我們面臨的內部網絡安全問題
長期以來,人們談到網絡安全時,目光都集中在外部病毒入侵、黑客攻擊等問題上,但是常常忽略來自內網的威脅。從而導致常規的安全防御理念往往局限于網關級別、網絡邊界等方面的防御,很多成功防范企業網邊界安全的技術對保護企業內網卻沒有效用。但是,隨著近年來由內網引發的安全事件越來越多,內網安全也逐漸成了大家關注的焦點。
如果不對內網安全加以嚴格控制,會導致什么問題呢?讓我們舉例說明如下:
任何人隨意接入企業內部網絡,信息不安全因素大增;
病毒感染率增多,網絡癱瘓機率增加;
出現故障盤查難度大,解決問題時間長;
企業內部的保密資料有可能被竊取;
網絡管理難度大,無法杜絕惡意破壞。
……
隨著大家對內網安全的越來越重視,業界開始提出并實施各種各樣的技術和方案,而安奈特的安全認證解決方案則是其中最有特色的一個。
安奈特的AT-ST系列硬件安全認證解決方案
安奈特的AT-ST系列是一款無需專業知識便可快捷地利用證書等方式來實現網絡安全、可靠認證及通訊控制(IEEE 802.1x)的產品。通過它可以構成只有注冊用戶才能訪問的網絡環境,對于有線局域網和無線局域網的安全接入控制特別有效。
AT-ST系列是集CA認證機構功能、EAP-RADIUS功能、LDAP服務器功能、簡易DHCP服務器功能、SNMP功能、NTP(Client)功能于一體的認證服務器設備,能夠與支持IEEE802.1X認證的無線LAN訪問點或交換機等一起進行EAP-RADIUS認證,從而在網絡的入口阻擋非法用戶。
AT-ST系列的基本功能包括RADIUS服務器、組・策略設定、電子證書等等。
RADIUS服務器
AT-ST系列可對所有網絡接入進行集中認證,包括有線、無線、外網接入等等,我們都可以將其進行接入控制,并對該用戶進行授權,而該用戶則可以獲得相應的權限去訪問對應的資源,從而保障了內網信息的安全。
組・策略設定
AT-ST系列可以通過訪問者的身份和所在的位置等設定「組・策略」,從而保證網絡的安全。一下是一個應用案例。
通過使用支持VLAN分配功能的IEEE802.1X交換機或無線訪問點,AT-ST系列可以在連接用戶認證以后,對該用戶所連接的端口進行VLAN的切換。
途中給出了一個案例,當業務部的員工接入到無線AP中時,首先無線AP會向AT-ST進行認證數據的中轉,當認證成功后,該員工被分配到業務部的VLAN中,獲取他應有的權限(比如訪問業務部服務器等),而技術部的員工接入時,同樣需要認證,完成認證后被分配到技術部的VLAN中,獲取他應有的權限。而當業務部的員工電腦出現故障,技術部的人員移動到業務部進行故障處理的時候,AT-ST可以仍然將他分配到技術部的VLAN中,按照預先設定的權限對他進行資源訪問的控制,這樣就可以讓他順利地處理故障,也從內部避免了信息泄露等安全事件的發生,從而保障了內網的安全。
我們也可以在交換機上設定一個不需要認證的Guest VLAN,該VLAN只有有限的權限,比如只能訪問互聯網等。當有客人來到業務部需要連接網絡的時候,會自動進入GUEST VLAN,只能訪問互聯網而不能訪問內網資源,這樣既方便了來賓使用,又保障了內網安全。
電子證書
AT-ST系列內置了電子證書功能,并提供簡單易用的電子證書管理,這是AT-ST系列獨具特色的功能,可以將內網安全的級別提高到金融機構的水平。網絡管理人員不需要專業知識,通過兩步操作就可以發行用戶證書,也可以發行服務器證書。
通過一張電子證書,可以實現所需要的全部功能,包括IEEE802.1X認證(EAP-TLS)、在VPN中的TLS認證、SSL Web證書、E-Mail簽名、加密(S/MIME)等等。
無線AP支持
在無線網絡應用中添加AT-ST設備,可以將它與支持IEEE802.1X的無線訪問點組合后,可以達到支持IEEE802.1X的無線LAN客戶端的認證服務器功能。
通過使用EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP等認證,并用可靠的客戶端進行認證,通過該設備中WEP鍵的動態變更,來防止固定WEP容易因泄漏而導致的不安全網絡使用。同時還支持MAC地址認證。通過此功能進行MAC地址認證后,可以進行基于EAP-TLS的認證,能夠加大與強化無線網絡的安全機制。
高可靠的冗余架構
另外,AT-ST系列還支持冗余結構以及快速、精確的備份和恢復,保障整個系統的正常運行。兩個系統可以設置在不同的場所,通過TCP/IP實現各種信息的同步。
綜上所述,采用AT-ST系列,可以實現以下主要功能:
支持無線/有線局域網基于端口的各種登陸認證,防止非法入侵。
私有數字證書的發放和失效管理。
網絡通訊加密。
可根據客戶所在區域進行分組,并分別設置訪問權限。
單獨設立管理與認證的網絡端口,杜絕了管理端口被盜用的危險。
內建雙服務器備份,備份設置簡便,系統具有極高的穩定性。
其他豐富的網絡管理功能。
