产信息问题，防护平台管理会协调资产管理员进行信息更正后的重新验证； Agent合法性验证沟通之后，可以进行准入认证和安全检查，如果不能通过，会被交换机划分到Fix Vlan分配Fix IP，可以访问WSUS、AV、FTP服务器； Agent准入通过之后，交换机会划分终端进入对应的Normal Vlan，由DHCP服务器根据资产登记的信息分配所有的IP；（资产信息如果更改了IP，则下次Agent申请时会得到更新后的IP） 违规内联的监视界面，会发现未完成准入的终端，可以选择对应端口MAC过滤，阻断通讯。已经完成准入的终端，如果自行修改了IP、MAC或者交换机端口可以通过策略定义自动阻断或者关闭端口，也可以手动控制； 终端问题详解： 没有安装Agent的终端如何处理？ 会被交换机划分到Guest Vlan中； 如果终端配置了DHCP则可以访问防护平台服务器； 如果没有配置DHCP，则无法访问所有应用和终端 Agent安装注意事项？ 需要从指定的服务器下载服务器的Agent安装包；（如果交换机支持重定向，则可以自动访问） Agent安装包分为正式、临时，正式是针对业务内网中已经在资产系统中登记的终端，临时是针对业务内网中外来终端； Agent安装包（正式）需要登记资产编号和分配IP（管理员预先分配的），Agent安装包（临时）需要登记资产使用人和联系部门； 正式安装包可以触发自动验证，如果资产没有验证过，且登记信息与申报信息一致，则可以自动解锁； 临时安装包，需要管理员手动验证； Agent安装完成之后会可能会提示重新启动操作系统，相关功能会在重启后生效； 通过hub等无802.1x认证的网络设备连接到交换机的认证端口，如果区分合法和非法，合规和违规？ 违规内联功能，会根据资产信息生成安全终端的绑定信息，绑定规则包括：IP、MAC、PORT（交换机端口）、Agent ID（Agent唯一识别编号）； 违规内联策略中，针对未安装Agent的终端，可以设定处理策略，过滤其网络访问（无论是通过何种设备连接，都可以限制其网络访问不能通过交换机端口）； 违规内联策略中，针对已经安装Agent的终端，可以设定处理策略：提醒、阻断网络、重启等管理性操作（具体操作与交换机型号和软件版本相关） 违规内联策略中，针对混接情况（交换机端口中发现有超过合法登记的IP、MAC出现），可以进行过滤非法IP或者MAC发起的网络连接； 针对已经Agent的终端，所有网络信息变更，可以在终端监控中发现，可以根据桌面策略进行监控和限制； DHCP会不会导致网络资源不受控？ Guest Vlan和Fix Vlan的ip是提前定义用于未登记和安全检查不通过的终端，影响仅在接入交换机的范围内，不会影响其他网络； 准入通过的终端，获取的IP是资产登记的IP，对于IP的管理可以资产中查看到分配资源的情况； 由于IP是根据资产系