XXXXX网络安全准入解决方案蓝代斯克（北京）信息技术有限公司2012年9月---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---目录---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---一、企业安全现状随着IT技术的快速发展，如今，企业网络包含着多种多样的网络设备和网络终端，内部服务器和PC搭载着许多重要的应用平台和数据，网络安全的防范和运维管理尤其重要。虽然出口处有防火墙、IPS、防病毒服务器等网关安全设备，网络边界的安全风险越来越小，但是企业网络内部的风险防范还是比较薄弱，如：外来计算机、无线手持设备、AP、非法HUB等等可以随便接入企业网络，内部网络处于透明状态，外来人员如果带有恶意行为进入网络的话，那样后果将是非常可怕的；还有现在无线设备不断增多，如何很好的去管理和控制也给企业提出了新的难题，这些行为如果不进行有效的控制会给企业带来很大的安全隐患，如：黑客攻击、恶意破坏、数据泄露、病毒木马、网速减慢等等，泛滥的网络访问也给运维部门造成了很大的困难；企业员工可以随意使用无线设备、内部计算机的安全状况不能有效的进行自动检查、隔离和更新等，这些安全状况如不及时解决都会给企业带来安全隐患，管理员反复的维护也弄的自己筋疲力尽，工作效率得不到提高。二、项目总体背景XXXXX办公自动化已经逐步成为企业生产运营通讯和信息管理的主要平台，通过PC及支撑的网络，电脑的重要性越来越显现，工作人员不仅用来计算、输入和输出各种数据，并且通过网络或移动存储设备等途径，信息可以快速地传递到任何网络的节点，正常的信息流动当然对其事业的运营有着极大的促进作用，而外来设备如果可以随意接入企业网络会给企业带来巨大的网络风险，一但重要数据流失，后果非常严重，最终导致企业蒙受巨大的损失。所以有必要对企业部署网络安全准入系统来防范此类威胁的发生，目的是使管理者能够采取必要手段加强内部网络和信息的安全。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---三、建设目标我们针对XXXXX企业内部网络接入安全的薄弱点，根据XXXXX提出的具体需求进行分析并且与用户进行了多次的沟通和研究,最终我们确定了部署方案，以三位一体的网络安全防范措施来解决企业现在面临的各种安全问题，终端设备是否可以接入企业网络需要进行身份认证，非法终端设备或未授权终端设备不能接入企业网络；通过终端安全状况的检查和隔离杜绝安全状况不达标的计算机接入企业工作网络，如需进入企业工作网络必须满足管理员规定的安全规则，如不符合进行隔离修复，修复成功以后才能进入。通过立体的防范措施来解决XXXXX的网络安全问题，确保企业内部业务和数据的安全稳定运行，以便更好地为广大用户提供优质的服务。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---四、部署的总体思路4.1、应用目标“堡垒的攻破，往往来源于内部”而发生安全事件的一个主要原因，则是非法电脑的随意接入，随之带来的问题，则是信息泄密、病毒感染、泛滥的网络访问等重大问题。而且内部主机如果安全状况薄弱，则可能把一个局部安全问题，扩大成一个全局性的灾难。针对接入层用户的安全威胁，特别是来自应用层面的安全隐患，防止黑客对核心层设备和服务器的攻击，防止外来设备的随意接入，对接入设备进行接入日志的跟踪，以及保护内网数据和网络的安全，必须在接入层引入接入认证和安全检查机制。4.2、用户需求目前XXXXX内部的客户端大约1000台左右，客户端存在两种情况，加域客户端和未加域的客户端，需要都能进行内部网络准入的控制。即部分客户端访问策略和访问用户名和密码通过AD实现，未加入域的部分则通过LANDesk自带的身份认证系统实现。核心和出口交换机如图中BH6808交换机，需要在加入LANDesk设备后能做成旁路模式，尽量不影响整体的网络架构。用户需要做准入控制，健康检查之类的可能后期逐步推广，同时需要有终端何时以何种身份接入网络的日志记录。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---4.3、企业网络拓扑4.4...