H3C iMC用户管理解决方案
应用背景:
互联网高速发展引发的内外部用户管理难题
千兆到桌面、万兆核心的 IT建设改造完成以后,信息传输的带宽 和速度问题已经得到初步的解决。接下来人们往往将目光放在网络安全问题上面,尤其是近年来病毒泛滥、黑客攻击愈演愈烈,安全问题及其背后的用户管理也越来 越成为人们关注的焦点。总的来说,通过对外来用户 /内部用户的管理,企业 希望回答以下安全问题:
■ 网络中有多少 用户,其中有多少是内部员工,有多少是外部用户?
■ 能否保证用户在上网时必须进行认证,以便知道他 /她是谁,身份信息是什么?
■ 有多少用户感染了病毒,多少用户未及时打补丁,能否帮他们 自动修复?
■ 用户上了什么网 站,下载了哪些文件,发送了哪些邮件?
■ 想升级到 Windows 7的用户有多少?需要安装 IE极光漏洞补丁的用户有多少?
■ 用户上网花了多少时间,该收多少费用?
从这些问题可以看出,有些与用户上网前有关,有些与上网的过程有关,有些与上网后有关。而传统的用户管理模型—— 3A( Authentication、 Authorization、 Accounting)主要关心的是上网前和上网后的计费问 题,对上网过程中发生的一些安全问题并不关心。这是因为 3A模型的提出主 要是为了满足运营商的计费需求,由于运营商只负责提供上网服务,关注的是服
务器端,对用户端的安全状况并不了解也不关心,因此对上网的过程没有过多的管理,用户端有没有感染病毒、有没有升级补丁等无法控制,这也是导致 互联网成为病毒传播的最大温床和最主要途径的原因之一。由此可见, 3A模 型并不完全适合企业网的用户管理,需要进行适当的改进。
图1. 传统的用户管理模型—— 3A (认证、授权、计费)
在企业网中,一般情况下服务器端和 用户端均是企业的内部资产,用户也是企业的内部员工(当然企业网也有外来访客,但绝大部分还是以内部为主),其使用网络的行为必须符合企业的利益。因此, 企业主要关心用户上网前和上网的过程(比如杀毒打补丁),某些情况下还关心上网后的结果(比如上网记录)。而对学校来说,既有互联网的特点(用户端有大部 分是学生),也有企业网的特点(学校办公网)。综合来看,企业网的用户管理需求,除了传统 3A模型的认证、授权、计费以外,还有审计、准入、资产管理等。因此,一个比较完善、能够满足企业网管理 需求的用户管理模型,应该是 6A( Authentication、 Access、 Authorization、 Audit、 Asset、 Accounting),而不是 3A,至少应该包括用户认证、准入控制、权限下发、 计费管理、行为审计、桌面、资产管理等 6个主要功能,以及防病毒、补丁、 AD/LDAP、策略联动等辅助功能。
图2. 企业网的用户管理需求
解决方案:
H3C iMC用户管理解决方案在企业网新的用户管理模型—— 6A的基础上,提供了统一的认证管理、全面的网络准入、精细的权限控制、基于用户的行为审计、桌面外设和资产管理、可扩展的计费管理等功 能,实现了 iMC平台、 EAD准入、防病毒产品、补丁产品、 桌面产品等各种资源之间的智能联动,为实现一体化、可信可控、可审计、可维护的用户管理打下了基础。
图3. iMC 用户管理解决方案
应用效果
统 一的认证管理
EAD 除了支持基于用户名和密码的身份认证外,还支持与 微软 AD/LDAP 的统一认证,支持智能卡、数字证书认证,大大增强身份认证的安全性。另外, EAD 支持还多元素的绑定认证,如帐号、 MAC 地址、 IP 地址、所在 VLAN 、接入设备 IP 、接入设备端口、无线 SSID 、 QinQ 等,保障用户接入的唯一性。
对于来访的客户端, EAD 解决方案还提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时 EAD 系统会自动载入客户端,对用户身份和终端安全状态 进行检查,用户不需要改变上网习惯的同时,可以享受 EAD 带来的安全保障。
全面的网络准入
通过对 802.1x 、 portal 、 L2TP/IP Sec 、安全网关、客户端接入等接入技术的支持, EAD 可以提供完善的接入控制,支持局域网、广域网、 VPN 、无线等各种复杂的网络环境,包括 HUB 、思科等多厂商设备,以及存在 NAT 地址映射的场合、地址经常变化的 ADSL 场合等,保证从任何地点、任何方式下的用户接入安全。
iMC EAD 组件从控制用户安全接入网络的角度入手,集成终端安全检查、用户身份认证、动态访问授权、用户行为审计等功能,通过智能客户端、安全策略服 务器、智能联动设备以及第三方软件的联动,对访问园区网的用户终端强制实施安全检查,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能 力,为网络管理人员提供了有效、易用的管理工具和手段。
精细的权限控制(VLAN、ACL 、客户端ACL)
在用户终端通过病毒、补丁等安 全信息检查后, EAD 可基于用户的角色,向联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使 用行为。终端用户的所属 VLAN 、 ACL 访问策略等安全措施均可由管理员统 一配置实施,即使是在 HUB 环境,也可区分不同的用户并执行不同的控制。
另外,对于有多个网卡或者使用 3G 上网卡的用户, EAD 还可以提供客户端 ACL 权限控制技术,能够精细控制用户对 IP 网络的访问行为。 EAD 客户端 ACL 功能类似一个轻量级的网络防火墙,其安全规则由服务器统一管理下发。首先网络管理人员通过组合 ACL 技术定义各种访问规则, EAD 用户上线后从服务器 获得相应用户群组对应的 ACL 规则,然后依此对本机所有的 IP 报文加以过滤和控制。
图4. 客 户端 ACL 功能示意图
基于用户的行为审计
针对国家相关机构对网络上网行为审计的政策要求, UBA 行为审计组件为客户提供了高效、完整的解决方案。
UBA 支持多种日志格式(包括 NAT 、 NetStream 、 DIG ),可实现 2 到 7 层的用户行为审计,并且通过和用户接入信息联动,直接审计到用户名信息,而不仅仅是用户 IP 地址信息。针对不同的日志类型,管理员可以方便的 了解到指定网站的用户访问情况,指定用户的访问网站情况,以及关键的 HTTP 、 FTP 、 SMTP 等协议内容摘要信息。
桌面外设和资产管理
iMC EAD 实现了对终端资产全方位的监控和管理,可以对终端 软硬件使用情况、变情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程协助、绿色关机,帮助客户更有效地管理企业的桌面资产。
EAD 可以对 U 盘、外设和打印机的访问过程进行监控,可以查看重 要文件通过 U 盘拷贝时,有无存在不当使用行为。 EAD 还提供了对 U 盘、打印机和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄 密,而且在离线状态下依然生效。
可扩展的计费 管理