ACK网络准入和用户管理方案

ACK网络准入和用户管理 XXX 实名制网络准入和用户管理 方案建议书 北京艾科网信科技有限公司 2009,05 目 录 第1章 概述..................................................................................................................................... 3 1.1 xxx网络建设背景 ................................................................................................................... 3 1.2 网络建设目标 .......................................................................................................................... 3 第2章 实名制网络准入和用户管理方案 ..................................................................................... 4 2.1 建设原则 .................................................................................................................................. 4 2.2 安全需求分析 .......................................................................................................................... 5 2.3 解决方案 .................................................................................................................................. 7 2.3.1 划分安全域 ............................................................................................................................. 7 2.3.2 统一用户认证和管理 ........................................................................................................... 8 2.3.3 基于组和角色的管理 ........................................................................................................... 8 2.3.4 用户自注册 ......................................................................................................................... 10 2.3.5 用户自服务 ......................................................................................................................... 11 2.3.6 强化密码管理 ..................................................................................................................... 11 2.3.7 联动功能-支持外部数据源................................................................................................ 11 2.4 统一认证授权 ...................................................................................................................... 11 2.4.1 Web Portal认证 .................................................................................................................. 12 2.4.2 802.1x认证 ......................................................................................................................... 16 2.4.3 外网和无线接入认证 ......................................................................................................... 18 2.4.4 网络设备Telnet管理 ......................................................................................................... 19 2.4.5 可信任用户上网接入 ......................................................................................................... 20 2.4.6 联动功能-外部RADIUS服务器 ....................................................................................... 20 2.5 IP地址管理 ......................................................................................................................... 21 2.5.1 联动功能-地址变更监测及ARP病毒的防护 .................................................................. 21 2.6 ID日志审计 ........................................................................................................................ 23 2.6.1 完整的ID审计日志 ........................................................................................................... 24 2.6.2 联动功能-支持外部存储设备............................................................................................ 25 2.7 其他功能 ................................................................................................................................ 26 2.7.1 提升现有设备功能，实现ID管理 ................................................................................... 26 2.7.2 支持HA和网络镜像 ......................................................................................................... 26 2.7.3 自身的安全可靠 ................................................................................................................. 27 2.7.4 支持多种预警方式 ............................................................................................................. 