馮 明，陳 倩

（天津易通易聯(lián)科技有限公司，天津300000）

1 系統(tǒng)的業(yè)務需求

隨著信息化進程的不斷深入，安全往往是由內(nèi)而外、逐層遞進，如何在成功建立了資產(chǎn)管理運行機制的基礎上，全面實現(xiàn)終端接入的流程化、標準化和規(guī)范化，在從終端至入網(wǎng)之前就確保其安全性、擴容量與可信度，從而提升網(wǎng)絡整體安全，即已成為企業(yè)亟待探討攻關的重要問題。本文提供的設計方案將可為用戶從根本上解決終端多、信息亂、接入隨意、查找困難等管理問題，并為用戶構建全網(wǎng)終端接入全生命周期的可視、可管、可查看的5W審計平臺。

2 系統(tǒng)設計方案

2.1 產(chǎn)品部署

如圖1所示，在架構復雜的網(wǎng)絡環(huán)境下，本文采取的是雙機熱備部署方案，分別旁路部署在總部主備核心交換機，推薦與現(xiàn)有網(wǎng)絡環(huán)境無縫接合的技術方案，完全遵循在不修改現(xiàn)有網(wǎng)絡結構及配置的情況下完成部署。

圖1 系統(tǒng)的整體設計架構Fig.1 Overall design architecture of the system

2.2 入網(wǎng)流程

產(chǎn)品部署后，工作人員擬將遵循的入網(wǎng)流程即如圖2所示。

圖2 入網(wǎng)工作的的設計流程Fig.2 Design process for network access work

2.3 系統(tǒng)設計

（1）自動化資產(chǎn)統(tǒng)計。純旁路部署到客戶網(wǎng)絡后，在不開啟任何準入策略的情況下，即可實現(xiàn)全網(wǎng)資源的統(tǒng)計，統(tǒng)計信息包含：IP-MAC-VLAN-主機名-終端類型-交換機-端口-操作系統(tǒng)-瀏覽器-分辨率等等。協(xié)助用戶建立全網(wǎng)資源統(tǒng)計平臺，其次，協(xié)助用戶自動分類網(wǎng)內(nèi)資源的終端類型，建立全網(wǎng)泛終端的統(tǒng)一展示及管理平臺。

（2）終端快速定位。通過SNMP簡單可網(wǎng)管協(xié)議，建立與交換機網(wǎng)絡設備的聯(lián)動，自動創(chuàng)建終端與交換機端口對應關系，從而實現(xiàn)了終端快速定位平臺。

（3）自動化用戶信息搜集的管理手段。對于自動化提取的研究來說，需建立流程化、規(guī)范化、標準化的終端接入管控平臺。準入是主要的技術手段，通過強制隔離，友好portal引導，建立實名制ID管理。PC（移動終端）新接入網(wǎng)絡，默認無法與網(wǎng)內(nèi)通信，打開Web頁面自動portal引導頁面，管理員可指定一次性入網(wǎng)登記、審批的流程，建立終端自動化臺賬管理，實現(xiàn)接入可信。其次，管理員也可定義入網(wǎng)終端輸入用戶名密碼認證方式自動化接入流程，建立動態(tài)的終端接入檔案，動態(tài)的人機對應關系。

（4）多元素綁定。在對信息進行自動統(tǒng)計的基礎上，支持多元素綁定，如IP-MAC-VLAN-主機名-交換機-端口-使用人等信息的綁定。當其中任意參數(shù)發(fā)生變化，則將其阻斷，并采取強制隔離的技術手段，使得管理難度降低，并具有可視性。

（5）增值方案-網(wǎng)絡邊界威脅感知。在統(tǒng)計數(shù)據(jù)的基礎上，可以協(xié)助用戶構建網(wǎng)絡邊界威脅感知平臺，自動發(fā)現(xiàn)、告警、定位和阻斷網(wǎng)絡內(nèi)部未準入的小路由、wireless AP、便攜式WIFI等。及時感知和定位網(wǎng)絡內(nèi)部的IP地址沖突、廣播風暴等潛在的安全隱患，并于必要時進行主動報警。

（6）增值方案-IP地址管理。除安全功能以外，還集成了運維方面的功能，即IP地址管理平臺，協(xié)助用戶建立IP地址自動統(tǒng)計、自動回收、自動下發(fā)的全自動平臺，并且可以完全替換人工Excel表格的統(tǒng)計方式，結合準入功能，建立IP-MAC-使用人-VLAN-交換機端口的自動登記平臺，為用戶提供追溯還原審計平臺。

3 結束語

網(wǎng)絡準入管理系統(tǒng)可為用戶完美解決現(xiàn)有需求，為后期的發(fā)展趨勢提供前瞻性解決方案。本系統(tǒng)采用純旁路部署，可以在保持客戶的原有網(wǎng)絡架構以及原有配置的基礎上，對系統(tǒng)網(wǎng)絡不產(chǎn)生任何影響；具備靈活可混合式的準入技術，可以有效適應各種網(wǎng)絡環(huán)境并且不完全依賴于網(wǎng)絡環(huán)境；系統(tǒng)采用的是無客戶端部署模式；擁有多級指紋綁定機制，智能鑒別仿冒終端；提供特色的終端類型識別功能，實現(xiàn)網(wǎng)絡層準入管理，為用戶打造智能、可視、易用的網(wǎng)絡邊界管理平臺。