_实施方案模板_天珣内网安全风险管理与审计系统v6695Patch66950000qv.docx

《_实施方案模板_天珣内网安全风险管理与审计系统v6695Patch66950000qv.docx》由会员分享，可在线阅读，更多相关《_实施方案模板_天珣内网安全风险管理与审计系统v6695Patch66950000qv.docx（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、天珣内网安安全风险险管理与与审计系系统实施方案（V6.66.9.5Paatchh6699500000）启明星辰Beijiing Vennusttechh Cyyberrvissionn Coo., Ltdd.2014 年 10月目录1系统实实施原则则11.1最最大限度度降低对对用户的的影响11.2全全面细致致规划，分分步实施施11.3安安全策略略从简到到繁，安安全级别别步进式式提高22实施计计划23管理服服务器部部署33.1总总部管理理服务器器部署33.2厂厂所独立立管理服服务器部部署43.3部部署实施施建议53.3.11管理服服务器与与客户端端通信要要求53.3.22数据存存储建议议93.3

2、.33管理员员权限划划分93.3.44服务器器安装及及数据管管理94客户端端部署104.11通过应应用准入入方式部部署客户户端104.2应应用准入入控制部部署104.3建建设期客客户端部部署114.4维护期期客户端端部署115准入控控制实施施115.1应应用准入入控制实实施125.2网网络准入入控制实实施155.3风风险与灾灾备215.4客客户端准准入部署署275.5客客户端准准入控制制部署建建议286分工界界面297附件一一：服务务器安装装及数据据管理311 系统实施原原则1.1 最大限度降降低对用用户的影影响部署终端安安全管理理系统的的根本目目的，是是借助系系统所提提供的准准入控制制的技术

3、术手段，确确保接入入的电脑脑是合法法的和符符合XXX研究院院安全策策略要求求的，最最大限度度降低不不安全的的客户端端电脑对对XX研研究院网网络和信信息资源源带来的的风险和和威胁，保保证XXX研究院院每一个个用户的的电脑始始终处于于良好的的运行状状态，大大大降低低故障发发生概率率，从而而保证每每个用户户都能够够完全专专注在自自己的本本职业务务工作，并并大大提提高每一一个用户户的工作作效率。因此，选择择和部署署终端安安全管理理系统时时，在确确保XXX研究院院安全策策略的有有效执行行的前提提下，要要最大限限度降低低对电脑脑用户在在日常工工作中的的影响，例例如减少少终端用用户在系系统的使使用过程程中的

4、不不必要的的操作和和介入，在在用户违违反安全全策略时时进行友友好提示示，尊重重和保护护个人隐隐私，为为用户安安全网络络访问和和信息交交换保驾驾护航。1.2 全面细致规规划，分分步实施施终端安全管管理系统统，作为为XX研研究院网网络安全全的基础础架构中中非常重重要的客客户端电电脑安全全管理平平台，将将涉及到到XX研研究院内内部每一一台接受受管理的的电脑和和每一个个用户，涉涉及面广广，影响响面大。当当然，为为了根本本上解决决客户端端电脑的的安全管管理问题题，这样样的系统统的部署署也势在在必行，因因此在系系统部署署前需要要对系统统的实施施过程、安安全策略略的制定定和安全全管理制制度的建建立，进进行全

5、面面系统地地规划，并并在实施施过程中中，根据据实际环环境进行行适时调调整，从从而保证证系统和和安全策策略在XXX研究究院内部部顺利执执行下去去，实现现项目预预期的目目标，保保障内部部网络具具有更高高可用性性和客户户端电脑脑的更高高安全性性。部署前需要要规划的的内容包包括：内内部网络络和用户户的安全全分级和和规划，系系统部署署的次序序和周期期，针对对不同部部门或用用户角色色的安全全策略组组合，系系统安全全策略的的动态调调整等等等。安全不是一一蹴而就就的，由由于该系系统涉及及面较广广，因此此系统的的实施需需要全面面规划，分分步实施施，循序序渐进，真真正发挥挥系统的的安全保保护和主主动防御御的功效效

