当前位置:
文档之家› 迪讯 DDI (DNS,DHCP,IP地址管理) 产品与上网行为管理联动
迪讯 DDI (DNS,DHCP,IP地址管理) 产品与上网行为管理联动
迪讯信息
CNS与上网行为管理互动解决方案
实现IP从实名准入、动态分配管理、审计,到行为管理一个完整闭环的处理
SUNNY XU
企业安全准入与准出控制
内网安全准入与准出,顾名思义,就是在客户端进入网络的环节进 行访问控制的,叫网络准入控制;在客户端外出网络的环节(一般 指的是访问互联网)进行访问控制的,叫网络准出控制。
5
与深信服上网行为管理联动效果
1) CNS-APP 系统通过与第三方认证系统联动,当终端用户进行 web portal认证时输入个人账号,密码 进行注册。 2) 当终端设备注册成功后, CNS-APP 系统将根据 DHCP 分配的情况 ,给已授权MAC地址发送IP分配确认消息时,将给深信服系统发送 “用户账号, IP ,MAC”的消息。
D N S 及 IP 地 址 安 全 管 理
基础网络安全
DHCP/DNS/IP地址 管理
集中的自动化IP地址分配与回收 保障IP地址分配的稳定可靠 保证DNS域名解析的稳定性 避免IP地址冲突/欺骗的现象 DHCP/DNS网络服务的冗余备份 IPv4/IPv6地址体系平滑迁移
传统型 DDI
实名IP接入安全
CNS
•DHCP准入 •Portal实名注册 •MAC地址授权
发送用户abc上线消息 发送用户abc下线消息
上网行为
•准出认证 •上网行为审计
7
管理员后台设备实名注册
首次请求IP地址
客户端
•用户有线 /无线设备
设备MAC未授权, 分配隔离区IP地址 管理员后台实名注册 设备MAC地址 注册成功后,重新请求IP地址 设备MAC地址已实名授 权,分配正常区IP地址
6
设备实名自服务注册Portal
认证服务器
•AD域控 •LDAP •RADIUS •本地数据库
user=abc? pwd=123?
OK,账号 密码没有问题!
首次请求IP地址
客户端
•用户有线 /无线设备
设备MAC未授权, 分配隔离区IP地址 实名注册C地址, 账号是abc,密码是123 注册成功后,重新请求IP地址 设备MAC地址已实名授 权,分配正常区IP地址
CNS
•DHCP准入 •管理员后台注册 •MAC地址授权
发送MAC上线消息 发送MAC下线消息
上网行为
•准出认证 •上网行为审计
8
自服务注册Portal(页面自适应屏幕)
9
自服务注册Portal(客户案例)
10
与网康/深信服联动参数配置
11
网康联动 – MAC动态授权控制
12
网康联动 – 发送到网康设备的消息日志
13
网康联动 – 网康的后台管理界面
14
深信服联动 – MAC动态授权控制
15
深信服联动 – 发送到深信服的消息日志
16
深信服联动 – 深信服的后台管理界面
17
迪讯信息
谢谢!
CNS解决方案 提供简洁有效的DNS/DHCP/IP地址管控平台
DHCP+接入控制
无需安装客户端的实名IP准入机制 MAC地址黑白名单,控制非法IP接入 无线BYOD终端类型自动识别 防止私接路由器、交换机 实名制动态IP地址分配审计 访客IP地址动态授权控制
4
与网康上网行为管理联动效果
1) CNS-APP设备将根据DHCP分配的情况,当给已授权MAC地址发送IP 分配确认消息时,将给网康系统发送“用户上线”消息。当已授权MAC 地址的IP回收成功后,将给网康系统发送“用户下线”消息。 2) 网康将以终端MAC地址为审计依据,改变以IP地址为审计依据的管理 模式。 3) 网康系统,将联动收到的上、下线消息作为终端行为审计的依据或根 据CNS-APP设备发送的上下线消息来控制终端设备访问外网,只有CNSAPP系统发送的IP地址,才能够正常的通过网康设备,访问外网。 4) 该联动实现了准入与准出的同步,合法用户在经过网康系统向外访问 时,可以做到无感知认证。反之,非法用户 --- 包括未经过准入授权的 用户终端和手工私设IP的终端,将无法通过网康系统。
3) 如果CNS-APP系统没有和第三方认证系统联动,当终端设备注册 成功后, CNS-APP 系统将根据 DHCP 分配的情况,给已授权 MAC 地 址发送IP分配确认消息时,将给深信服系统发送“IP ,MAC”的消 息。 4) 深信服将以终端认证账号或 MAC地址为审计依据,改变以IP地址 为审计依据的管理模式。
网络准入控制的方式主流的分为802.1x方式、DHCP+准入+Portal认证方式 802.1x方式主要是一些桌面安全厂家的产品配合交换机内置的802.1x端口访 问控制协议实现网络准入,效果是安装了桌面安全终端的客户机并通过认证 授权的可以通过802.1x认证,未通过认证的将会被拒绝,主流厂家有中软、 联软等; DHCP+准入控制方式是 近几年的一种新技术解决方案,通过 DNS/DHCP/IPAM核心网络服务设备,实现IP地址管理、DNS管理、DHCP 管理,同时利用DHCP+技术、 DHCP指纹识别控制,DHCP SNOOPING技 术和DAI技术,实现有线/无线IP的准入管理与控制; 网络准出控制的方式主要为上网行为控制方式。网络准出控制主要面向的应 用层,就是说要让你允许准入的用户对外访问具有权限控制。
2
实施上网行为管理的前提条件
1) 终端设备要尽量使用固定IP地址,网络中各级IP地址分配策略尽量 使用静态分配策略,最好是网络终端设备的IP地址和MAC地址相绑 定等技术手段来实现管理节点与使用管理人员相对应; 企业局域网中尽量不要使用路由器等网络转发设备,以防降低网络 行为管理的可追溯性,同时也要做好NAT管理工作;
2)
3)
针对具体企业部门尽量划分在一个逻辑IP地址段内,地理位置不同 的企业区域采用不同数字开头的私有IP地址群显著标明,以有效阻 断网络风暴及ARP病毒等在全网传播;
建立健全IP地址与使用管理人员关系表并加以动态完善,这也是实 施网络行为管理的基础性工作。
4)
3
增强型DHCP/DNS/IPAM解决方案