网络准入
-
2023年3月18日发(作者:弟子规图片)1
一
.
引言
目前大多数企业构建的还是开放式的网络,过去在Interner接入安全和服务器安全领域
投入了大量的资金,虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备,但是网
络安全事件依然层出不穷;虽然在终端上安装了杀毒软件,但病毒感染还是泛滥成灾;为什
么?企业内部网络接入层采用开放式的网络架构,这种开放网络给企业业务开展确实能够带
来便捷,但也有严重的安全风险,随着IT技术的快速发展,各种网络应用的日益增多,病毒、
木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源,使得企业网络的安全边界迅速
缩小,开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全,因此需
要构建新一代的内部终端准入安全防御体系。
权威调查数据表明“网络堡垒”往往是从内部攻破,开放式的网络使得企业内部任何一
个人都能够通过便携设备随意接入企业核心业务网络,能够访问企业的各种网络资源,获取
他们感兴趣的数据。开放式的网络犹如企业没有门卫一样,任何人都可以随便进出,随意访
问,不受到任何检查和限制。可以想象这样的开放式网络为恶意访问提供了入侵的便利条件,
采用非常简单的攻击技术便可造成巨大的破坏,从而不但给企业带来巨大的经济损失,更有
可能对企业造成法律上的风险。还有企业网络内部计算机如果安全状况没有一个标准的基准
线,对不安全设备如果不能采取有效的隔离和修复措施,漏洞病毒的防护应对往往不到位,
一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,数据安全无法保证,工作也
无法正常进行,终端入网安全状况的不统一,也弄的维护人员筋疲力尽,工作效率得不到提
高。
2
二
.
面临的挑战
目前,企事业单位终端接入现存具体问题主要有以下几个特点,但不限于此:
网络出口处部署了大量的网络安全设备,如:防火墙、IPS、防病毒服务器等安全设
备,出口严防,但内部终端接入还是开放、透明的网络,如何防止从内部的非法接
入访问?
当你在关注企业网络边界准入控制时,是否关注到了我们的核心业务的访问安全,
你的核心数据、重要业务系统(如ERP、OA)访问等,访问身份和权限是否安全?
访问的终端是否合规可信?如何保证数据泄密?
安全防护的一切要素在于安全监管客户端的存在,如果没有终端将变成裸奔状态,
非可信状态,存在重大的安全隐患,等于脱离管理,如何快速部署安全防护点?确
保覆盖安装率和去化率。
企业存在大量的终端分散在企业的各处通过信息口接入网络,但如何保证这些终端
是合法的呢?这些终端入网安全基线是否合规?
企业有很多外包人员或访客,如何确保这些人的接入是否合法呢?资源的访问权限
如何控制?
智能手持设备、无线设备的接入,如何进行有效的接人管理?
企业存在大量的哑终端设备,如:网络打印机、视频会议系统、IP网络电话等设备,
如何保证接入是否合法?如何进行接入的有效控制?
大量终端接入网络行为,如何定位追踪?如何进行有效的接入安全分析和审计?
…………
3
三.强制合规(NAC)产品介绍
3.1
产品概述
天擎.强制合规(NAC)组件主要为企事业单位解决入网安全合规性要求,核心业务的访
问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等
管理问题。用于防止企业网络资源不受非法终端接入所引起的各种威胁,在有效管理用户和
终端接入行为的同时,也保障了终端入网的安全可信,同时达到了规范化地管理计算机终端
的目的。
强制合规(NAC)引擎设备可基于天擎集中统一管理,可在天擎“一体化”平台对引擎
设备进行集中策略下发、设备批量升级、设备统一监管、区域分权管理等方式,适应超大规
模用户的部署,多种灵活的手段满足大型网络架构下的业务管理需求,解决了传统方式的独
立管理,散兵模式的部署难题,针对大型用户有多台甚至百台NAC引擎时,这种方式给部署
管理上提供了便利,也确保了策略的快速响应和设备的集中监管,天擎“一体化”平台集中
管理与统一监测,实现数据共享和业务联动,符合超大规模用户统一管理、统一认证的管理
理念,并满足大型网络架构下的准入部署难题,真正实现了分布式部署、集中化管理的要求。
产品具备从终端发现、访客注册、认证授权、合规检查、隔离修复、访问控制、入网追
溯等“一站式”的入网控制管理流程,并支持多种认证技术及方式,可实现核心区域的访问