6、。1.3 安全策略从从简到繁繁，安全全级别步步进式提提高由于XX研研究院分分支机构构、部门门和人员员较多，对对应每一一个角色色的安全全保护级级别要求求也层次次各异，如如果为了了保证最最高的安安全性，使使用同样样一种严严格的安安全策略略，或者者为了降降低安全全管理的的工作量量，简单单的执行行一类基基本安全全策略，都都是不合合适的。在规划中要要预先基基于用户户角色确确定每个个部门、用用户或分分支机构构，确定定对应的的最合适适的安全全策略组组合，作作为系统统最终实实现的安安全管理理目标。在在实施过过程中，再再按照由由简到繁繁的次序序，先实实施所有有用户都都必须遵遵守的安安全策略略，然后后再根据据不同

7、分分支机构构、部门门和用户户，步进进式下发发和执行行各级安安全策略略，从而而实现安安全级别别步进式式提高，构构建立体体的、混混合模式式的终端端安全策策略管理理体系。2 实施计划内网终端合合规管理理提升是是一个循循序渐进进和不断断完善的的过程，要要兼顾“安全性性”和“便利性性”，合规规管理应应“先弱后后强”，实施施策略应应“先易后后难”的原则则，消除除来自业业务部门门和终端端员工的的抵触情情绪和压压力。因因此在安安装过程程中，我我们严格格遵循天天珣安装装“三步走走”原则，即即：a) 通过应用准准入推动动客户端端部署安安装，通通过友好好的提示示界面以以及强度度稍弱的的准入控控制方式式，善意意的提醒

8、醒用户主主动安装装天珣客客户端，并并提供给给用户下下载地址址，由其其去下载载和安装装b) 配置策略管管理受控控终端使使其进行行自身安安全状态态的完善善，目标标则是让让内网受受控终端端成为合合规安全全的终端端，保证证内网安安全建设设成功而而高效c) 启用网络准准入，在在用户熟熟悉天珣珣准入控控制系统统的特性性后再启启用网络络准入，将将会受到到最小的的阻力，最最终完成成整个准准入体系系的关键键一步当然，也会会有一些些部门或或区域的的安全保保护等级级要求没没有这么么高，这这时我们们可以对对其采用用适合自自己的准准入控制制方式和和安全策策略，从从而使的的整个项项目更加加人性化化。项目时间表表3 管理服

9、务器器部署3.1 总部管理服服务器部部署院本部内厂厂所内：两种方方式部署署管理服服务器，一一种是逻逻辑上的的集中管管理分级级授权方方式，另另一种完完全独立立的策略略管理服服务器方方式。天珣内网安安全风险险管理与与审计系系统支持持多策略略服务器器架构。每每个服务务器服务务一个或或多个园园区。而而这些服服务器可可以相互互备份，在在一个统统一的控控制台接接受集中中管理。如如果一台台服务器器宕机，其其服务的的用户会会自动被被其他的的服务器器接管。每每一个管管理网段段的电脑脑都有33次从服服务器获获取规则则的机会会，它们们首先会会从Prrimaary的的策略服服务器获获取规则则，如果果失败，则则从See

10、conndarry的策策略服务务器获取取规则，如如果再失失败，则则从中心心服务器器获取规规则，如如果还是是失败，则则使用客客户端本本地缓存存的规则则。分布布式多服服务器架架构使天天珣内网网安全风风险管理理与审计计系统具具有优秀秀的容错错性、可可伸缩性性，支持持的客户户端数量量从数百百个到数数万以至至更多，而而部署极极为平滑滑，性能能不受影影响。在本次实施施中，需需要部署署三台策策略服务务器，一一台中心心服务器器，两台台本地服服务器。三三台策略略服务器器都安装装在中心心机房，要要求本次次实施的的所有的的客户端端电脑及及策略网网关都可可以通过过TCPP/IPP协议的的78990端口口访问到到策略服

11、服务器。因因为中心心服务器器有日常常的管理理负荷，建建议中心心服务器器管理330000台终端端电脑，本本地服务务器管理理70000台终终端电脑脑。对于于任何一一个管理理网段，如如果其PPrimmaryy Seerveer为其其中一台台，则其其Secconddaryy Seerveer将被被设为另另外一台台。中心服务器两台本地服务器管理网段一管理网段二PrimarySecondaryPrimarySecondary3.2 厂所独立管管理服务务器部署署独立厂所：完全独独立的策策略管理理服务器器方式。在分布式多多服务器器架构下下，中心心服务器器是整个个系统策策略集中中存放的的地方，本本地服务务器是进

