广州某企业 ID网络管理平台方案 北京艾科网信科技公司.docVIP

广州xxx企业 ID网络管理平台方案 北京艾科网信科技有限公司 ACK Networks, Inc. 2011年2月27日 版本：V1.0 目录 1. 用户网络现状 4 1.1. 网络安全概况 4 1.2. 网络中容易出现安全问题的位置 4 2. 用户需求分析 5 2.1. 接入控制 5 2.2. 避免重复投资、兼容现有系统，减低实施和维护成本 5 2.3. 统一用户管理和认证 5 2.4. 统一的实名IP网址管理 6 2.5. 建立来宾访客网，防止与办公网互通 6 2.6. 统一的实名日志审计 6 2.7. 保障办公网的稳定性和可靠性 6 2.8. 利用无客户端认证技术实现网络接入，减低实施和维护成本 6 2.9. 能够为IPSec以及SSL-VPN提供统一的身份认证。 6 3.网络的边界保护 7 3.1.准入控制 7 3.1.1.网络设备的准入控制（802.1x准入） 7 3.1.2.终端软件的准入控制 7 3.1.3.实名准入控制 (ID-Based NAC) 8 3.2.三种准入控制方法的比较 8 3.3.终端健康性检查 9 3.4.支持多种准入认证方法 9 3.5.灵活的IP、终端和用户的绑定管理 9 3.6.防止私改和私设IP/MAC 10 3.7.根除ARP病毒 10 3.8.非法设备(IP/MAC)接入的检测 10 3.9用户接入网络流程及原理 11 3.10来宾访客网 11 4.测试方案 13 4.1.测试目标 13 4.2.测试模型 13 4.3.测试步骤 15 4.3.1 测试环境的搭建 15 4.3.2 网络IP权限规划 15 4.3.3配置步骤（略） 16 用户网络现状 网络安全概况 广州xxx企业集团有限公司网络规模较大，集团网络中，目前也部署了较为完善的各种网络安全设备。而在用户终端方面，目前采用DHCP服务器为终端进行IP地址的随机动态分配，IP地址管理较为混乱，同时也存在一些弊端。 例如：需要在防火墙中设置公司领导访问互联网时时不受限制的，而普通员工则受到一些限制（例如不允许QQ）。为了实现这一需求，于是只能为每个领导设置固定IP地址，然后在防火墙中为这些IP地址设置高访问权限的策略；而对其他IP地址则设置了受限制的策略。然而这样的做法存在几个弊端： 1. DHCP环境下，任何人都可以轻易地接入到办公网，如果接入的是恶意用户（如黑客，商业间谍），可能会导致公司机密文件被窃取，或者网络服务器被攻击等等网络安全事件发生，造成严重的后果。随着无线wifi的普及，这种危险性是越来越高。 2.当某些员工知道领导的IP地址权限比较高的时候，把自己的电脑也设置为领导的IP，于是获取了和领导一样的权限，导致领导身份被假冒，或者和领导造成IP地址冲突。 3.当网络内部出现网络安全事件的时候，安全设备的日志是IP信息，然而这个IP是通过DHCP随机下发的，此时无法定位到责任人。 网络中容易出现安全问题的位置 上述珠啤面临的三个弊端中，归纳起来是两个看似简单的问题，一是非法接入的问题，而另一个是IP地址管理的问题。当前，非法接入的问题开始受到越来越多人的重视，而解决方法也很简单，也就是接入认证。然而仅做接入认证，还远远不够，一个同样严重问题却被大多数人所忽略了--IP地址管理的问题。 在以太网中，两个人或者两台终端的通信，体现为两个IP地址之间的通信，所以在网络中想要控制某些通信，就只能控制这些IP地址。例如想要利用防火墙阻止某个用户访问公司服务器，那么我们将在防火墙上设置阻止该用户的IP地址访问该服务器；又或者想对公司领导做上网的带宽保证，保证其上网顺畅，我们也是通过在流控设备上对公司领导的IP地址进行设置。但是，实质上我们要控制的是人或者终端的通信。 问题非常明显，IP地址是任何人或终端都是可以设置或者更改的，如果不能维护一个稳固的人（或终端）与IP的关系，显然，一切网络控制策略都是很难按照网络管理员的真实意愿去执行的，因为你本来想控制的是人，可是你却只能控制IP地址，很明显一般情况下这个IP地址与这个人并非必然关联的，因为终端的IP地址是可以更改的。 因此，如何维护一个稳固的人（ID）与IP的关系，是我们这个方案需要关注的主要问题。 图1 网络中易出现安全问题的位置 用户需求分析 根据对用户网络安全现状的分析，总结需求如下: 接入控制 要保证网络边界的安全性以及完整性，就必须实现网络的接入控制，对接入网络的人员进行身份认证，防止非授权用户接入办公网。 避免重复投资、兼容现有系统，减低实施和维护成本 为避免重复投资，xxx企业希望做到兼容现有设备。尽量减少重复购买，购买已有的设备。如：避免重复采购和更换交换机。 统一用户管理和认证 必须能够对用户实现按人、按