[互联网]D-Link安全接入认证解决方案.ppt
《[互联网]D-Link安全接入认证解决方案.ppt》由会员分享,可在线阅读,更多相关《[互联网]D-Link安全接入认证解决方案.ppt(46页珍藏版)》请在三一文库上搜索。
1、金炜,D-Link安全接入解决方案,提纲,为什么需要网络安全接入 网络安全接入建设目标 D-Link网络安全接入解决方案 案例分析,未授权网络存在诸多问题,传统的安全审查机制都是在网关出口处。- 内网安全无保障 传统的安全审查机制都是基于IP地址的。 - IP地址是可修改的 内部用户未经许可,就可接入网络中去。 - 重要资源无保障,金融服务器,ERP系统,R&D服务器,在网络接口上缺乏控制,其它用户,客人,雇员,不用授权,客户端能访问任何网络资源,网络安全接入建设目标,财务系统,ERP系统,研发资源系统,客人,销售,会计,研发人员,研发部门只能访问研发资源服务器和Internet资源,销售人员
2、只能访问ERP系统和Internet资源,客人用户只能访问Internet资源,会计部门只能访问财务系统和ERP系统,现有网络面临的一些问题和挑战,1、ARP攻击及病毒泛滥,常常引起大面积上网中断 2、用户上网行为不可控(乱发言论、乱用网络资源现象严重) 3、内网接入的安全问题,目 标,1、双向防御ARP攻击及病毒对网络的侵犯 2、对用户的上网行为进行有效的控制 3、全面、丰富的认证计费手段,让我们的网络环境更舒适、更安全,一、双向防御ARP攻击及病毒对网络的侵犯,原 因,导致用户上网掉线的最大原因就是arp攻击 其次是病毒等的攻击 最后是网络本身的瓶颈问题,上网不稳定 总是掉线,方案逻辑拓扑
3、,1、DPF构成高性能出口网关、病毒攻击过滤。 2、认证计费完成本身功能以外,同时兼顾内网安全(arp防御)。 3、整网交换机过滤常见病毒端口,防止交叉感染,Arp的防范,单一的IP+MAC+端口绑定,DHCP snooping都不能完全解决问题 我们需要: 认证计费客户端、交换机、radius server 组成三位一体,共同完成对arp攻击的防御,1、认证前会有一个arp防御的小程序驻留在系统内,对发出的arp进行有效的侦测和隔离 2、认证开始后,客户端清除arp后,会用所使用的网卡发送arp,并进行绑定 3、每15秒,会发一次arp,帮助网关维护arp 4、这个过程中radius ser
4、ver要对用户的ip进行绑定,解决方法,支持微软新一代操作系统的网络访问保护(NAP)技术,NAP是一项政策强制性技术,构筑在Windows Vista和Windows Server “Longhorn”操作系统之中,使用户能更好地预防来自不安全电脑对网络设备的袭击,强制实施网络安全政策。 D-Link xStack DES-3500, DES-3800, DGS-3400 or DGS-3600 系列支持NAP,访问请求. 这是我新的健康状况,NAP工作过程,Microsoft network policy server,终端,802.1x Switch / AP,Remediation s
5、ervers,我现在能访问网络吗? 这是我的健康状况,根据它的健康状况,这个终端应该被受限吗?,策略更新到 NPS Policy Server,你被赋予受限访问权限,直到完成修补,我能升级吗?,到这边,根据策略,这个终端不是最新的,进行隔离,并要求升级,公司网络,受限制网络,客户端被授权访问整个网络,System health servers,根据策略,已经是最新,授权访问,不受限制网络,解决方法,网络访问保护(NAP)技术 带来的好处,能够对终端健康状况做检测 可检测的项目包括:是否打了最新补丁,是否装了防病毒软件,是否装了个人防火墙等 如果不是合法用户,只能访问有限的网络资源,增强网络的安
6、全性,解决方法,病毒防范、补丁更新,1、通过在网络设备上关闭常见的病毒端口,切断扫描通道 2、在网络上部署IPS功能的设备进行攻击预防 3、和杀毒软件进行联合,形成三位一体的防御工事 认证计费客户端内建安全检查功能,系统补丁、杀毒软件等不符合预定义的安全策略的主机不能访问网络,1,2,3,Radius服务器,补丁更新 服务器,802.1x,三、全面、丰富的认证计费手段,D-Link dot1x switch,D-Link dot1x switch,D-Link dot1x switch,D-Link DSA-4000,二次认证计费解决方案,D-Link DRS-5000,internet,核心
7、 swtich,ftp server,mail server,vod server,D-Link 独创的二次认证解决,接入层可采用D-Link或其它厂商支持dot1x的switch,DSA-4000高可靠性接入 网关位于网络出口部分并结合后台D-Link DRS-5000认证计费运营平台,实现一次拨号二次认证方案,用户 可采用此方案针对内网资源免费,上外部网络收费的策略,内网,外网,D-Link绿色Client,internet,1、专用客户端防止私接和代理 2、能融合现有所有支持802.1x的交换机,避免垄断 3、可定义时长、流量等多种计费策略 4、和现有一卡通系统完美结合,实现计费、收费人