12、进行日常常的策略略分发的的地方。全全系统只只需要一一个中心心服务器器，可以以有多个个本地服服务器，中中心服务务器可以以兼作本本地服务务器。在在本次实实施中，两两台策略略服务器器都在院院总部的的直接管管理下，由由总部的的管理员员进行管管理。在在今后的的实施中中，可以以在各下下级厂所所架设本本地服务务器，由由总部的的管理员员进行全全局控制制，而由由各厂所所的管理理员进行行本地化化的管理理。从投投资成本本上考虑虑，建议议本项服服务器都都在集中中部署在在院总部部信息中中心更有有利，院院下属各各厂所多多集中在在园区网网内网络络带宽足足以满足足集中心心管理的的需要，因因此推荐荐集中管管理的部部署方式式。3

13、.3 部署实施建建议3.3.1 管理服务器器与客户户端通信信要求CC与管理理服务器器的通信信列表。66类别源源端口目标目标端口功能协议服务器类中心服务器器any客户端7891主动下发策策略UDP中心服务器器any客户端7891策略预检查查UDP中心服务器器any本地服务器器7892主动同步服服务器策策略TCP中心服务器器any策略网关代代理7893同步代理策策略UDP中心服务器器anyradiuus服务务器7897更新raddiuss策略UDP补丁同步服服务器any外网补丁服服务器8800同步补丁TCP策略网关代代理any中心服务器器7890获取代理策策略TCPradiuus服务务器any中心

14、服务器器7890获取raddiuss策略TCP策略网关any策略网关代代理7893拦截访问，通通知代理理TCP策略网关代代理any客户端7891发送检查请请求UDPradiuus服务务器any交换机1812-18113发送认证结结果UDP交换机anyradiuus服务务器1812-18113转发认证请请求UDP交换机any客户端1645-16446下发ACLLUDPradiuus服务务器any域服务器443转发用户认认证TCP中心服务器器anyserveer mmoniitorr7896收集系统组组件运行行状态TCP客户端类客户端any中心服务器器7890心跳UDP客户端any中心服务器器78

15、90取策略TCP客户端any中心服务器器7898SSL取策策略TCP客户端any中心服务器器7890;78998客户端注册册TCP客户端any中心服务器器8833web管理理界面TCP客户端any软件分发服服务器7901取分发任务务TCP客户端any软件分发服服务器7902取分发文件件TCP客户端any资产服务器器7891上报资产TCP客户端any攻击告警服服务器7899上报攻击告告警UDP客户端any补丁同步服服务器8833下载补丁TCP客户端anyhod管理理员5500;54000远程协助数数据流TCP客户端any按需支援服服务器7895发起支援请请求TCPUTM类USGany客户端108

16、0发送拦截页页面TCP客户端anyUSG1080接收拦截页页面TCPUSGany策略网关代代理7893拦截访问，通通知代理理TCP3.3.2 数据存储建建议采用数据的的集中存存储模式式，便于于用户的的数据的的存储备备份管理理。本部部及各分分支机构构的数据据全部存存储在一一台固定定的数据据库服务务器中，省省去数据据同步的的麻烦，增增加数据据一致性性。3.3.3 管理员权限限划分三权分立管管理在天珣内网网安全风风险管理理与审计计系统中中，基本本设置的的操作必必须有全全局管理理员权限限才能进进行，而而普通的的策略配配置只需需要普通通管理员员权限就就可以进进行。一一个普通通管理员员定义的的策略，另另外

17、一个个普通管管理员不不能看见见，也不不能使用用。全局局管理员员定义的的策略，其其他普通通管理员员可以使使用，但但不能修修改。全全局管理理员可以以使用、修修改任何何一个普普通管理理员或全全局管理理员定义义的策略略。对全全局管理理员或普普通管理理员，都都可以设设置“只读”属性，该该管理员员只能读读取策略略信息，不不能增加加、修改改或应用用策略。在院总部，建建议设置置三种管管理员。一一种管理理员是全全局管理理员，这这类管理理员由一一至二个个成员组组成，他他们负责责进行基基本设置置，或一一些全局局性的策策略。第第二种管管理员是是普通管管理员，主主要由他他们进行行策略配配置，他他们定义义的策略略具有本本