控制,终端层面的访问控制,接入层边界的访问控制,满足不同网络场景下轻、中、高强度
的准入控制需求,适应企业复杂网络环境下的终端接入控制和安全合规性要求,产品具备扩
展多种第三方认证源,支持AD、LDAP、Email、Http等多种认证源无缝认证,并支持各阶段
的逃生方案,保障业务的稳定运行,确保实名制认证、统一管理要求,从而使终端接入管理
变得安全、透明、可控,满足信息安全管理要求。
4
3.2主要功能特点
3.2.1应用准入
应用准入是一种网关准入防护技术,目的是防止非法终端访问企业核心区域资源,规范
终端入网流程,保障入网终端的安全可信,结合终端的合规检查,可满足企业入网的合规性
管理要求。
强制合规(NAC)设备引擎采用旁路部署,通过流监听来发现和评估哪些终端入网是否
符合遵从条件,判断哪些终端是否允许安全访问企业核心资源,不符合会被自动拦截要求认
证或安装客户端才能进行访问,并可配置入网安全检查策略,不符合进行隔离和修复,达到
合规入网的管理规范要求,这种方式的优点在于无需和交换机进行联动,避免交换机管理和
配置的复杂性,终端私拉乱接带来的绕过可能性。此轻量级的准入方案,部署简单,上线快,
对环境依赖较小,风险和故障点相对较小。
终端的安全防护的一切要素在于安全监测客户端的存在,如果没有安全客户端等于脱离
管理,存在重大的安全隐患,终端变成裸奔状态,非可信状态。强制合规(NAC)另一方案,
是和天擎终端协同联动,检测入网访问的终端是否安装终端防护点,达到入网遵从条件,可
提高客户端的部署效率,防止天擎的卸载和去化率过高,保障入网终端是在安全可控范围内,
防止无保护,存在安全隐患的终端访问企业的核心资源,配置合规检查策略也可实现更加细
粒度的入网合规要求。
5
优势特点:
客户端部署方便简单,提供自动式客户端引导部署流程,使大面积部署天擎变的高效和
快速
保证天擎的安装覆盖率和去化率,保障入网终端是在安全可控范围内,规范终端安全
保护核心服务器的访问安全,需认证和安检才能访问
规范终端入网流程,入网安全可信,满足企业入网的合规性管理要求
旁路部署简单,轻量级的准入方案,部署简单,上线快,对环境依赖较小,风险和故障
点相对较小。
3.2.2WebPortal认证
WebPortal认证方案是保护网络核心区域不受外部非法访问的认证技术方案,采用旁
路部署,通过监听保护区域的网络数据流,并做连接跟踪,对企业内网数据流进行合法性检
测并对非法连接进行阻断和控制,保护核心区域访问的安全。它基于用户核心业务保护概念,
对非法访问用户核心资源进行访问限制,确认身份的合法后才能正常访问。
★支持多种入网流程,用户可以根据需求灵活选择
用户经过portal认证/用户注册,可直接访问受保护服务器,注册用户需经管理员
审批确认或自动审批确认
6
用户经过portal认证/用户注册,下载并安装天擎客户端后才能访问受保护服务器,
注册用户需经管理员审批确认或自动审批确认
3.2.3802.1x接入认证
强制合规(NAC)的802.1接入认证是通过标准802.1x协议,在网络接入层做准入认证、根
据认证授权情况确定是否能访问网络,支持动态VLAN的下发,可绑定多种认证因素实现强认
证管理,结合入网合规性检查策略,根据合规性下发网络访问权限,802.1x认证可提供端口
级的强准入认证方案,并支持认证授权、合规检查、隔离修复、访问控制“一站式”的全流
程接入管理。
802.1x是联动交换机进行EAP认证,最终目的就是确定交换机端口是否可以通讯,对于
一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功
就使这个端口保持“关闭”状态,此时只允许802.1X的认证报文EAPOL通过,此认证技术方
案兼容国内外大多数常用交换机,支持有线和无线网络环境下的接入认证。
优势特点:
支持多种认证源联动认证,AD、LDAP、Email、HTTP第三认证源无缝联动认证
端口级的入网控制强度,适应强入网控制需求
支持复杂网络环境的认证,支持有线、无线、手持终端、HUB环境的入网认证
支持多种认证绑定控制策略,多条件、多角色绑定认证、账号有限期、在线数量限制
支持多种认证方式,账号、主机、MAC认证、快速认证
7
支持多种逃生方式,双机热备HA、冷备、一键逃生、第三方服务器异常自动放行、认证
源缓存机制
3.2.4MABMac认证
企业用户网络中存在大量的哑终端设备,如:网络打印机、视频会议系统、IP网络电话
等设备,如何保证接入是否合法?如何进行接入的有效控制?
