企业办公网络中公共办公区域安全接入方案探讨.ppt

张建强 一、企业办公网网络现状 二、目前公共区域的接入控制手段及比较 三、公共区域接入控制需求分析 四、公共区域接入控制方案设计 五、方案特点和创新点 六、简化网络方案建议 七、总结 一、企业办公网网络现状 目前办公网安全措施现状 内部有线办公网络的网络安全建设方案已经比较成熟，有成型产品来应对各种网络安全的威胁； 包括无线网络在内的公共办公区的安全建设正在起步。多分布在外来人员最多的会议室、外协工作区，企业机密数据外泄的可能性大大增加。 公共办公区的特征。 办公网的公共办公区域是指流动人员相对较多的办公区域，比如会议室、用于接待外协人员的办公室； 既有内部员工又有外来人员，使用网络资源的权限不同，有些只能上互联网，有些可以访问内部办公网； 人员变更频率大，多为短期使用，人员账号不易固定； 每个人的坐席位置不固定，不易进行终端设备的端口绑定； 同一时间内对网络接入的请求会较多，比如大型会议的召开、有外协人员的设计集中编制。 网络结构上多采用一个无线AP加少数几个网口 接入控制是重要的解决办法，从源头防止外来人员入侵 目前常用管理措施 不设防，用户找到网络即可自动接入； 使用统一的密码和权限接入，所有用户都使用统一的密码进行上网认证，认证成功后获得的权限也是一样的。这种方式的问题：密码的定期更新、用户的权限划分。对内部人员的工作造成不便。 无线网络只能上互联网，有线网络可以上办公网。对第二种控制方式的补充，以方便内部员工的工作。 二、目前公共区域的接入控制手段及比较 绑定mac地址。 使用BRAS（Broadband Remote Access Server，宽带远程接入服务器）设备进行接入控制 PPPoE Web认证。以WEB页面为登录认证界面的认证方式。 802.1x。基于端口的网络访问控制技术，常被用于WLAN的接入认证。 WLAN固定密码接入。WPA（Wi-Fi Protected Access Wi-Fi网络安全存取）协议或者WEP（Wired Equivalent Privacy有线等效协议）协议设置一个或一组固定密码，用户只需输入正确密码即可接入网络。 三、公共区域接入控制需求分析 网络地址按需分配，及时释放，有效利用网络地址。对人员流动性很大的公共办公区域来说是非常重要的。 能够根据用户身份分配不同上网权限。分为内部员工和外来人员，内部员工可以访问互联网和局域网；外来人员只能访问互联网。 不需要客户端程序。客户端程序的升级以及安装对于维护人员来说，工作是相当大的。 能够简单有效的管理用户密码。 提升敏感区域的安全级别。 四、公共区域接入控制方案设计 WEB认证＋BRAS＋短信随机密码认证＋Radius＋MAC地址二次验证的接入认证方案 认证流程 五、方案特点和创新点 使用固定密码和短信随机密码的双重密码认证方式，与传统认证方案的最大区别，有效控制网络接入，安全防护能力有明显提高。也可以只采用短信随机密码的认证方式。 可以根据用户身份分配不同的网络访问权限。内部员工接入网络后可以访问内部办公网和互联网，外来人员接入网络后只能访问互联网和同一网段内的其它电脑。这对公共办公区域的网络安全管理是非常重要的。 终端不需要安装客户端，通过IE、FireFox即可实现接入认证； 不需要对现网进行大规模调整，只需要在汇聚层上将网络接入请求转交给新增的BRAS设备； 架构上属于开放性的平台，易于维护和扩容。RADIUS服务器和WEB服务器都属于应用层的应用系统，可以根据实际需要为用户量身定做出灵活的控制用户接入认证协议； 采取二次地址分配，节省网络资源。 六、简化网络方案建议 该方案充分利用现有网络设备，如MA5200F、交换机、AP等，新增的设备只有PC Server一台，在不进行大规模投资的情况下即可实现分类用户的接入控制。不过因为该方案有一部分软件开发的工作，需要调用研发资源进行开发。 七、总结 基于WEB认证＋BRAS＋短信随机密码认证＋Radius＋MAC地址二次验证的接入认证方式是符合目前公共办公区域接入认证需要的，为企事业单位（特别是已经具有短信平台的IT、电信类企业）解决公共办公区域的网络安全问题提供了一种新颖的解决方案。 企业办公网络中公共办公区域安全接入方案探讨 1、DHCP获取临时地址 2、WEB页面认证 3、获取正式地址访问网络资源 只能设定统一密码，密码定期维护麻烦 无法划分不同权限 加密算法易被破解，安全级别低 固定密码 能够实现简单的接入控制 WPA、WEP 界面可定制性差 需要客户端软件 固定密码 认证流程简单 802.1x 计费功能较弱， 在第7层的认证第2层的接入权限，对BRAS设备要求较高 固定密码 适用IE浏览器登录，无需特殊客户端软件， 界面和功能容易进行自定义开发