18、地属性性，当今今后部署署范围扩扩大，安安装了更更多的本本地服务务器，有有更多的的管理员员参与策策略系统统管理时时，他们们定义的的策略不不会被其其他管理理员使用用。第三三种管理理员是只只读管理理员，一一般对部部门领导导设置这这种权限限，他们们可以查查看系统统，但不不需要他他们做策策略配置置。3.3.4 服务器安装装及数据据管理见附件一。4 客户端部署署4.1 通过应用准准入方式式部署客客户端4.2 应用准入控控制部署署对于无法实实施网络络准入控控制的区区域，可可以采用用应用准准入。下图是采用用应用准准入的部部署图。分别在院的的DNSS服务器器，ISSA服务务器，关关键的WWinddowss服务器

19、器，关键键的Liinuxx服务器器等经常常被访问问的服务务器上部部署策略略网关，当当用户电电脑访问问这些服服务器时时，策略略网关将将会检查查用户电电脑是否否运行了了天珣内内网安全全风险管管理与审审计系统统客户端端软件，而而且是否否符合策策略规则则。如果果不符合合，策略略网关将将拒绝用用户的访访问，并并给出友友好的提提示。在在实际部部署中，可可根据情情况增加加或减少少策略网网关的部部署数量量。天珣已经与与启明星星辰天清清汉马UUSG实实现准入入控制互互动，由由USGG作为新新的应用用准入控控制类型型。当终终端需要要通过UUSG进进行访问问时，由由USGG和天珣珣联动，只只容许认认证通过过并且安安

20、全状态态符合要要求的终终端通过过USGG进行访访问。4.3 建设期客户户端部署署客户端部署署主要采采用客户户自助安安装、后后台自动动安装、或或管理员员辅助安安装等部部署方式式。客户户端自助助安装可可采用策策略网关关提示安安装，网网上邻居居预安装装，邮件件提示预预安装等等方式。后后台自动动安装可可使用现现有的软软件分发发工具，或或用专门门的后台台安装工工具进行行安装。管管理员辅辅助安装装是在前前面的安安装手段段对个别别用户不不能成功功部署时时采用。客户端部署署依部门门顺序分分阶段进进行，在在对每个个部门全全面部署署前，先先进行一一次终端端应用情情况调研研，针对对每个部门门的终端端使用情情况进行行

21、详细调调研，主主要包括括：OSS、版本本、补丁丁、应用用系统、重重要数据据等其它它相关内内容。如如果有需需要特别别注意的的地方，就就需要制制定特别别的部署署方案。4.4 维护期客户户端部署署新购置电脑脑对于少量新新购置的的电脑，建建议在入入网之前前由管理理部门安安装天珣珣客户端端；对于于批量购购置的电电脑，建建议与电电脑厂商商协商，在在出厂时时即安装装天珣客客户端。电脑重装操操作系统统天珣应用准准入的一一个重要要功能是是帮助管管理员部部署客户户端。对对于偶尔尔重装操操作系统统的终端端，可通通过应用用准入控控制由用用户自助助安装客客户端程程序。5 准入控制实实施 5.1 应用准入控控制实施施应用

22、准入介介绍天珣系统中中，具备备其他同同类软件件不同的的关键准准入控制制组件策略略网关，这这个组件件可以安安装在企企业网中中一个或或多个关关键业务务系统服服务器之之上，执执行应用用层准入入控制，可可以对来来访的终终端执行行合规检检查，如如果来访访终端非非受控或或不合规规，将被被拒绝访访问该服服务器或或业务系系统，同同时也达达到对这这些关键键服务器器和业务务系统增增强保护护的效果果。其中，基于于DNSS应用准准入控制制，又根根据模式式的不同同，又可可以分为为旁路式式的DNNS准入入（此时时DNSS处于旁旁路监听听模式，无无需改变变DNSS服务器器配置或或者安装装DNSS策略网网关）和和在线DDNS