对于此类不能安装客户端的哑终端设备需要合法入网时可采用此方案部署。适应企业大
量分散哑终端设备的入网控制,VIP终端的放行等,如:网络打印机、网络电话等,防止非法
设备接入企业网络,造成安全隐患。
其采用联动交换机的MAC认证转发特性,将哑终端的MAC地址通过交换机转发至NAC服
务器进行认证,NAC判断设备是否在白名单库中,如在白名单中进行自动放行,否则禁止接入
网络,可支持同类型哑终端设备的快速批量添加,减少添加和运维工作量。
3.2.5入网合规检查
天擎合规检查策略会检测终端入网安全状态,能快速定位发现入网计算机终端的安全合
规情况,并利用其终端ACL防火墙隔离机制立即将这个设备与网络上的其它设备隔离起来,
只能够访问自定义的隔离修复区或修复服务器,同时依照策略进行引导式修复或一键修复。
对于已确认合规终端,也可调用周期监测或定时监测引擎,对该终端的安全状态进行多次评
8
估,如发现运行阶段又不符合安全检查策略,进行再次隔离或提示,这种具有安全隐患的终
端禁止其访问企业核心资源,保证入网终端的安全基线是标准的、可控制的,可修复的,并
提供一系列入网安全状况统计和终端合规性详情等报告。
入网合规策略支持多种灵活的处置方式,可只提示不隔离,提示并隔离,手动隔离等多
种违规处置手段,适应不同入网强度需求。
在天擎安全检查策略配置中心,管理者可轻松定义安全检查策略,确保入网访问的终
端是安全可信的,天擎安全检查策略中心提供多种安全检查机制,并不断进行安检库的维护
和更新。
★支持多种入网合规检查策略,全面隔离“危险”终端
1、防火墙是否启用检查
2、系统空密码检查
3、U盘是否开自动启动检查
4、远程桌面是否开启检查
5、文件共享是否开启检查
6、Guest账号是否开启检查
7、IE代理是否开启检查
8、IP获取方式检查
9、是否登录域检查
10、服务黑白名单检查
11、进程黑白名单检查
12、软件黑白名单检查
13、杀毒软件检查
9
14、外联访问能力检查
15、补丁检查,检查补丁完整性
16、注册表检查,检查注册表关键值是否存在
17、关键位置文件检查,检查指定路径文件存在性
18、操作系统检查
19、是否加入域检查
20、文件共享使用权限检查
21、账号活跃检查
★支持入网合规检查全流程管理,支持认证检查、入网检查、周期检查、定时检查、
失败提示/隔离、手动隔离、修复区定义、一键修复、引导修复等入网合规检查流程,
灵活满足多种强度入网合规性策略。
3.2.6访客注册申请
企业有很多外包人员或访客,如何确保这些人的接入是否合法呢?资源的访问权限如何
控制?
提供访客入网的管理,访客可自注册账号、短信验证码方式申请入网,通过管理员授权
后,才可访问企业资源,支持访客用户注册申请、访客认证、访客的权限管理,用户审批流
程,经管理员审批或系统自动审批后才能入网访问,审批结果可邮件通知用户。
10
3.2.7第三方认证源联动
当前企业网络结构复杂,账号服务器多样化,如何保证和这些服务器实现联动,统一认
证管理?产品在网络适应性上提出兼容多种认证源的认证方式,支持本地用户、AD认证、LDAP
认证、Email认证、Http认证适应用户不同网络环境,满足用户实名制认证、集中统一管理
的入网需求。
3.2.8安全管理与接入访问控制
利用天擎强制合规组件的认证授权、入网动态检测和合规检查策略管理,可针对接入用
户和终端进行网络访问控制功能,可实现轻、中、高级别的准入控制效果。
不符合入网合规策略的计算机终端进行隔离,并友好提示,提供向导式的安全修复
