终端准入方案

发布 2022-03-09 07:50:28 阅读 1110

背景介绍:所有终端通过支持802.1x的交换机接入,通过核心交换连接不同行政区划的网络,所有登记终端都有分配的ip地址。

准入要求:未登记终端不可以接入业务内网,但是可以访问终端管理平台**agent软件,进行申报资产信息获取合法性验证,验证资产通过后,可以进行准入认证和安全检查,没有通过认证和安全检查的客户端,进入修复区域,修复成功后可以进入业务内网,在业务内网中如果不满足实施安全检查要求,会再次进入隔离区域。

网络环境部署示意图:

部署说明:1、接入交换机配置guest、fix、normal,3种vlan,分别对应访客、修复、业务内网,并且配置guest和fix的ip地址池(如果无dhcp功能,可以指向上层交换);

2、防护平台、资产系统、管理平台部署在server vlan,dhcp服务器(topsec提供的应用)可以部署在server vlan或者normal vlan;

3、接入交换机配置acl,guest、fix、normal都可以访问防护平台服务器。fix、normal都可以访问wsus(补丁服务器)、**(防病毒软件升级服务器)、ftp(软件服务器),normal可以访问所有服务器和应用;

4、radius和ldap均部署在linux下,ldap数据由防护平台中“网络准入”的“准入用户管理”维护(包括vlan号);

准入流程示意图。

准入流程说明:

1、 接入内网交换机的终端配置dhcp之后,交换机会自动将其划分到guest vlan,并且分配guest ip,可以访问防护平台**agent软件。

2、 客户端agent安装时,填写资产编号和管理员分配的ip,登记信息与agent本地的mac地址一起发送到服务器进行合法性验证,验证通过后,会更新资产中的信息,否则会提示验证过程中的异常信息,如果是终端填写错误,可以再次修改,如果是资产信息问题,防护平台管理会协调资产管理员进行信息更正后的重新验证;

3、 agent合法性验证沟通之后,可以进行准入认证和安全检查,如果不能通过,会被交换机划分到fix vlan分配fix ip,可以访问wsus、**、ftp服务器;

4、 agent准入通过之后,交换机会划分终端进入对应的normal vlan,由dhcp服务器根据资产登记的信息分配所有的ip;(资产信息如果更改了ip,则下次agent申请时会得到更新后的ip)

5、 违规内联的监视界面,会发现未完成准入的终端,可以选择对应端口mac过滤,阻断通讯。已经完成准入的终端,如果自行修改了ip、mac或者交换机端口可以通过策略定义自动阻断或者关闭端口,也可以手动控制;

终端问题详解:

1、 没有安装agent的终端如何处理?

a) 会被交换机划分到guest vlan中;

b) 如果终端配置了dhcp则可以访问防护平台服务器;

c) 如果没有配置dhcp,则无法访问所有应用和终端。

2、 agent安装注意事项?

a) 需要从指定的服务器**服务器的agent安装包;(如果交换机支持重定向,则可以自动访问)

b) agent安装包分为正式、临时,正式是针对业务内网中已经在资产系统中登记的终端,临时是针对业务内网中外来终端;

c) agent安装包(正式)需要登记资产编号和分配ip(管理员预先分配的),agent安装包(临时)需要登记资产使用人和联系部门;

d) 正式安装包可以触发自动验证,如果资产没有验证过,且登记信息与申报信息一致,则可以自动解锁;

e) 临时安装包,需要管理员手动验证;

f) agent安装完成之后会可能会提示重新启动操作系统,相关功能会在重启后生效;

3、 通过hub等无802.1x认证的网络设备连接到交换机的认证端口,如果区分合法和非法,合规和违规?

a) 违规内联功能,会根据资产信息生成安全终端的绑定信息,绑定规则包括:ip、mac、port(交换机端口)、agent id(agent唯一识别编号);

b) 违规内联策略中,针对未安装agent的终端,可以设定处理策略,过滤其网络访问(无论是通过何种设备连接,都可以限制其网络访问不能通过交换机端口);

终端评选方案

终端店铺 员工评选方案。一 评选目的。提高终端员工的工作积极性和工作效率,让员工能不断的提高工作的自主性和店铺管理 自我管理能力,使员工更加的认可公司的管理制度,付出就有回报,从而能更好的投身于工作当中,做出更好的成绩,与公司一同发展。二 评选对象。一 店铺 营业时间满一个月以上的店铺 二 员工 已...

终端营销方案

营销专家 王云涛。活动原则 广告终端化 终端娱乐化 活动名称 活动主题 活动地点 活动时间 参加人员 利用终端拦截就是整合所有的广告 产品 渠道等资源,用这些资。源影响顾客体验意向的手段和方式,通俗点来说就是 引 抢 围 逼 即引。导顾客的思路 从竞争对手那里抢顾客 以更多的服务信息来对顾客心理进行...

终端营销方案

利用终端拦截就是整合所有的广告 产品 渠道等资源,用这些资源影响顾客体验意向的手段和方式,通俗点来说就是 引 抢 围 逼 即引导顾客的思路 从竞争对手那里抢顾客 以更多的服务信息来对顾客心理进行包围式的诱导,来强化顾客的体验意向 用各种手段 诱逼 顾客迅速成交。下面给大家分享终端营销方案,欢迎参阅。...