23、准准入（在在DNSS服务器器上部署署DNSS策略网网关）。天珣能够与与启明星星辰天清清汉马一一体化安安全网关关（简称称：天清清汉马UUSG）组成UTM2合规管理方案，实现准入控制联动，由天清汉马USG担当准入控制网关，当计算机终端需要通过天清汉马USG进行访问时，确保只有受控和合规的才能通过天清汉马USG对USG所保护的服务器进行访问。除此之外，天天珣还能能够提供供可以与与用户任任意平台台的B/S结构构的业务务系统无无缝集成成的Weeb准入入控制。集成的Weeb准入入控制，平台适应能力非常广泛，服务端能够在Windows、Linux、unix下使用。性能优越，而且部署及其简单，只需把控件加入登

24、录页面上，并且替换了用户名输入控件，进行小量的页面修改即可完成部署。应用准入的的特点i) 应用用准入生生效是在在数据中中心的服服务器区区，对于于网络环环境中因因接入层层交换机机或汇聚聚层交换换机不支支持相应应的网络络准入认认证协议议，或者者因内网网终端合合规管理理的现实实要求，暂暂时不需需要启用用最严格格的网络络准入控控制的情情况，应应用准入入将可以以代替网网络准入入作为最最佳的终终端合规规准入控控制手段段。当然然如果终终端始终终不去访访问数据据中心服服务器，那那么将可可能无法法对其实实施应用用准入，因因此前期期对准入入所使用用的业务务系统的的选择将将会非常常关键。ii) 独独特功能能：应用用

25、准入可可以通过过自动重重定向，对对未受控控或者不不合规的的终端，进进行个性性化的友友好提示示，通过过友好提提示不仅仅可以帮帮助最终终用户了了解无法法访问业业务服务务器的原原因，为为最终用用户接受受和适应应新的终终端合规规管理提提供帮助助，还可可以通过过该提示示页面，发发送执行行合规管管理的客客户端软软件，真真正实现现了最终终用户“自助式式”的客户户端部署署，不仅仅大幅度度减少系系统维护护人员的的工作量量，也极极大减少少用户的的厌烦和和抵触行行为，保保证合规规管理有有效性的的同时，在在内网终终端合规规管理过过程中，体体现了人人性关怀怀，有效效增强了了最终用用户在内内网合规规管理系系统实施施中的积

26、积极性，促促进内网网合规更更快获得得良好收收效。本项目中应应用准入入的实施施主页或OAA服务器器上的中中性策略略网关在主页或OOA服务务器上安安装天珣珣中性策策略网关关，受控控终端访访问主页页或OAA服务器器时过程程如下。开启准入检检查的网网段，对对有针对对性地检检查特定定的网段段，对特特殊网段段可设置置使其不不受策略略网关的的影响。DNS准入入在内部DNNS服务务器上安安装天珣珣DNSS策略网网关，当当受控终终端发送送DNSS请求时时与DNNS服务务器交互互过程如如下：开启准入检检查的网网段，对对有针对对性地检检查特定定的网段段，对特特殊网段段可设置置使其不不受DNNS准入入的影响响。5.2

27、 网络准入控控制实施施对于接入交交换机支支持8002.11X协议议的区域域，采用用基于8802.1x协协议的网网络准入入控制。下图是8002.11x网络络准入的的部署图图。802.11X认证证的Raadiuus SServver采采用天珣珣自带的的Raddiuss Seerveer，用用户电脑脑安装天天珣内网网安全风风险管理理与审计计系统客客户端软软件。天天珣内网网安全风风险管理理与审计计系统支支持分布布式多服服务器架架构，建建议每套套天珣系系统至少少部署22个Raadiuus服务务器，以以对8002.11X提供供互备的认认证支持持。基于可信MMAC地地址的8802.1X准准入认证证在本次方案

28、案中，我我们推荐荐XXXXX院实实行基于于可信MMAC地地址验证证的8002.11X准入入。该认证模模式可以以和“基本认认证”、“扩展组组合认证证”组合成成完善的的准入模式式。对接接入电脑脑的MAAC地址址进行验验证，如如果不在在允许接接入的清清单内，则则拒绝该该电脑的的接入。对对于新接接入的电电脑，该该电脑的的信息将将即时报报告给管管理员，管管理员可可以在线线决定是是否允许许该新电电脑的接接入。客户端的安安装由于8022.1XX是二层层协议，终终端认证证不成功功将不能能访问网网络，故故客户端端的安装装问题将将影响用用户的使使用，客客户端的的安装请请参见“客户端端部署”章节。n 策略配置首先，

