我们面临的内部网络安全问题
长期以来,人们谈到网络安全时,目光都集中在外部病毒入侵、黑客攻击等问题上,但是常常忽略来自内网的威胁。从而导致常规的安全防御理念往往局限于网关级别、网络边界等方面的防御,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。但是,随着近年来由内网引发的安全事件越来越多,内网安全也逐渐成了大家关注的焦点。
如果不对内网安全加以严格控制,会导致什么问题呢?让我们举例说明如下:
任何人随意接入企业内部网络,信息不安全因素大增;
病毒感染率增多,网络瘫痪机率增加;
出现故障盘查难度大,解决问题时间长;
企业内部的保密资料有可能被窃取;
网络管理难度大,无法杜绝恶意破坏。
……
随着大家对内网安全的越来越重视,业界开始提出并实施各种各样的技术和方案,而安奈特的安全认证解决方案则是其中最有特色的一个。
安奈特的AT-ST系列硬件安全认证解决方案
安奈特的AT-ST系列是一款无需专业知识便可快捷地利用证书等方式来实现网络安全、可靠认证及通讯控制(IEEE 802.1x)的产品。通过它可以构成只有注册用户才能访问的网络环境,对于有线局域网和无线局域网的安全接入控制特别有效。
AT-ST系列是集CA认证机构功能、EAP-RADIUS功能、LDAP服务器功能、简易DHCP服务器功能、SNMP功能、NTP(Client)功能于一体的认证服务器设备,能够与支持IEEE802.1X认证的无线LAN访问点或交换机等一起进行EAP-RADIUS认证,从而在网络的入口阻挡非法用户。
AT-ST系列的基本功能包括RADIUS服务器、组・策略设定、电子证书等等。
RADIUS服务器
AT-ST系列可对所有网络接入进行集中认证,包括有线、无线、外网接入等等,我们都可以将其进行接入控制,并对该用户进行授权,而该用户则可以获得相应的权限去访问对应的资源,从而保障了内网信息的安全。
组・策略设定
AT-ST系列可以通过访问者的身份和所在的位置等设定「组・策略」,从而保证网络的安全。一下是一个应用案例。
通过使用支持VLAN分配功能的IEEE802.1X交换机或无线访问点,AT-ST系列可以在连接用户认证以后,对该用户所连接的端口进行VLAN的切换。
途中给出了一个案例,当业务部的员工接入到无线AP中时,首先无线AP会向AT-ST进行认证数据的中转,当认证成功后,该员工被分配到业务部的VLAN中,获取他应有的权限(比如访问业务部服务器等),而技术部的员工接入时,同样需要认证,完成认证后被分配到技术部的VLAN中,获取他应有的权限。而当业务部的员工电脑出现故障,技术部的人员移动到业务部进行故障处理的时候,AT-ST可以仍然将他分配到技术部的VLAN中,按照预先设定的权限对他进行资源访问的控制,这样就可以让他顺利地处理故障,也从内部避免了信息泄露等安全事件的发生,从而保障了内网的安全。
我们也可以在交换机上设定一个不需要认证的Guest VLAN,该VLAN只有有限的权限,比如只能访问互联网等。当有客人来到业务部需要连接网络的时候,会自动进入GUEST VLAN,只能访问互联网而不能访问内网资源,这样既方便了来宾使用,又保障了内网安全。
电子证书
AT-ST系列内置了电子证书功能,并提供简单易用的电子证书管理,这是AT-ST系列独具特色的功能,可以将内网安全的级别提高到金融机构的水平。网络管理人员不需要专业知识,通过两步操作就可以发行用户证书,也可以发行服务器证书。
通过一张电子证书,可以实现所需要的全部功能,包括IEEE802.1X认证(EAP-TLS)、在VPN中的TLS认证、SSL Web证书、E-Mail签名、加密(S/MIME)等等。
无线AP支持
在无线网络应用中添加AT-ST设备,可以将它与支持IEEE802.1X的无线访问点组合后,可以达到支持IEEE802.1X的无线LAN客户端的认证服务器功能。
通过使用EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP等认证,并用可靠的客户端进行认证,通过该设备中WEP键的动态变更,来防止固定WEP容易因泄漏而导致的不安全网络使用。同时还支持MAC地址认证。通过此功能进行MAC地址认证后,可以进行基于EAP-TLS的认证,能够加大与强化无线网络的安全机制。
高可靠的冗余架构
另外,AT-ST系列还支持冗余结构以及快速、精确的备份和恢复,保障整个系统的正常运行。两个系统可以设置在不同的场所,通过TCP/IP实现各种信息的同步。
综上所述,采用AT-ST系列,可以实现以下主要功能:
支持无线/有线局域网基于端口的各种登陆认证,防止非法入侵。
私有数字证书的发放和失效管理。
网络通讯加密。
可根据客户所在区域进行分组,并分别设置访问权限。
单独设立管理与认证的网络端口,杜绝了管理端口被盗用的危险。
内建双服务器备份,备份设置简便,系统具有极高的稳定性。
其他丰富的网络管理功能。