- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
一、客户背景:
1.网安运维人员紧缺,不到10人的网安团队需要负责全公司约两万员工的网
络安全状态;
2.传统802.1X认证的准入方式需要安装802.1X客户端,而且需要大量的配置
交换机,部署周期长,运维成本高;
3.对比当前市场的终端准入的方式,主要以8021.X客户端准入和Windows
AD域二次开发为主。相比于前者,WindowsAD域检测的用户无需安装客
户端,结合交换机镜像,省去接入交换机的操作配置。从部署周期、维护成
本及用户体验上来说,提供的WindowsAD域无客户端实现网络准入的方
式明显更适合用户场景。
二、客户需求:
1.可视化接入网络的终端设备,自动识别设备类型并进行自动归类;
2.入网终端身份验证,默认网络阻断,认证通过后运行访问外网;
a.Windows终端基于AD域的方式检测用户身份;
b.Mac/Linux终端通过身份认证的方式完成终端身份校验;
3.终端合规性检测,默认访问外网,满足公司安全条例(合规)的情况允许访
问内网;
a.WindowsAD域用户无客户端的情况下检测其是否安装Symantec、
LANDesk、DLP等软件;
b.Mac/Linux终端在安装轻量化客户端的情况下检测否安装Symantec、
LANDesk、DLP软件;
4.特权用户MAC地址白名单接入,默认访问内网。
5.满足多分支统一认证和终端准入需求;
三、产品介绍
方案中用到的两款产品:终端准入引擎(NDACE)和认证服务器(DKEYAM);
a.NDACE:硬件设备,部署于核心交换,通过流量镜像的方式可视化运行于网
络终端的终端,并通过网络方式控制终端的准入;
b.DKEYAM:与NDACE联动,为Mac/Linux电脑提供身份认证服务;
c.WindowsAD域检测,附属于NDACE的软件服务端,通过AD域的方式检
测Windows终端的合规性;
d.Mac/Linux轻量化客户端(UserConnector)用于检测终端合规性;
四、网络拓扑:
在总部数据中心核心交换机处部署终端准入引擎(NDACE)和认证服务器
(DKEYAM),如果分支流量无法传递到总部可在分支系统部署NDACE,实现
多分支统一准入。
五、解决方案
1、终端资产可视化管理及自动分类
以流量检测和WindowsAD域的方式,NDACE可视化接入网络的终端。
结合企业需求,NDACE根据终端类型自动将终端划分为办公电脑、手机及
BYOD、IoT终端三大类。
分类标准:
a.办公电脑:将终端类型为windows、Mac、Linux类型的终端归为一类;
b.手机及BYOD:将终端类型为iPhone、Android、Windowsphone类型的
终端归为一类;
c.IoT:除上面的其他终端类型归为一类,比如camera、printer、switch、
rooter等等;
2、入网身份认证,身份确认之后仅允许访问外网
前面已经多次提到,因为WindowsAD域的特殊性可以通过终端检测其是否加
入AD域的方式检测终端身份,而Mac/Linux电脑则需要采用身份认证的进行
验证。
a.Windows无客户端AD域身份检测
b.Mac/Linux电脑身份认证:除传统用户名密码认证外,还可提供企业微信/
钉钉“扫一扫”免密认证或动态密码账号加固,提升网络认证安全。
3、终端合规性检测,身份确认且合规之后允许访问内网资源
a.windows电脑AD域无客户端检测:根据
您可能关注的文档
最近下载
- 一种应用于后馈式抛物面反射面天线的双频段馈源.pdf VIP
- 通信核心网试题-IMS-HW-L2-202305.docx
- 新一代信息技术产业——“数字引擎”释放强劲动能.pdf VIP
- 《高等基础工程学》桩基工程专题.ppt
- Unit4ScientistsWhoChangedtheWorld单词讲义高中英语牛津译林版(2020).docx
- 2022年中考语文二轮复习之记叙文阅读.doc
- 医院医共体章程.pdf
- 2024忆“九一八”事件 强全民国防教育ppt课件(2024版).pptx
- 2024年党纪学习教育党员学习心得体会十篇.docx VIP
- 小学语文新部编版一年级上册全册教案((2024秋).doc
文档评论(0)