29、在天天珣WEEB控制制台中添添加一条条Raddiuss Seerveer策略略，在这这里配置置raddiuss认证服服务器及及其所使使用的认认证策略略：我们配置“网络准准入类型型”为“标准8802.1x”，基本本认证为为“用户认认证”，并选选择电力力集团的的AD域域作为认认证域。接接下来再再把需要要启用网网络准入入的交换换机的IIP加入入到网络络设备配配置中，让让raddiuss服务器器知道它它将对哪哪些交换换机的认认证请求求进行响响应。注意：共享享密钥必必须与交交换机中中配置的的keyy一致，否否则将无无法认证证成功。在网络设备备配置完完成后，将将其应用用到raadiuus配置置的“启用准准

30、入控制制的网络络设备”中：另外，在页页面策略略配置完完成后，务务必点击击更新rradiius服服务器策策略，否否则raadiuus服务务器将无无法获取取到最新新的策略略修改。n 交换机配置置对于交换机机的配置置，我们们会对两两种电力力集团普普遍使用用的接入入层ciiscoo和华为为交换机机进行介介绍。CISCOO交换机机进入配置命命令模式式# connfigg teermiinall配置Raddiuss认证服服务器启用认证# aaaa neew-mmodeel设置8022.1XX使用rradiius serrverr组中的的所有rradiius serrverr进行认认证# aaaa auut

31、heentiicattionn doot1xx deefauult grooup raddiuss# aaaa auuthoorizzatiion nettworrk ddefaaultt grroupp raadiuus添加iass到raadiuus sservver，其其中hoost后后面的IIP地址址为IAAS服务务器地址址，auuth-porrt和aacctt-poort为为标准的的Raddiuss端口，kkey为为交换机机和Raaiduus服务务器通讯讯密钥# raddiuss-seerveer hhostt XXX.XXX.XXX.XXX auuth-porrt 118122 ac

32、cct-porrt 118133 keey 11234456启用8022.1XX# dott1x sysstemm-auuth-conntrool配置7号端端口使用用8022.1XX认证# intterffacee FaastEEtheerneet0/7# swiitchhporrt mmodee acccesss# dott1x porrt-cconttroll auuto# dott1x hosst-mmodee muultii-hoost（启启用交换换机端口口的muultiiplee-hoostss模式，以以使交换换机可下下接huub进行行认证）# endd配置7号端端口的重重认证周周期

33、可选项，配配置8002.11X重认认证的周周期，以以秒为单单位，默默认为336000秒（11小时），当当重认证证时，如如果网络络端口接接入其他他没有运运行天珣珣内网安安全风险险管理与与审计系系统的计计算机，端端口会立立刻封闭闭。# intterffacee FaastEEtheerneet0/7# dott1x reaauthhentticaatioon# dott1x timmeouut rreauuth-perriodd 36600# endd保存当前配配置作为为启动配配置# coppy rrunnningg-coonfiig sstarrtupp-coonfiig注意：CIISCOO的交

34、换换机如果果是远程程使用ttelnnet登登陆到交交换机进进行配置置的话，请请千万记记得配置置aaaa auutheentiicattionn looginn deefauult linne命令令（不同同型号交交换机可可能命令令略有不不同）。此此命令作作用是将将tellnett时进行行的认证证放在交交换机本本地，如如果不配配置的话话，假如如以前ttelnnet交交换机只只需要输输入密码码的话，那那么在下下次进行行tellnett登陆时时，交换换机将会会提示要要求输入入用户名名和密码码进行认认证。华为交换机机# 设置8802.1x用用户的认认证方法法，目前前提供33种认证证方法：PAPP认证、C