27 2.8 方案优势 .............................................................................................................................. 28 2.8.1 灵活性 ................................................................................................................................. 28 2.8.2 易操作性 ............................................................................................................................. 28 2.8.3 易维护性 ............................................................................................................................. 28 第1章 概述 1.1xxx网络建设背景 东莞厚街医院背景资料。 网络建设的基本情况。 1.2网络建设目标 xxx医院网络安全方案，从终端入手整合网络接入控制与终端安全,强制实施统一的医院网络安全策略,从而加强网络的主动防御能力,防止"危险"、"易感"终端接入网络,最终控制病毒的蔓延。增加各业务应用系统和网络基础服务系统的运行能力，以满足xxx业务不断发展的应用需求;优化网络整体运行性能，增强网络的安全性和可管理性，以及xxx医院 HIS系统的可靠运行。 xxx网络系统建设主要为xxx医院HIS系统的可管理性和安全性，对于总体的系统结构要求必须满足如下条件: 1. 实用性、先进性、扩展性和化的结合 , 面向应用，注重实效，确保网络建设能够切合实际，满足使用要求 , 网络体系结构具有开放性，协议遵循国际标准 , 具有良好的可扩展性，为系统升级提供一个良好的途径 2. 系统结构合理、安全可靠 , 系统结构有良好的分层设计，结构清晰合理 , 从各种方面综合保证网络的可靠性 , 各种设备易于管理和维护 第2章 实名制网络准入和用户管理方案 2.1建设原则 xxx网络系统的建设要从工作的实际需要出发，其功能划分、拓扑结构、建设原则等不仅要考虑xxx业务应用的近期需要，还要为系统的扩充和发展留有空间;不仅要考虑系统本身的建设问题，还要考虑系统安全的建设问题。 具体来说，xxx网络系统设计将严格遵守各种相关的技术原则，遵循各种相关的技术标准和规范，整个网络系统设计严格按照以下原则进行: ? 统一用户管理 用户是所有网络行为的发生者，而用户又存在于不同的网络设备中，在传 统的网络中，用户对网络的访问，是由各节点上的网络设备单独进行认证 的。每种设备都会有自己的认证方式及用户权限分配策略。这种现状导致 了用户信息分散且难于管理等问题;同时使用者为了易于记忆不同设备上 的用户名和密码，常使用同一用户名登录不同系统，企业中存在大量的共 用账户现象和重复的弱口令，因此一套易于维护的、统一用户管理的系统 建设迫在眉睫。 ? 统一认证安全需求 对于xxx网络系统而言，对内网用户实行严格的安全认证管理以避免安全隐 患是极其重要的。针对xxx网络系统内部的用户，都要实现网络接入认证。 保证只有合法的xxx网络系统网用户才能合理访问私有数据资源和Internet 资源。 ? 基于身份鉴别的访问控制需求 针对目前网络上大量的IP/MAC攻击，例如ARP病毒、地址伪造、MSN窃听 等，确保使用者与宣称的身份相符，杜绝非法用户的恶意网络访问和试 探，保证资源使用者的合法性。同时考虑对内部用户进行按部门、按级别 进行动态管理，简化网络管理员的工作。 ? 网络行为的“不可否认”的需求 网络行为的“不可否认”需要建立在“授权机制”之上，使用户在系统中 进行某项活动后，能提供物理记录来而无法加以否认，为事后追溯提 供可靠的数据资料。 ? 不改变网络现状的需求 由于xxx网络系统的网络结构和配置已经规划完成，因此在满足其对网络 访问安全的建设要求的同时，要做到不重复投资，减少新系统的追加投 资，并考虑今后网络布局重新调整时的后向兼容性。 2.2安全需求分析 随着计算机网络的日益普及 ,医院信息网络在医院占有越来越重要的位置。在业务上 ,它不仅直接与患者的诊疗过程息息相关 ,而且直接关系到医院财务的收支 ,故其安全机制非常重要。 对于xxx业务系统和其他大部分系统来说，其构成都主要为Client/Server结构，系统流量主要集中在各个应用系统内部，对外部的影响较少。