知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

企业安全扯淡之YY内网准入以及划分

发布时间:2014-08-13 15:58:30作者:知识屋

 
by 云舒
2008-04-02

前些时候有人问过我现在怎么不做技术了,其实我也有做,不过没怎么做底层,而主要是以企业网络为主。从06年元月进入yahoo直到现在,我一直在做这些,只是很少写文章了。最近可能会空一点,扯淡一下企业网络的安全。

第一篇就从YY开始吧。这里随便YY一下内网安全的一部分内容,主要是YY赛门铁克的Symantec Sygate Enterprise Protection解决方案,以内网准入和内网划分为主。YY的原因是因为Symantec的Lan Enforcer支持根据客户端的完整性划分vlan,而微软的IAS支持从AD获取信息,按照用户划分vlan。

Symantec的标准做法是在接入层交换机上起802.1x,并且把认证服务器指向Sygate Lan Enforcer服务器,在Enforcer 上设定Radius代理和检测结果授权(VLAN)。那么,当安装了Agent的客户端连接网络时,首先从Sygate Police Server规则,判断自己的完整性。然后将认证信息和完整性信息发送给,最终通过Lan Enforcer发送到radius服务器认证。Lan Enforcer根据radius的认证结果和完整性决定vlan划分结果,并发送到交换机实施。

微软的IAS方案的一种做法,和上面类似,唯一缺少的是完整性信息,但是多出一个去AD获取查询数据,返回用户部门等资料的功能。用户提交的认证信息通过交换机到达IAS,最终到达AD认证。IAS根据用户信息决定如何划分vlan并讲结果发送到交换机实施。

YY开始了。接入层交换机起802.1x认证,认证服务器指向IAS服务器,IAS服务器指到Sygate Lan Enforcer服务器,再指到AD上面。用户端安装Sygate Agent,连接时发送用户信息以及完整性信息,最终到AD认证密码,在Sygate Lan Enforcer认证完整性。如果密码认证失败,禁止接入网络;如果密码成功而完整性失败,划入隔离修复vlan;如果两次检测都成功了,IAS根据AD 的返回信息,划分到该部门的VLAN去。

估计Symantec和Microsoft是不会配合的,不过说不定有第三方的什么产品实现了这种方案,甚至Symantec和Microsoft自己已经实现了而我不知道,因为好久没和这些厂商的售前扯淡了。

 

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