指引。
拦截可疑的计算机终端或设备、恶意进入用户,支持强制下线和账号锁定。
核心区域的访问隔离,接入层边界的访问隔离、终端层面的访问隔离,可实现轻、
中、高级别的准入控制。
对接入用户进行动态VLAN的分配管理,有效的对网络访问权限进行控制。
终端防火墙ACL控制策略可对不同安全级别的终端进行细粒度的隔离访问控制,根
据安全检查策略进行修复区隔离。
3.2.9认证绑定管理
准入系统支持多种条件绑定认证,即用户和终端、交换机、VLAN、交换机端口等进行绑
定认证、提高入网安全强度,支持客户端的802.1x认证模式。也可设置用户账号的入网有限
11
期控制和账号在线数量限制等,实现入网认证的强管控。当认证的同时需要关联某个执行程
序,也可配置关联路径进行认证后的联动执行。
3.2.10动态在线连接及强制下线
支持认证用户在线状态详情查看,在线时长,让管理员实时掌握用户接入网络情况,并
支持用户违规强制下线和账号锁定,确保具有安全隐患的接入终端对网络不造成影响。
强制合规(NAC)对用户访问网络资源可使用的时间进行动态计算,实时查看用户在线时
长和剩余时间,对用户的入网情况进行跟踪和审计。
3.2.11用户管理
系统除具有和多种第三方认证源联动认证外,还具有本地用户管理库系统,支持账号的
有效期管理、可在线用户数量限制、用户认证后VLAN的动态切换、用户自注册和审批流程、
密码重置等管理功能,并支持LDAP/AD服务器的组织架构和用户的导入和更新、用户和组织
映射关系导入等。
3.2.12设备例外管理
企业用户网络中存在大量的哑终端设备,如:网络打印机、视频会议系统等设备,并分
散在各地,而企业网络在透明状态,如何保证这些哑终端接入网络是安全可控的呢?系统提
供设备的白名单管理或特殊通讯端口放行,当添加到白名单的合法设备或特殊通讯端口可以
12
直接接入网络,反之非法设备不允许接入,此方式可适应于多种认证技术方式,如:Portal
和802.1X认证方式都可支持。
3.2.13强制隔离
用户正常的802.1x认证成功后,如果认证会话没有过期网络会持续可用,产品专有的认
证客户端可以实时接收认证服务器的控制指令,管理员可以在任何时候强制在线的用户和终
端下线、注销当前登录的网络,确保非正常情况下可对终端入网进行控制和强制隔离处理。
3.2.14主机身份识别
系统支持主机快速认证方式,提供开机即入网,认证过程后台执行,在不影响用户日常
习惯体验上又达到了安全入网的目的,天擎准入的主机身份主要是根据终端的MID唯一标识
符、作为产生主机身份算法的因子,安全强度大于传统的MAC方式认证,可避免用户更改mac
地址来伪造其他主机身份绕过准入控制的缺陷。主机方式认证在确保安全性的同时又达到了
快速接入网络的需求,此方案主要适用于没有统一认证源的大型企业用户。
3.2.15接入和安检日志报表
系统支持详尽的接入认证和安全检查日志报表功能,可提供接入认证日志和报表、安检
日志和报表、安全检查统计分析等多维度信息数据的查询审计,并可形成报表查询和导出,
管理员一目了然,管理员可通过数据全方位的追溯和分析终端接入和安全状态。
系统提供对接入认证终端的认证时间、用户名、接入计算机名、IP、MAC、组织、接
入交换机、端口、认证状态、用户类型、认证详情等接入日志信息。安全检查支持计算
机名、IP、组织、检查时间、模板名称、检查项、违规项、入网隔离、详情等安全
检查信息,提供可按日志详情、按分组统计、按违规项统计、违规次数统计等多种安全检查
统计分析。
13
14
四
.