内网目前采取的主要安全措施是交换机划分VLAN，各部门和服务器区通过VLAN和交换机的ACL进行访问控制，只允许部分VLan可以接入互联网，其他Vlan可以访问服务器区。 内网有300,400左右的瘦客户机，瘦客户机采用winCE系统启动，通过RPD连接到终端服务器，内网没有接入控制。根据用户目前的网络情况，用户将面临以下问题: 1. 内网没有接入控制,任何PC可以通过网线直接接入用户的内网，交换机 的端口相当于是网络的入口，如果不做做任何控制，相当于家里面没有 装门; 2. 瘦客户机只有本地密码的设置，没有集中用户认证的功能,帐户和密码 管理维护十分复制，且非常不安全，入侵者有可能借用瘦客户机直接接 入到医院的内网窃取信息或者攻击服务器; 3. 不能自动监测内网的IP/MAC变化信息,一旦非法用户接入、用户私改 IP、ARP病毒爆发，不能快速定位解决问题; 4. 防火墙和交换机的安全策略根据IP制定，不能快速定位到某一个人或者 ID; 5. 未来扩展无线AP网络的安全问题,无线覆盖范围内，非法用户将更容易 接入网络，无线AP的安全主要采用key的方式进行验证，Key很容易被 破解，安全性不高。需要在无线AP现有安全基础之上构建一个更强健的 统一安全认证平台; 2.3解决方案 综合以上分析，我们推荐采用ACK实名制网络准入平台，采用以下技术手 段: , 划分安全域，至少划分:互联网安全域、内网服务器安全域、内网医生 护士安全域、无线安全域、内网网管安全域等，制定详细的安全域互访 策略; , 全网统一用户认证和管理，任何用户都必须先认证后接入内网，确保非 法用户无法获得有效的内网地址。区分瘦客户机和普通PC的认证和管 理; , 监测内网用户的IP/MAC的变化，同时考虑到现行的身份认证技术，支 持对不同认证方式的选择，以及强认证和双因素认证。 , 采用用户组和角色的管理方式，对具有相同安全级别的用户定制统一的 网络访问策略。使安全系统易于管理，便于操作和维护，具有良好的性 价比。 , 实名制的网络日志审计，一旦网络出现问题或者安全事件，通过ACK能 够非常容易的定位到某一个人的ID，责任到人，而不仅仅是现有网络里 面有可能篡改的IP信息; , 尽量不影响原网络拓扑结构、便于系统结构和功能的扩展;不降低网络 信息系统原有的性能特点，同时联动其它现有的网络设备进行统一的内 网安全控制。 2.3.1划分安全域 这个地方配一个拓扑图 2.3.2 统一用户认证和管理 统一用户管理是统一用户认证授权的基础，需要为XXX医院所有的用户创建用户ID和密码。在网络内，大量身份各异的终端用户同时使用网络，多种应用共处于同一网络环境，如访问Internet、共享文件服务器和业务应用系统;不同的设备拥有并维护各自独立的用户信息，支持或要求不同的认证方式。艾科网信的A系列设备就是将企业用户信息集中在一个统一的管理平台上，对不 同访问方式的用户(例如内网有线和无线用户、外网远程访问用户、以及网络设备管理用户等)信息进行统一管理;对不同部门和级别的用户设置用户组和角色进行分类管理，并配合相应的访问设备资源和认证策略。 针对XXX医院瘦客户机，我们推荐两种方案: 1、采用免客户端的方式控制瘦客户机的接入 如果瘦客户机不能安装客户端插件，可以在ACK管理平台部署DHCP认证绑定，将瘦客户机的MAC地址和IP进行绑定。非管理绑定的MAC均强制进行用户身份认证，以杜绝非法用户接入网络; 2、采用客户端插件的方式控制接入 如果瘦客户机可以安装客户端插件，通过客户端插件认证瘦客户机，瘦客户机开机后，需要使用者输入自己的用户名和密码，由ACK统一管理和认证;所有的用户和密码均保存在ACK用户数据库当中，便于管理和维护; 2.3.3 基于组和角色的管理 在内部，终端的使用人员分属于不同的业务部门，具有不同的职能级别，同时大量的网络资源归属于不同的部门使用，因此，建议对这些网络设备进行分组。同时也对各工作场所内的上网用户按部门进行分组，并且按职务级别设定角色。不同的用户归属到不同的用户组并设置相应的角色。将设备组和用户组及角色做权限映射，使具有权力的某类用户才能访问某些网络资源，保护了网络设备的安全。同时也解决了权限划分的问题，例如设置财务组统筹管理所有的财务人员信息，并将主任角色赋予财务主任，这样财务主任除能使用财务组所具有的网络资源外，作为主任的他也具有公司主任级人员的专有权利。 由于艾科网信的A系列是基于用户组和角色进行用户管理，所以当人员角色变更时，例如某用户的职能变更时只需重新指定归属组，不需更改防火墙上复杂的ACL规则，就可以指定新的工作范围中使用的网络设备(这需要与防火墙 进行联动配合)。例如小李从普通的财务人员晋升为财务经理时，网络管理员只需简单的将财务组内的小李的角色从普通职员变更为经理，这样极大地简化了网管人员的配置维护工作。 