35、CHAPP认证、EEAP中中继认证证。缺省省情况下下，华为为交换机机8022.1xx用户认认证方法法为CHHAP认认证。此此处需要要修改设设置为EEAP认认证。Quiddwayy dott1x autthennticcatiion-metthodd eaap# 创建RRADIIUS 组doot1xx 并进进入其视视图Quiddwayy rradiius schhemee doot1xx# 设置主主认证/计费RRADIIUS 服务器器的IPP 地址址Quiddwayy-raadiuus-ddot11x priimarry aauthhentticaatioon XXX.XXX.XXX.XXX#

36、设置主主认证/计费RRADIIUS 服务器器的IPP 地址址Quiddwayy-raadiuus-ddot11x priimarry aaccoounttingg XXX.XXX.XXX.XXX# 设置系系统与认认证RAADIUUS 服服务器交交互报文文时的加加密密码码Quiddwayy -rradiius-dott1x keey aauthhentticaatioon 11234456Quiddwayy -rradiius-dott1x keey aaccoounttingg 12334566# 指示系系统从用用户名中中去除用用户域名名后再将将之传给给RADDIUSS 服务务器Quiddwa

37、yy-raadiuus-ddot11x useer-nnamee-foormaat wwithhoutt-doomaiinQuiddwayy-raadiuus-ddot11x quiit# 创建用用户域ddot11x，并并进入其其视图Quiddwayy ddomaain dott1x# 指定“dott1x”为该用用户域的的Raddiuss方案Quiddwayy-issp-dott1x raadiuus-sscheeme dott1xQuiddwayy-issp-dott1xquiit# 指定交交换机缺缺省的用用户域为为“dott1x”Quiddwayy ddomaain deffaullt e

38、enabble dott1x# 开启EE0/88的8002.11x认证证Quiddwayy ddot11x iinteerfaace Ethhernnet 0/88# 开启全全局8002.11x 特特性Quiddwayy ddot11x# 保存设设置Quiddwayy qquitt ssavee 5.3 风险与灾备备802.11X准入入作为一一种最严严格的准准入控制制手段具具有其他他准入控控制措施施不具有有的优势势，如认认证流与与数据流流的分离离、独立立于应用用之外、在在严格之之余又具具有很高高的可扩扩展性等等。该准准入控制制手段已已经大量量应用于于教育、金金融行业业，在近近年来举举办的重重大

39、赛事事如广州州亚运会会，该准准入控制制手段也也已经全全面应用用。随着着企业信信息化越越来越深深入，在在信息安安全领域域，准入入控制，尤尤其是像像8022.1XX这种严严格的准准入控制制手段已已经成为为一个不不得不考考虑的选选项。但这种严格格的准入入控制技技术也带带来了不不可忽视视的断网网风险。在在对网络络可用性性要求极极高的领领域，如如金融行行业，大大面积断断网是不不能容忍忍的一级级事故。因因此，一一套完整整的、可可操作的的风险预预案便成成了关键键时刻的的法宝。下图是完成成全面完完成基于于8022.1XX网络准准入控制制体系后后，XXXXX终终端接入入控制体体系示意意图。根根据标准准8022.

40、1XX准入控控制需要要的三个个实体，加加上用户户认证时时需要的的目录服服务器（以以AD域域控制器器为例），我我们分析析了天珣珣作为准准入控制制解决方方法可能能产生的的风险点点如下图图标号所所示。XXXX终终端接入入控制体体系抽象象图名词释义：天珣中心服服务器：提供策策略集中中编辑、下下发和集集中报表表的功能能，管理理和同步步策略到到本地服服务器、RRadiius服服务器等等其他服服务器组组件，并并可以直直接管理理指定范范围的终终端的服服务器；天珣本地服服务器：提供对对指定范范围终端端进行管管理的服服务器，并并可以管管理和同同步策略略到Raadiuus服务务器。Radiuus认证证服务器器：与S

41、Swicch联动动，提供供对客户户端及用用户进行行网络准准入控制制认证服服务器。AD域服务务器：终终端用户户账号/密码的的集中管管理和认认证服务务器。接入交换机机（Swwitcch）：与Raadiuus联动动，提供供对客户户端及用用户进行行网络准准入控制制的接入入层网络络设备。客户端（CClieentss）：运运行在每每一台终终端电脑脑上，执执行终端端安全管管理策略略，发起起认证请请求。按照天珣系系统的设设计原理理，以上上组件中中，除了了中心服服务器和和本地服服务器之之外，其其他任意意组件，例例如无备备份的单单一Raadiuus服务务器、目目录服务务器（本本方案中中的ADD域服务务器）、交交换