8、性化管理 5、锁定用户的上网地点 实现一个帐号全网漫游,优 点,网络安全接入解决方案,校园网认证、计费解决方案: 纯802.1x的认证、计费解决方案 纯BAS网关的认证、计费解决方案 802.1xBAS二次认证、计费解决方案 企业网认证解决方案: 802.1x认证解决方案 WAC认证解决方案 MAC认证解决方案,1、这套方案相对性价比很高,很多学校都使用过这套方案。方案的组成部分有: 接入层802.1x交换机、客户端802.1x软件、Radius系统DRS-5000。 2、这套系统可满足学校的认证、计费运营管理,可以防止网络中IP地址冲突,安全性比较高。,校园网认证计费解决方案,优点: 可实现
9、多元素绑定认证,安全可靠; 通过端口来控制,安全性较高,不会发生IP地址冲突等; 非网关架构,没有网络瓶颈问题; 由于控制流和业务流完全分离,设备负荷较小; 支持组播等新业务 防止代理,弱点: 802.1x技术对流量计费、P2P限制等控制能力较弱; 不能提供区分内外网计费等学校需要的特色服务。,校园网认证计费解决方案,此方案共由几部分组成:BAS设备DSA-4000、客户端软件、Radius系统DRS-5000、日志系统DRS-100。此方案对接入层交换机不做特别要求。,校园网认证计费解决方案,优点: 采用网关认证,支持PPPoE、WEB和Client认证方式,接入方式灵活多样,充分满足不同用
10、户需求; 兼容性好,保护用户投资。对交换机的选择不受限制,避免了选择认证系统后对交换机选型的束缚; 对用户的管控能力比较强,支持P2P限制、支持用户带宽限制、支持上网日志记录等; 计费方式灵活多样,可提供流量计费、时间计费、区分内外网计费等; 持组播等新业务。,弱点: 成本高; 无法管控到交换机端口,安全性欠佳; 由于采用网关式网络拓扑结构,如果设计不当,可能会造成网络瓶颈。,校园网认证计费解决方案,1、此方案是D-Link 独创的二次认证解决方案,共由几部分组成:接入层802.1x交换机、BAS设备DSA-4000、客户端802.1x软件、Radius系统DRS-5000、日志系统DRS-1
11、00。 2、这套系统可实现高校的认证、计费运营平台,实现一次拨号二次认证,此方案可实现内网资源免费,上外部网络收费的计费策略。,校园网认证计费解决方案,优点: 可兼容任何厂家交换机,保护用户投资; 接入方案灵活,可选择PPPoE方式接入、802.1x方式接入、web接入、client等接入方式; 它是结合802.1x认证与BAS认证的优点,采用了802.1x技术中最具价值的根本上杜绝IP地址冲突的功能,屏弃私有的不兼容的属性,在BAS上实现网络元素的绑定及各种灵活的控制功能。 在接入层采用802.1x认证方式,用户可访问内网;在外网出口采用bas网关型认证,用户可访问外网。 灵活的计费模式,可
12、按时长、按流量灵活计费;并可通过二次认证,内外网区别计费。 灵活设置不同时段上网可控机制,杜绝学生长时间上网 可对用户带宽进行限制、可限制P2P下载 完全记录上网用户行为日志 灵活支持“即时消息”、“广告消息”及通知发布 具备网络自助服务模式,并可与校园“一卡通”实现对接,解决学生缴费问题,校园网认证计费解决方案,网络安全接入解决方案,校园网认证、计费解决方案: 纯802.1x的认证、计费解决方案 纯BAS网关的认证、计费解决方案 802.1xBAS二次认证、计费解决方案 企业网认证解决方案: 802.1x认证解决方案 非802.1x认证解决方案 WAC认证解决方案 MAC认证解决方案,DES
13、-3528,DES-3526,DES-3028,internet,核心交换机,这套方案相对性价比很高,适合企业应用。 方案的组成部分有:接入层802.1x交换机、Windows 2003 Server。,企业网认证解决方案,财务系统,ERP系统,研发资源系统,客人,销售,会计,研发人员,研发部门只能访问研发资源服务器和Internet资源,销售人员只能访问ERP系统和Internet资源,客人用户只能访问Internet资源,会计部门只能访问财务系统和ERP系统,企业网认证解决方案,这种认证方式,需要交换机具备几个功能: 认证:802.1x 授权: Guest VLAN 、动态VLAN分配(D
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 Link 安全 接入 认证 解决方案
链接地址:https://www.31doc.com/p-1998380.html