更新时间:2024-06-13
需求背景
某互联网公司内存在大量终端设备,这些终端设备没有经过可信认证就随意接入内部网络,给内网安全带来了极大的安全隐患,如携带病毒接入导致病毒蔓延等威胁。同时,这些终端接入网络后访问权限缺乏管控,给业务系统带来极大的威胁。该用户需要一种既能做到可信接入内网,又能对终端进行有效管理,确保不可信、不合规的终端不能接入网络。其中,为了防止研发部门泄露公司源码,需要禁止其非法访问外网和禁止接入U盘等存储设备且办公区用户访问内部业务系统服务器时禁止访问互联网,访问互联网时禁止访问内部业务系统服务器。用户的网络拓扑如下图所示。
需求分析
针对该用户的需求进行解读,可通过以下几个功能点来进行具体实现。
- 802.1X认证:对终端上网用户做强管控,未通过认证不能访问内网服务器资源和外网资源,满足可信接入的需求。哑终端设备免认证上网。
- 杀软检查:要求终端上网用户必须安装公司要求的杀毒软件。
- 非法外联检查:禁止研发部门PC非法访问外网行为。
- U盘管控:禁止研发部门接入U盘设备。
- 分时上网:满足办公区用户不能同时访问内网服务器和互联网的需求。
配置步骤
一、配置802.1X认证。
1、进入[接入管理/接入认证/802.1x接入认证],勾选启用按钮开始配置。在[认证方式]启用本地密码认证。
2、选择本地密码后,在[接入管理/用户管理/本地组/用户]栏添加本地用户。
3、接入交换机802.1x配置
对应交换机启用802.1x功能,认证服务器选择radius,radius服务器指向AC,交换机配置请参考《交换机802.1x配置工具V2.0》 。路径:自助服务/工具专区/交换机802.1x配置工具。
4、通过SNMP获取终端MAC地址。配置SNMP服务器,需要交换机开启相关服务,在[接入管理/联动对接设置/跨三层取MAC],启用跨三层取MAC识别。
5、认证助手配置,在[接入管理/准入客户端配置]中勾选[开启准入认证客户端的802.1X功能]并设置准入客户端网关地址。
6、点击[点击下载准入MSI安装包]下载准入插件安装包,或者通过终端PC访问互联网AC重定向准入客户端的安装页面来进行下载,也可手动访问(http://ACIP/sinstall/sinstall.htm)。
7、下载解压之后以管理员权限安装singress.msi,注意勾选开启准入认证客户端802.1x功能才会生成快捷方式。
8、安装完成之后会在桌面生成快捷方式。
9、用认证助手时注意右上角选择正确的网卡。
二、配置杀软检查。
1、在导航菜单中的[接入管理/终端检查/检查规则/终端插件检查规则],然后点击<新增>,然后选择查杀软件规则。
2、在杀软检查规则中填入规则名称、规则类型、规则描述,勾选EDR终端防护,同时设置检测病毒库未更新的天数为30天,超过30天病毒库未更新则认为是违规。
3、在[接入管理/终端检查/检查策略]中新建终端检查策略,引用步骤11中创建的规则,同时选择适用用户。
三、配置非法外联检查。
1、在导航菜单中的[接入管理/终端检查/检查规则/终端插件检查规则],然后点击<新增>外设插件检查规则。填写好规则名称,规则类型、规则描述,并在[检查项配置]勾选<连接外网>。在违规设置处设置[违规处理]为断网。
2、新增检查策略,引用步骤13的规则类型,选择适用对象为研发部门。
四、配置U盘管控。
1、在导航菜单中[接入管理/终端检查/检查规则/终端插件检查规则],设置规则名称和规则类型,勾选需要禁止使用的外设类型为存储设备。然后在检查策略中关联适用对象。
五、配置分时上网。
1、在导航菜单中的[行为管理/高级选项/分时访问设置],勾选<启用分时访问>,再选择<web分时访问>。
2、在[拥有分时访问权限的用户],选择相应用户。并在[网络划分]中点击<新增>自定义服务器区网络。提交生效。
3、在导航菜单中的[行为管理/访问权限策略]查看自动生成的3条访问权限策略。
效果展示
802.1X本地密码认证成功。
杀软检查未安装EDR终端的终端无法上网并被要求安装EDR软件。
非法外联检查研发部门终端连接外网时无法访问网络,并且网卡被禁用。
U盘管控研发部门终端插入违规U盘等存储设备显示未被加载。
分时访问研发部门终端不能同时访问互联网和内网服务器。