图2用户、组、角色和访问权限 2.3.4 用户自注册 A系列支持用户自注册功能，在企业网管人员设置了相应的用户组信息后，实际的网络使用人员可以利用该功能自行上网注册个人帐号信息，设置合法的帐户和密码，极大减轻了网管人员的工作量，同时也保护个人信息的私密性。 尤其针对内部临时使用网络的人员， 例如厂家的维护人员或下属单位来的短期合作人员等，管理员设置指定资源访问权限的用户组，则短期使用的人员可以在该指定的用户组的范围内进行自登录的注册操作，减轻了管理员的事务 性的工作量。并且管理员可以通过对该用户组设置有效生命周期，在短期的工作任务结束后，注册的用户和用户组自动的失效。 如下图设置后，实际用户例如学员小李，通过自注册功能将自身注册入qa-grp组，具有tester角色之后，就自动拥有了管理员为qa-grp组tester 角色所赋予的网络访问权限，并且小李的注册信息将于该培训班结束的2007-12-31日上午8:00自动失效，此时管理员不用再做资源回收/用户删除等 任何繁琐的管理工作。 图3 用户自注册设置 2.3.5 用户自服务 A系列提供了用户自服务功能，每个认证成功的用户都能够访问A系列设备的自服务地址，输入自己用户名和口令来修改自己的身份信息或找回密码。这样不但降低了网络系统的管理开支，而且避免了由于网络的复杂性，所导致的网络管理人员的操作失误所带来的重大损失，并体现了密码独自享有的机密性。 同时通过A系列设备和网内邮件服务器或短信发射机的紧密结合，可以将用户的密码信息发送到用户的邮箱或手机中。 2.3.6 强化密码管理 管理员借助A系列系统可以集中定制企业自有的密码策略包括密码强度和生存周期等，定制弱口令字典，以加强用户口令的强度，提升内网安全性。 2.3.7 联动功能-支持外部数据源 A系列设备作为认证服务器时，支持两种用户数据存储手段:即可用A系列设备内部的数据库，也可以充分利用外部的帐户和数据库的信息。 例如:企业内已有或将来建设的LDAP服务器、AD服务器等上保存的帐户信息均可被A系列设备用作外部数据源，并将其用户信息导入到A系列设备的本地目录下。此时管理员尽可在A系列设备上集中完成所有的用户管理操作，系统将自动与外部设备同步用户信息。极大的简化并统一了网管人员对帐户的管理工作。 2.4 统一认证授权 身份认证是实现网络安全的重要机制之一，艾科网信的ID网管平台A系列设备以RADIUS协议为基础，实现了代理和服务器的双重功能，并能结合自身的DHCP服务功能强制对企业内所有的上网用户、远程接入用户以及网络设备管理员用户进行统一的认证和访问授权，把所有未认证的用户据之于门外，使得只有通过认证的用户才能获得有效的IP地址，从而才能获得访问授权，从根本上保证了系统使用的安全性 。 目前市场上的认证授权设备均是基于用户IP地址的，当用户地址变更的时候需要重新调整ACL规则;而A系列设备是以用户组和角色为单位定制基于ID身份的网络访问授权策略，所以同一用户在任何地点接入网络均可获得相同的访问授权，减轻了网管人员的工作量。 2.4.1 Web Portal认证 在一些应用场景下，用户终端是可以通过普通的非802.1x交换机或交换机端口未启动802.1x认证功能进行上网。而我们现在通过将用户终端配置为自动获取IP和DNS方式，并且在接入交换机和三层交换机上起用DHCP中继功能以及相应的路由功能便可以实现跨网段的统一用户入网认证(我们还可以在交换机上启用DHCP SNOOPING功能以确保接入终端都为DHCP分配IP)。采用Web portal认证方式也可以省去在进行802.1x认证时需要在每台终端上安装客户端软件的麻烦。 配置步骤为: 1 配置用户终端为自动获取IP和DNS方式; 2 配置并启动接入交换机和核心三层交换机的DHCP中继功能，将用户终 端的DHCP请求转发到A系列设备上; 3 配置接入交换机端口上的DHCP SNOOPING功能，保证用户终端使用DHCP 分配的IP地址而非静态指定IP地址(需要交换机支持DHCP SNOOPING 功能); 4 在A系列设备上配置本机的网络参数、创建用户组、角色和用户信息、 创建设备并配置启动DHCP服务(注意配置隔离网络参数); 5 配置A系列设备Data1的RADIUS服务; 6 配置接入设备的认证信息并将认证指向A系列设备; 认证步骤为: 1 用户终端接入网络，广播DHCP请求报文; 2 A系列设备上的DHCP服务器获得交换机转发的请求，并为该用户终端分 配一个隔离区IP(QIP)，QIP仅支持该终端有限的网络访问能力，例如 仅能访问同处该隔离区网段的其他终端设备，不具备正常的网络访问权 限; 图4 网络连接信息 3 用户使用浏览器访问任意外网页面时，其HTTP请求都被转发到A系列设 备上，A系列设备则向用户终端推送认证请求页面; 图5 认证界面 4 输入用户名和密码，A系列设备验证该用户的认证信息; 5 认证成功，A系列设备向用户终端分配正常的IP地址，用户可以访问授 权的网络资源; 图6 正在认证中 图7 认证后网络信息 6 认证失败，该用户终端停留在网络隔离区，无法访问内网资源。 