北京移动终端准入解决与实施方案.ppt

* * * * * 目前 MDCN 网办公终端主要通过终端安全制度以及管理手段进行安全管理，存在以下问题： 分散在多个地点，通过管理手段难于管理； 终端存在漏洞、补丁与病毒库更新不及时，易给系统和其他终端带来安全威胁； 终端违规跨网连接，安装与工作无关软件的行为缺少控制手段； 项目需求 实现对办公终端的安全合规性检查：在现有 AD 域和 IAS 认证的基础上进行升级，采用终端安全准入控制，增加安全合规性检查，确保符合要求的终端才能够接入内网； 实现对办公终端的安全配置管理； 系统软件的自动分发部署； LANDesk 802.1X 准入设计思路 屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。 LANDesk 802.1X 准入实现原理 LANDesk 802.1X 准入实现原理 此项目网络部署架构图 交换机Vlan设计 交换机全部采用静态划分的方式进行Vlan 设定，主要存在两种类型，一种为Work Vlan，其直接设定在交换机的端口上，另外一种为Guest Vlan，通过dot1x参数进行设定，准入方案中涉及的Repair Vlan采用的Vlan ID与Guest VLan的Vlan ID相同，即认证失败的终端和认证成功但是不健康的终端将进入同一个Vlan，区别在于前者是由交换机在收到认证失败反馈后通过自身配置进入Guest Vlan，而后者是由Proxy判断健康条件不满足后向交换机发出的动态Vlan。 认证流程描述 ? 健康条件检查通过 健康条件检查不通过 交换机动作 客户端动作 交换机动作 客户端动作 身份认证正确 进入Work Vlan 显示健康页面 进入Repair Vlan 显示不健康页面，自动修复 身份认证错误 进入Guest Vlan 提示验证失败 进入Guest Vlan 提示验证失败 终端用户接入网络后，向接入层交换机发出身份认证请求，交换机将此数据转发给Proxy Server，Proxy Server分析数据包中健康条件相关字段，同时将数据包转发给IAS Server进行身份验证，当Proxy Server收到IAS Server回应后，将身份验证结果和健康检查结果综合后给交换机相应回应，交换机执行相应动作，客户端也会执行相应动作。 不健康终端自动修复设计 当客户端得到不健康反馈时，其会被交换机划分到Repair Vlan中，并获得相应的IP地址后，客户端会主动寻找修复服务器，显示终端上不满足的健康条件的策略，并自动进行修复，修复完成后，自动重新发起认证请求，如果修复成功，则进入Work Vlan，如果依然不成功，则进入Repair Vlan。 ?此方案中同时部署了两台修复服务器，当终端不能正常连接第一台修复服务器时，客户端会自动尝试连接第二台修复服务器。 系统可用性设计 通过Proxy-1、Proxy-2、IAS-1、IAS-2形成负载均衡的认证环节，即把交换机按照地理位置、承载业务特性等方面分为两组，一组交换机的主认证服务器指向Proxy-1，备认证服务器指向Proxy-2，另外一组交换机的主认证服务器指向Proxy-2，备认证服务器指向Proxy-1，Proxy-1分别将IAS-1和IAS-2作为主备认证服务器，Proxy-2 分别将IAS-2和IAS-1作为主备认证服务器。 为了防范云平台整体发生故障，出现以上四台服务器都不可访问的现象，最终导致所有准入终端都不能正常工作的情况发生，在望京机房部署了第三条准入认证通道，即Proxy-3和IAS-3，只有当Proxy-1和Proxy-2都无法访问时，交换机才会将认证请求转发给Proxy-3。 应急预案 当互为备份的链路或者服务器均出现无法访问的问题时，采用交换机管理服务器可以快速的进行大面积的交换机配置变更，关闭802.1x全局设置，实现无准入接入，以保证极端情况下不影响终端用户的正常工作。 LANDesk同WSUS的结合使用 准入检测条件的结合使用 终端系统平时依旧利用现有的WSUS模式进行升级，LANDesk客户端可以正确的收集终端系统的补丁修复情况，并上报给管理员，管理员可以根据终端补丁修补情况、企业规范等将必要补丁制定为终端准入条件，并通过LANDesk升级服务器下载相对应的修补程序，并同步到修补服务器上。 日常补丁修复的结合使用 由于WSUS只能针对Microsoft的补丁进行修复，通过LANDesk核心服务器，管理员可以补充制定其他常用软件的补丁修复，例如Adobe Flash Player等，以配合现有的WSUS对企业终端的漏洞进行全面掌控和修复。 ? 策略实施设计 原则：分阶段实施，由简入繁进行管理 服务器配置列表 服务器名称 数量 部署位置 备注 LANDe