产品技术特点和优势
4.1
设备集中管理
强制合规(NAC)引擎设备可基于天擎集中统一管理,可在天擎“一体化”平台对引擎
设备进行集中策略下发、设备批量升级、设备统一监测、区域分权管理等方式,适应超大规
模用户的部署,多种灵活的手段满足大型网络架构下的业务管理需求,解决了传统方式的独
立管理,散兵模式的部署难题,针对大型用户有多台甚至百台NAC引擎时,这种方式给部署
管理上提供了便利,也确保了策略的快速响应和设备的集中监管,并可为天擎“一体化”平
台提供相应的入网数据支撑和业务联动措施,真正实现了设备分布式部署、集中化管理的要
求。
当NAC引擎分布式部署时,多台NAC引擎的监测管理,可通过仪表盘来查看引擎资源、
端口流量、监听数据包、运行日志、网络抓包、流量排名等可视化数据
15
4.2网络环境适应性强
强制合规(NAC)支持多种认证技术及方案,应用准入、802.1x、portal、MABMAC可适
应企业复杂网络环境下的终端接入控制和安全合规性要求,产品具备扩展多种第三方认证源,
支持AD、LDAP、Email、Http等多种第三方认证源无缝联动认证,达到企业实名制认证、统
一管理要求,从而使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
采用旁路,分布式、集中管理的方式,来满足超大规模网络的部署环境,对用户环境
提出三不原则,即:不升级改变网络、不造成单点故障、不影响网络性能。最大化的支持企
业内部网络准入控制需求。支持有线和无线环境下的认证,兼容国内外大多数常用交换机,
设备预留开放SNMP接口可和其他第三方厂商设备联动管理。
4.3软硬一体化设备
NAC引擎为标准机架式独立设备,系统为嵌入式结构,软硬件一体,内置Radius认证,
无需搭建第三方服务器,支持HA双机热备、双冗余电源、高端型号支持光口的扩展,满足不
同网络环境下的兼容,通过在天擎控制台进行NAC引擎的集中管理和监测,统一配置策略等
操作,真正实现“分布式部署,集中式管理”模式。
16
4.4支持多种容灾和逃生方式
当使用802.1x认证时,对设备的连续运行要求比较高,NAC在设计时考虑各阶段的逃生
措施,支持双机热备、冷备、一键认证放行、软Bypass、域认证缓冲、第三方认证源异常自
动放行等多种逃生方式,确保准入系统自身或用户环境在各阶段、各环节有可能出现问题的
地方都有逃生响应方案,确保非正常情况下,不影响用户网络和业务系统的正常运行,提高
NAC引擎的可靠性。
4.5
多种入网认证凭证
天擎强制合规组件支持多凭证认证方式,支持用户名密码、主机MID、MAC、快速认证
应用准入等多种凭证认证方式,支持多条件绑定认证入网,满足用户入网多样性需求建立多
层入网防护体系,兼容与AD、LDAP等联动认证。
4.6入网检查、隔离、修复一站流程
天擎强制合规组件支持多种入网安检策略和修复行为,隔离不安全入网终端,进行引导
式修复,修复成功以后才能入网,时刻保障客户的入网安全基准线,并提供不断更新的安全
检查引擎和规则库升级,具有较好的可扩展增值性。
4.7细粒化的访问控制
系统支持访问控制策略可基于下发动态VLAN、主机ACL、认证后GhostVLAN、多种认证
绑定方式实现用户和终端的接入认证访问权限管理,主机ACL可精细到通讯协议、IP地址、
端口通讯、黑白名单等更加细化访问控制能力。
4.8
统一授权管理
天擎强制合规(NAC)支持设备和功能的权限管理,当采用集中管理部署时,支持上级
管理员授权的机制,可配置不同区域管理员只能对自己管辖的NAC设备进行操作和状态监测,
这种授权机制提供大型组织机构的分区域管理能力,超级管理员可分配不同的功能和不同的
设备组到下级管理员,下级管理员只能操作所属区域的NAC设备,并可对细分功能进行控制,
一体化授权机制完美的解决不同管理员配置访问权限的问题,便于大型用户的部署需求。
17
五
.
产品部署方案
5.1
小规模集中式部署
如某企业终端集中在一个区域管理范围或总部核心交换设备通过光纤、专线等大带宽
网络连接二级单位等机构,光纤和专线数据传输带宽比较大,能够保障服务器和终端的认证
数据通讯,这两种情况我们可以在总部核心交换上集中部署NAC引擎设备,并做双机热备,
如果用户认证终端规模比较大,这种部署方式需应对大量的数据通讯,这就要求服务器的性
能比较好,数据处理能力强,保证设备服务的持续和稳定运行,需选配天擎强制合规(NAC)
高端系列产品。
集中式部署方案的优点是实施部署简单,成本低,天擎“一体化”控制台统一管理,
但缺点是风险性比较大,当发生故障时影响面会比较广,对于准入控制来说此种部署方式适
用于规模比较小,相对比较独立的网络环境部署。如:分支机构比较多、连接方式是窄带宽