42、机、客客户端，只只要其中中之一出出现影响响认证的的故障，都都将会导导致终端端网络准准入认证证失败。每个组件对对网络准准入的影影响，如如下图所所示：从图中可以以看出，每每个组件件都存在在影响到到网络准准入失败败的可能能。但是是，结合合组件的的作用和和他们之之间的相相互关系系，以下下四个环环节的风风险最为为突出：策略服务器器异常时时，Raadiuus无法法主动获获取正确确策略。AD域服务务器异常常或网络络中断，导导致ADD域不可可达，用用户认证证失败。Radiuus服务务器异常常或网络络中断，导导致认证证无法正正常进行行。客户端异常常，导致致认证无无法正常常进行。针对上述风风险，天天珣为该该准入控

43、控制拟定定了以下下风险预预案：1、 风险一种稳定的的准入控控制手段段不有必必要经常常改变准准入条件件，如我我们没有有必要经经常在仅仅验证客客户端和和可匿名名登陆的的用户认认证两种种方案间间切换。但但即使如如此，天天珣的RRadiius服服务器（天天珣自有有的RAADIUUS服务务器，不不使用微微软IAAS等第第三方产产品）在在每次收收到准入入控制策策略后都都会缓存存该策略略，直到到服务器器通知其其更改，在在此期间间，天珣珣的RAADIUUS服务务器不依依赖中心心服务器器和本地地服务器器，即使使服务器器宕机，RRADIIUS服服务器依依然可以以正常工工作。在在天珣系系统中，这这种风险险已经可可以

44、忽略略。2、 风险预案天珣可以同同时使用用多台主主备的目目录服务务器，但但即使如如此，网网络状况况以及目目录服务务器的可可用性依依然构成成较大的的挑战。实实行用户户认证需需要保证证AD域域始终可可达，但但不常发发生的断断电和网网络故障障让我们们不能忽忽略极少少发生的的AD域域不可达达的可能能性。为为此，天天珣提供供了ADD域的RRadiius byppasss工具，当当AD域域不可达达时，该该工具可可立刻取取消所有有终端的的用户认认证，使使准入控控制方案案变成仅仅“验证客客户端的的8022.1XX准入”，从而而消除因因AD域域故障导导致的网网络准入入认证失失败的问问题。天珣目录服服务Raadi

45、uusByypasss工具具界面如如下：3、 风险预案Radiuus服务务器是8802.1X网网络准入入的重中中之重，在在准入控控制方案案中，单单台RAADIUUS服务务器是巨巨大的风风险点，正正是基于于此，网网络设备备厂商在在标准配配置中，都都会为每每台交换换机配置置双Raadiuus服务务器以做做互备。从从天珣实实施的案案例中，双双RADDIUSS服务器器年故障障时间小小于5分分钟。在在配置了了双RAADIUUS服务务器的情情况下，尤尤其是异异地备份份，该风风险已经经大大降降低。但但这始终终不会成成为我们们松懈的的理由，天天珣建议议将Raadiuus作为为核心服服务器重重点监控控和保护护，

46、以消消除Raadiuus服务务器的单单点故障障和Raadiuus可能能遭受到到的网络络攻击或或机房环环境影响响。同时，部分分网络设设备厂商商也考虑虑了该问问题，在在交换机机的配置置方面有有不同的的使用方方案。如如，H33C的交交换机可可以配置置多个认认证选项项，先使使用raadiuus认证证，raadiuus不可可达则使使用loocall或者使使用noone。这这些手段段均可以以大大减减少故障障压力。但作为最可可靠的解解决手段段，取消消交换机机的8002.11X准入入是最后后的法宝宝，也是是最让人人放心的的措施。如如果企业业内部有有统一的的网络设设备管理理平台，可可通过配配置网管管平台取取消交换换机的认认证，若若没有则则可借助助某些自自定义的的脚本。本本方案中中有以下下脚本取取消交换换机的全全局8002.11X准入入，以思思科交换换机为例例：echoo offfecho sett shh