图8 认证失败信息 透过以上过程，A系列设备严格控制了用户的网络接入认证，从根本上拒绝了非法用户的上网行为;对于合法用户，A系列设备自动配合系统内的用户管理组件和认证策略授予用户相应的网络访问权限。 2.4.2 802.1x认证 在该应用场景下，802.1x交换机直接控制了用户终端对网络连接点的访问。无论是有线还是无线接入，网络端口只对通过认证的用户开放，未通过认证的用户根本无法访问网络。此种应用方式需要在用户终端安装802.1x客户端软件，配置用户终端为自动获取IP和DNS方式，并配置该交换机将认证请求发往A系列设备。 配置步骤为: 1 配置用户终端为自动获取IP和DNS方式; 2 配置并启动接入交换机和核心三层交换机的DHCP中继功能，将用户终 端的DHCP请求转发到A系列设备上; 3 配置并启动交换机端口上的802.1x功能，配置认证信息并将认证请求 指向A系列设备; 4 在A系列设备上配置本机的网络参数、创建用户组、角色和用户信息、 创建设备并配置启动DHCP服务; 5 配置A系列设备Data1的RADIUS服务; 6 配置用户组的认证策略。 认证过程如下: 1 在交换机的端口上启动802.1x 认证功能; 2 用户终端接入网络，自动向交 换机发送认证请求; 3 输入用户名和密码，交换机将 用户认证信息转发给A系列设 备进行认证; 4 认证成功，交换机开启端口; 用户终端通过DHCP从A系列设备获 得正常IP，用户可以访问授权的网 络资源; 5 认证失败，该用户终端无法使用该物理连接口，更无法访问内网资源。 2.4.3 外网和无线接入认证 针对于单位出差员工和在家办公的员工的远程接入访问，以及企业分支和下属机构的远程通信要求，许多企业采用了虚拟专用网络(VPN - Virtual Private Network)技术。该技术通过在复杂交织的公共网络中的建立一个企业专用通信隧道，即节省了用户远程访问的通信费用，也保护了企业私有数据的安全性，正迅速成为远程访问应用中最为普及的一种方法。A系列设备可以接管在不同的VPN工作模式下的用户接入认证，以移动用户作为Client端利 用 IPSec VPN访问为例，首先配置VPN设备将认证请求发往A系列设备，并在A 系列设备系统中将该VPN设备作为网络接入设备加入设备列表。 配置步骤为: 1 配置防火墙设备的认证信息，并将认证请求指向A系列设备，使过防火 墙的用户的认证均转向A系列设备; 2 在A系列设备上配置本机的网络参数、创建用户组、角色和用户信息、 创建设备并配置启动DHCP服务; 3 配置A1000设备Data1的RADIUS服务; 4 配置防火墙的ACL规则，使用户同构防火墙访问内网资源。 认证过程如下: 1 移动用户终端首先接入 Internet公网; 2 运行VPN Client软件连接 企业VPN设备; 3 VPN设备请求用户的认证 信息; 图10 VPN认证 4 输入用户名和密码(或证书等其他认证方式)，VPN设备将用户认证信 息转发给A系列设备进行认证; 5 认证成功，用户可以访问授权的网络资源; 图11 认证结果信息 6 认证失败，该用户终端无法连接企业的VPN网络。 2.4.4 网络设备Telnet管理 在网中，存在着的网络设备，网管人员通常使用Telnet方式管理和维护这些设备，例如Telnet到8505交换机，在这种情况下，仍然可以由A系列设备实施统一的用户管理和认证功能。避免多人使用同一用户身份进行维护所带来的信息的不一致性。 此时配置交换机 Telnet的认证请求到A系列设备。 配置步骤为(基于已经完成了用户上网认证的相关配置): 1 配置网络设备的Telnet认证信息，将认证请求指向A系列设备; 2 在A系列设备上配置本机的网络参数、创建用户组、角色和用户信息、 创建设备并配置启动DHCP服务; 3 配置A系列设备的相应的认证信息; 4 如该Telnet访问穿透防火墙则相应的配置ACL规则。 认证过程如下: 1 用户终端接入网络后，执行Telnet命令到目的交换机; 2 交换机提示用户输入认证信息; 3 输入用户名和密码，交换机将用户认证信息转发给A系列设备进行认 证; 4 A系列设备返回认证结果给交换机; 5 认证成功，则提示用户成功登录目的交换机; 6 否则，提示用户 Telnet登录失败。 2.4.5 可信任用户上网接入 对于单位网中可信任的终端，例如VIP特权用户，可以设置为不需要经过认证，直接使用网络资源。在A系列设备中有两种方式: ? 