北京市XX律师事务所成立于1993年,是中国司法部最早批准设立的合伙制律师事务所之一。公司总部位于上海,并在上海、深圳、成都、广州、重庆、西安、杭州、天津、苏州、香港、日本东京和美国硅谷、纽约均设有分所,拥有律师、代理人及专业人员超过1000名,就职员工超过5000名,为全球不同需求的客户提供着优质的法律服务,目前已成为中国律师行业中规模最大并居于领先地位的综合性律师事务所。
XX律师事务所深圳分所为增强企业网络的安全性及可控性,希望针对旗下企业的员工、访客接入有线、无线网络执行严格的准入控制策略,实现对网络安全更精细粒度的控制。
为满足深圳分所提升安全保护技术措施、加强无线网络安全管理的要求,宁盾科技对深圳分所现有的IT系统进行了充分调研和分析,参考对应网络架构,并结合深圳分所相关业务需求,最终确定了其主要的需要目标,如下:
1、认证系统可提供统一的有线、无线认证管理,并实现分级、分权、分域管控;
2、针对不同用户群体实现不同认证方式,做到基于角色的访问控制以及闭环的身份管理;
3、结合当前网络架构,实现分区域、分时间段、分用户角色、分流量的精细化准入控制;
4、认证平台兼容、扩展性,同时对接多品牌设备、多账号源系统实现统一有线、无线的身份准入。
5、MAC地址无感知认证,提升用户接入的客户感知度;
6、Portal个性化定制,提升宣传形象;
7、认证系统双机部署,实现高可用性。
8、提供完善的报表功能(用户上下线时间、MAC地址、IP地址、用户使用流量大小等;
解决方案:
为解决客户需求,宁盾科技确认采用统一身份认证方案。该方案由软件+硬件配合部署,旁挂在核心交换机或汇聚交换机旁,无需对现网做任何改动,并且软件还可以采用虚拟化部无需安装客户端。
软件DKEY AM部署可采用Windows与Linux系统环境,为内部员工与访客提供全场景认证方式,满足不同类型用户群体的不同身份认证需求 。在本方案中, DKEY AM与深圳分所的Aruba无线控制器对接,为所有用户无线终端接入无线提供Portal认证、MAC地址无感知、角色划分,同时,针对不同用户群体的无线客户端接入提供不同的认证方式。
硬件NDACE系统基于DPI深度包检测技术,主动或被动探测终端的安全合规性,并结合DKEY AM下发的用户身份认证判断结果对用户终端接入网络进行网络阻断或放行,同时,对放行的终端跟据账号角色信息做网络访问控制;在本方案中, NDACE旁挂在XX律师事务所深圳分所核心交换机上,为所有用户有线终端接入有线提供Portal认证、MAC地址无感知、网络访问控制。 NDACE通过两个端口与交换机互联,其中一个为交换机的镜像口, NDACE通过此接口嗅探、识别、学习终端的合规性;另外一个接口为交换机的接入口, NDACE通过此接口来阻断不合规的终端。
本项目方案具体身份认证规划如下:
1、DKEY AM与Aruba无线控制器、NDACE、AD域服务器对接为内部员工接入有线、无线网络提供基于AD域账号的Portal认证;
2、DKEY AM与Aruba无线控制器、短信平台、微信公众号对接为访客接入无线网络提供Portal认证的短信认证或者微信认证;
3、DKEY AM可灵活基于认证方式、终端类型、角色类型等,提供用户过滤、上网时段、上网时长、在线设备数量、最大最小流量、二次免认证等多种多样精细化的准入控制手段;
- DKEY AM结合无线控制器、NDACE对所有接入用户开启MAC地址无感知功能, 同时,通过设置DKEY AM的二次免认证时间,灵活设置接入用户的Portal认证频次,从而实现在简便、高效、安全的准入控制;
- NDACE可设置MAC地址白名单,对已知可信的合法终端直接放行。
项目价值
- 实现了统一的有线无线认证管理以及分级、分权、分域管控,且系统兼容性强,可对接国内外主流无线、有线设备。
- MAC地址无感知认证,且根据客户需求,部分终端加入MAC地址白名单后可直接访问免认证;对于“不合规”的有线终端,系统会自动弹出告警页面并拒绝入网。
- 实现分区域、分时间段、分用户角色的精细化准入控制,例如员工、访客认证及访问分离,不同用户群体采用不同的认证方式;
- Portal页面个性化定制。语言类型根据识别终端浏览器语言自动调整;认证页面由客户自主定制,成为企业宣传新视窗。
来源:freebuf.com 2020-11-24 11:59:47 by: 宁盾nington
请登录后发表评论
注册