行业现状
大型制造业内部网络部署多种应用系统,如门户站点、邮件系统、ERP系统、财务系统、办公系统,在生产过程中,随着对IT系统的依赖程度的不断加大,需要保证上述系统稳定、可靠运行。在全国甚至全球范围内设有分支结构,为了保证各分支机构都能够快速访问总部的应用系统,在总部需要接入不同运营商的多条链路。对于合作伙伴、供应商,或者公司移动办公员工,需要安全的远程拨入到公司内网,使用各种应用系统。企业内部有大量用户需要访问Internet,导致关键应用如邮件系统、ERP系统、视频会议等系统的带宽无法得到保障。内部员工的Internet访问不受限制,经常由于访问非法网站,导致感染病毒,影响整个内部局域网。
面临的挑战
1 | 2 |
3 | 4 |
5 |
LeagView UniAccess系统采用分级部署即部署“一套一级管理中心+多套二级管理中心”的方式。
一级服务器主要用于对所有二级服务器同步组织架构、安全策略、权限控制等信息;二级服务器主要用于执行安全策略、收集终端设备信息与策略审计信息、网络准入身份认证。各二级要将指定信息上传的一级服务器,以便于统一生成报表。总部部署2台LeagView管理服务器(一主一备),作为一级管理服务器。主要用于对所有终端进行统一的策略设置,和准入审计信息的集中收集和存放。主要用于对所有终端进行统一的策略设置,和准入审计信息的集中收集和存放。而针对终端数量超过500的比较大型的园区,对系统可用性要求较高,自主管理和维护能力也较强。部署2台LeagView管理服务器(一主一备),作为二级管理服务器,用于对本园区的终端进行准入控制的放行和审计。针对终端数量小于500的园区,由于其对系统可用性,及系统自主管理和维护能力较弱。建议只部署1台LeagView服务器,来作为二级管理服务器,用于对本园区的终端进行准入控制的放行和审计。而直接将一级服务器上的radius服务器,作为园区终端的备radius服务器。
网络准入控制采用NACC准入控制硬件网关实现,采用通过在核心交换机旁挂NACC准入控制硬件网关,通过策略路由的方式将客户端数据库指向NACC,由NACC实现准入控制。麓谷园区总部放置2台NACC实现主备管理,当一台NACC出现故障时,另一台NACC会自动接管准入认证过程。
数据防泄密模块,结合DLP业务防泄漏技术、桌面安全管理技术与加密U盘技术三种技术达到了业务防泄露的效果。其中DLP业务数据防泄露实现,主要控制OA、CRM、SAP、营销系统等业务系统加圈,强制让受保护的业务系统数据保存到O盘(虚拟业务计算机环境),O盘的数据不能随意导出、复制、打印与截屏,如要离开O盘业务环境需要通过审批,确保业务系统数据的安全;桌面安全管理技术实现,通过个人防火墙、打印审计、文件操作审计、非授权外联策略,来实现公司管理上的要求;加密U盘实现,企业内部数据使用加密U盘传输,保证企业内部数据的安全。