使用DHCP:在A系列设备中预先配置可信任的MAC地址信 息，并设置使用该地址的用户信息，当以该MAC地址的终端接入 网络时，系统自动为该用户分配一个有效的IP地址，并在本次上 网过程中绑定MAC/IP/ID(用户信息)。 配置步骤为: 1 配置用户终端为自动获取IP和DNS方式; 2 配置并启动接入交换机和核心三层交换机的DHCP中继 功能，将用户终端的DHCP请求转发到A系列设备上; 3 配置接入交换机端口上的DHCP SNOOPING功能，保证用 户终端使用DHCP分配的IP地址而非静态指定IP地址; 4 在A系列设备上配置本机的网络参数、创建用户组、角 色和用户信息、创建设备并配置启动DHCP服务; 5 在A系列设备上配置用户终端MAC为可信任的MAC，并 绑定用户和MAC，使的该信任的MAC地址的用户不需认证上网。 2.4.6 联动功能-外部RADIUS服务器 A系列设备既可以作为RADIUS认证服务器，也可以提供认证代理服务。当网络中存在除A系列设备之外的RADIUS服务器时，A系列设备处于代理模式的服务器可以将认证请求发送给其它Radius服务器，可以实现负载均衡等功能。 可以跟医院的HIS系统进行联动，A系列作为RADIUS代理服务器，把用户的认证请求转发给后台的HIS系统。HIS系统把结果返回给A系列设备。同时A系列记录下该类用户的网络访问日志信息。这样就把接入控制和HIS系统里的权限结合起来了。并且可以单点登陆。 具体的实现方法需要根据实际情况做相应的开发。 2.5 IP地址管理 A系列设备的地址管理组件除了在用户认证前后为其先后分配隔离区IP和有效IP地址信息外，更在标准的DHCP服务器将IP和MAC绑定的基础上，进一 步将认证用户和DHCP服务分配的IP地址绑定一起，彻底实现了用户、IP和MAC三者的绑定。具体而言，实现了用户和IP地址的绑定、组和IP地址池的绑定、角色和IP地址池的绑定、用户和设备的MAC地址的绑定、组和MAC地址池的绑定。 网络管理员可以针对不同工作岗位的职能，设置不同的绑定策略。 ? 用户和访问设备的绑定:认证用户必须从指定MAC的设备上 网，否则被拒绝网络访问。这样拒绝了假冒操作的可能，并 且能够规范重要岗位的用户的行为。 ? 组和访问设备的绑定:指定的组内认证用户必须从指定MAC 池内的设备上网，否则被拒绝网络访问。严格规范了不同的 职能部门的网络行为。 ? 角色和访问设备的绑定:指定的组内属于某种角色的认证用 户必须从指定MAC池内的设备上网，否则被拒绝网络访问。 2.5.1 联动功能-地址变更监测及ARP病毒的防护 针对目前网络上大量的针对IP/MAC的攻击(ARP病毒、地址伪造、MSN窃听等现象)，根据单位网内网段较多的特点。ACK可对上网用户和设备IP及MAC地址进行实时监测，对发现的非法的网址改动、或冒名行为进行预警。如果接入交换机支持DHCP snooping和DAI功能通过和ACK的联动可以从根本上杜绝ARP病毒。 (1)如果交换机支持 DHCP snooping 和DAI功能 配置步骤为: 1 配置并启动接入交换机端口的DHCP snooping和DAI功能; 2 其他配置等同与4.2.1Web Portal认证的配置步骤。 其阻断步骤如下: 1 开启交换机的DHCP Snooping功能，监视进出端口的DHCP报文; 2 用户终端启动，通过DHCP获得IP; 3 交换机获取终端的IP/MAC和端口的对应关系; 4 用户恶意变更IP/MAC地址，交换机即主动接获终端的ARP报文，并禁止 该接入端口; 5 地址变更的终端被阻断上网。 透过以上过程，可以从根本上解决ARP病毒的问题，以及对网址变更的监管，防止非法篡改网址、非法占用其他用户的地址即假冒他人IP地址的行为，规范内部的上网操作，从而保障系统的安全。 (2)如果交换机不支持DHCP snooping 和DAI功能 在ACK设备上做到 , 自动收集现有网络的IP和MAC。 , 绑定IP、MAC和用户。 , 监测网络中的ARP病毒源。 , 对ARP病毒源报警。 , 对感染了ARP病毒的机器进行封杀。 在启用 IP 保护的子网中，根据管理员的设置不同，对非法主机的处置也不同，显示在监测信息表中的处置栏，合法状态的主机不执行任何处置 1. 选择“告警未知/异常设备”，则处置栏显示为“warning(原因)”，此时只对非法主机实施监视，非法主机仍能正常上网 2(选择“阻塞未知/异常设备”，则处置栏显示为“blocking(原因)”，此时将对非法主机实施阻断，非法主机不能上网，但非法主机恢复合法状态后将自动解除阻塞(如手动设置地址的主机恢复为DHCP 动态分配地址) 3(管理员还可以对非法主机实施手动阻塞，此时在处置栏里显示为“admin-blocking”，非法主机即使恢复合法状态也不能上网，只有管理员解 除阻塞后才可以在 2)、3)两种情况下，被阻塞的电脑上会出现“IP 地址与网络上其它系统有冲突”，电脑不能正常上网，如图所示: 在日志管理->日志->本地系统日志->选择级别alert 中会有相应的报警信息: 对应的日志管理->审计报告->报警事件分析报告->IPAM 报警信息如下: 2.6 ID日志审计 A系列设备作为ID网管平台除了实现将自身的日志ID化之外，还能帮助网络中的其他设备将IP日志转化为ID日志。