1. 程式人生 > >網關認證

網關認證

網關認證

從簡單的cisco的端口安全到接口EOU認證,再到DOT1X認證在終端安全領域不斷的交替更新。 隨著社會的不斷發展,安全性的要求不斷提升。 終端規範化這種趨勢在默默的進行著,同時入侵手段也是同步發展,使這個終端安全行業不斷地發展。

在中國,無現金支付已經成為潮流,能把這樣一個系統做成潮流,也算是改變了生活的方式。 在這樣的一個環境中, 無線的發展成為了一個啟動器,推動著這個風車不斷的轉動。 它將企業的安全帶到了外面,讓每個人的安全意識得到了有力的提高。 有人說網絡的價值,是信息的交換, 但是現在看來變成了一種習慣,一種生活習慣。

就最近工作中的瑣事,發表一些看法。 總是從事終端安全工作,給我的感受就是坑。 網上有句話說的好,甲方的桌面運維就是修電腦的,乙方的實施就是幫助甲方修電腦的。 下面就802.1x認證和網關認證做一個案例結合目前企業底層網絡形勢進行分析。


客戶需求:

1、內網用戶設備必須符合內部規範要求。

2、不合規設備禁止入網,需要有審計記錄,並且需要讓該設備跳轉指定URL。

3、防止端口終端設備仿冒接入。

4、針對外部人員以訪客模式進行限制權限進行放行。

5、移動端設備使用無線收發短信驗證方式登錄企業外網。

分析:

1、設備規範,這個是個蛋疼的問題。 要規範就必須檢測,要檢測,就要裝軟件,裝軟件就意味著有一波處理問題,還好有外包去裝,這都不是問題。

2、有了第一條規範,跳轉URL就不是問題了。檢測不規範,拒絕接入網絡,這就用到了網關認證,需要讓服務器下發一個指定的URL, 讓用戶的登錄http時跳轉,這個http我就不多說了,不能自定義的產品,那就放棄吧。

3、好了,第三條就比較坑了,這個設備仿冒,這麽多年了,連我自己都經常該ip,改MAC測試這個問題。 然後沒有什麽卵用。 對於終端pc ,裝有Agent設備,做到綁定,是沒啥問題的,機器碼+mac+ip+接口, 這個對應的端口信息可能需要SNMP協議了。 對於啞終端設備,這樣的需求還是放棄,目前沒見過做到的。

4、說到訪客,其實和測試規範化基本一樣,訪客是沒有賬戶的,需要接入內網,登錄網頁跳轉url,申請限時賬戶,或者限制訪問。

5、移動認證,大勢所趨。 這種認證形勢,從車站到公交站臺到酒店商場,基本上無處不在,這種情況的出現讓無線這個產品鏈條爆發性產值增長。 全國性的覆蓋wifi,接入網絡不在是4G利器。 短信、微信、二維碼、這些認證形勢都出現在人們的視野裏。 不滿足這樣的需求,那就比較悲催了。


結構圖:


技術分享


本文出自 “yingaogui” 博客,謝絕轉載!

網關認證