的情况下尽量采用分布式部署,准入设备下移,减小风险隐患。
18
如图所示:天擎强制合规(NAC)硬件设备采用旁路部署,并做双机热备、可减少对企业
现有网络环境的改动,避免造成单点故障,对于那些对网络连续性要求极高的企业,其优点
是它对客户网络环境和网络性能无任何影响,不会引入新的故障点,方便统一管理。
5.2
大型网络分布式部署,统一管理
天擎强制合规可适应超大规模用户的部署,大型用户具有多分支机构,分支机构采用专
线或站点对站点VPN和总部网络相连,根据用户网络的实际拓扑情况,为确保设备的安全稳
定运行,需在分支机构独立部署NAC引擎,针对大型用户有时需要部署几十台甚至百台NAC
引擎来进行接入控制管理,并在天擎“一体化”控制台对引擎设备进行集中管理、策略下发、
设备监测等操作。
由于各分支机构的出口流量、终端数量、采用的认证技术方案可能不同,产品型号的选
择视客户具体网络情况和终端数量而定,部署采用分区域、分安全域部署,根据实际网络环
境,每个安全域部署一台(套),采用“分布式部署,集中式管理”模式部署。
NAC设备引擎分布在各子公司核心处,提供各子公司终端认证服务,监测各分公司的终端
入网活动和历史数据,并送入到天擎一体化平台进行数据的整合和分析,提供全网的入网安
全报表;天擎一体化控制台又可对各区域NAC设备进行统一业务配置、安全检查策略的下发、
管理员权限控制、升级管理等集中管理方式。NAC可扩展多种认证源,又可达到身份认证源的
统一管理,如:支持企业的LDAP、Email、HTTP等标准第三方服务器,从而真正实现“分布
式部署,集中式管理”的企业统一管理思想。
此方案的优点是故障风险比较小,安全稳定,设备下移管理力度强,对于各种准入方式
都适用。
19
5.3天擎多级架构下的部署
大型网络环境下天擎也可能采用多级部署方式,便于区域权限的细分控制管理,NAC引
擎也可适应这种方式,可配置NAC引擎和同级天擎服务器进行对接模式,同级NAC引擎对
接同级天擎服务器进行管理,灵活控制。
20
如图所示:天擎强制合规(NAC)设备接入都是采用旁路部署方式,对于各种认证方式都
适用,如是WEBPortal技术方式,要监测数据流,在网关旁路镜像,需在核心出口处部署,
对于802.1X认证技术方式,只要在通讯可达处部署设备即可,交换机配置对应的NAC引擎认
证地址,并确保该地址与交换机的IP可通讯。
5.4HA
双机热备及逃生方式部署
天擎强制合规(NAC)支持双机热备份的部署方式,主要是解决硬件的可靠性问题,其
中一台服务器出现故障,另一台就承担应用服务器管理的全部任务,服务器通过网络互连,
互为主备冗余关系,配置数据完全同步。
产品在设计时考虑各阶段的逃生措施,准入自身故障情况下可提供多种逃生机制,如:
双机热备、冷备、软Bypass等多手段逃生方式、在用户自身网络或认证源出问题情况下提供
一键认证放行、域认证周期缓冲、第三方认证源异常自动放行等逃生方式,确保准入系统或
用户环境在各阶段、各环节有可能出现问题的地方都有逃生响应方案,确保非正常情况下,
不影响用户网络和业务系统的正常运行,可靠性高,做到为用户所想,人性化逃生。
21
双机热备部署示意图
如图所示:采用双机方式部署,配置双机管理地址,并配置双机切换的浮游地址,交换
机802.1x认证Radius服务器地址指向浮游地址,为再确保安全和稳定性一般会在交换机上
在配置第二个Radius服务器指向,此Radius服务器地址可配置主机或备机任意其中一台的
管理地址。即当主机故障切换到备机提供认证服务,当双机系统故障无法提供漂移时,交换
机自动切换到第二Radius服务器认证,确保万无一失,保障业务的稳定运行。
5.5双机冷备逃生方式部署
天擎强制合规(NAC)除了支持双机热备的部署方式以外,还可采用冷备方式或热备冷
备混合模式部署,双重保险,再次提升系统的稳定运行,解决硬件的可靠性问题,冷备需在
交换机上配置双Radius服务器,交换机无法得到第一Radius服务器的认证响应,会自动切
换到第二Radius服务器进行认证,这样其中一台服务器出现故障,另一台就承担应用服务器
管理的全部任务,如果还要提升安全稳定,还可采用热备和冷备混合模式,如果双机热备设
备出故障,当然这种可能性比较小,在提供一台冷备服务器做冗余,热备浮游地址无响应时,
会切换到冗余服务器进行认证。
22
冷备需在交换机上配置双Radius服务器,交换机无法得到第一Radius服务器的认证响
应,会自动切换到第二Radius服务器进行认证,这样其中一台服务器出现故障,另一台就承
担应用服务器管理的全部任务。
这种方式主要应用于802.1x的逃生方式部署,应用准入可不部署,应用准入采用网关
旁路监听,设备故障后即可自动会放行。