A系列设备能采集的企业网络资源(网络设备、主机、应用)的日志和ID网管平台的日志，并提供综合分析能力，及时发现与安全相关的问题，实现基于用户行为的全过程审计。 图 12 ID日志审计 2.6.1 完整的ID审计日志 目前的网络设备的日志信息均基于IP地址，而艾科网信的A系列设备将所有的日志自动的转化为基于用户ID的日志，真正做到了基于用户身份的实名制日志审计。A系列设备还可以统一接收外部设备如防火墙、交换机等网络设备的日志，并结合其用户管理信息和自身日志进行综合处理，提供给管理员基于多种线索如用户、网络设备等全程关联的ID审计日志,将管理员从晦涩难懂的IP日志中解放出来，能够迅速指出哪个用户在什么时间通过某个指定的防火墙做了哪些事情，这样对快速解决法律纠纷和定位网络犯罪起到积极的作用。 配置步骤如下(以防火墙日志为例): ?配置防火墙的日志发送信息，使日志发送目的地为A系列设备; ?在A系列设备上导入该防火墙设备的日志驱动并配置针对该驱动的设备信息; ?在A系列设备上添加该防火墙设备并设置接受该外部设备的日志信息; ?管理员登录A系列设备，可以查看该防火墙设备的ID日志信息。 图13 ID日志信息 2.6.2 联动功能-支持外部存储设备 A系列设备支持外挂的日志存储器，将审计日志集中存储保管。便于企业内部的历史追踪。A系列设备可以将ID日志提供给专用的审计服务器，例如专用的日志服务器等。 2.7其他功能 2.7.1 提升现有设备功能，实现ID管理 考虑到泛滥的病毒和黑客的攻击，企业内可能配置了如Sniffer和Firewall等软硬件设备对上网设备进行监管。A系列设备在充分保护企业已有投资的基础上，更是提升老旧设备的能力，将ID网络的概念引入企业网管中，实现基于上网用户ID的实名制管理，使网管人员的操作更加简单化和人性化。 例如利用A系列设备和网络流量管理器如防火墙等的配合使用，通过对不同的用户组分配不同的带宽，能有效地保障某些特殊用户的流量，提高对服务信息质量的可控性。 2.7.2 支持HA和网络镜像 A系列设备具有HA端口，既能单机运行也支持双机热备工作方式。考虑到HIS系统的可靠性要求较高，建议采用HA模式部署两台A系列设备。其内置的系统监控组件实时监视关键性硬件和软件，一旦出现故障，可以得到快速的切换解决，保证系统运行的高可靠性。 图14 HA信息 A系列设备还支持网络镜像功能。当网络需要分级部署多台ACK设备时，只要网络路由可达，ACK设备便可从主镜像设备向从镜像设备进行即时或定时的镜像工作，将用户和设备的变更情况发送到各级设备中。还可配合设备的“拓扑结构”功能对各级设备进行管理。 图15 镜像配置信息 2.7.3自身的安全可靠 A系列设备采用的是艾科网信自主研制的操作系统，将所有无用的TCP端口封锁，极大地减少了系统的漏洞，拒绝了恶意的攻击。 2.7.4 支持多种预警方式 管理员除了利用A系列设备定制内网预警条件外，还可以定制预警方式，包括邮件、短信和信息终端的方式，并且管理员可以根据事件的紧急和危害程度选择配合其它设备设置一种或多种预警方式。 2.8 方案优势 2.8.1 灵活性 A系列设备系统采用分布式、可配置的模块化设计，确保系统的灵活性和适 用性。主要表现在: , 支持多种接入认证方式，内网接入、远程访问、Telnet设备管理等 , ACK设备即可作RADIUS认证服务器也可作认证代理服务器 , 具有自服务和自注册的能力;企业可以定制访问页面 , 对众多数据库及目录服务产品的支持，使得用户可以充分利用原有 资源进行系统建设，保障了用户的原有投资。实际上，数据库及目 录服务两方面的费用在系统中占有相当大的比重 2.8.2 易操作性 A系列设备的人机交互的管理界面全部以B/S结构运行在中文Windows NT/Windows2000/WindowsXP平台上，具有图形化的友好界面，易于用户操作。 A系列设备自身产生的日志，以及通过A系列设备分析的其他网络设备的日志都以用户ID的方式呈现，避免了以往基于IP地址的日志记录。方便管理员跟踪具体用户的网络行为。 在线式系统升级支持保护已有的配置的方式，尤其适合电信行业网络庞大的系统应用，省去了管理员的重复配置工作。 2.8.3 易维护性 该系统以自动方式提供许多管理功能。备份和恢复过程支持A系列设备恢复至故障点。出现系统故障和灾难时，目录支持计划内自动数据备份，并支持数据恢复装置。