用户管理解决方案

用户管理解决方案

1.背景问题

  传统的防火墙大多针对IP和域的概念对内部用户进行管理,但在安全问题定位、访问控制、网络管理中,光从IP的角度早已无法满足现今的需求。现在绝大多数防火墙或者网络管理设备都已使用针对于用户的管理来满足这些场景要求。新一代安全技术,用户识别作为安全防护的基础已变得不可或缺。

2.用户问题

  企业在对用户进行管理时,经常会面临诸多挑战,例如:

  1. 用户数目较多、组织结构比较复杂。每个结构分支都可能需要不同的安全策略和管理策略;安全问题定位时也需要精细到具体的部门甚至小组,否则就会犹如大海捞针。

  2. 同一个用户可能属于不同的机构或分类,而不同的机构或分类之间的权限、策略等很可能不同。例如某一个用户既属于财务人员,又属于管理层。同一个用户同时拥有两个不同的角色属性。传统的用户管理单一的方式无法适用这种复杂场景。

  3. 可以随便抢占别人IP上网,出现安全问题无法定位到设备。

  4. 终端在近些年发展迅速,越来越多的人会使用自带移动终端设备接入企业内网(我们称之为BYOD)。这对企业的网络管理及安全防护带来新的挑战。

  5. 本身拥有AD、Radius等第三方的认证服务器,现今的防火墙等涉及认证授权的设备必须能与企业已有的认证系统兼容。

  6. 可以方便的对临时用户进行管理。企业很多使用会有第三方的代理商或者合作伙伴临时接入企业内网。即使在企业内部也会出现不同权限部门的人需要临时获取其他部门的权限的情况发生。所以对于临时用户的管理需要更加科学方便。

3.网康NGFW的用户管理解决方案

3.1支持按企业的组织结构建立用户分组

  当用户数目较多、组织结构比较复杂时,按照实际的组织结构管理用户是有效的方式,易于管理员查询、定位和设置策略,也易于定位安全问题主机。网康NGFW支持树型结构管理用户,能够完全按照企业的实际情况建立用户组。

3.2支持同一个用户属于不同的权限组

  网康NGFW支持权限组的定义和管理。可在各级用户组织中建立“权限组”,可将任意用户添加入“权限组”中,一个用户可以同时隶属于多个权限组。这一功能提高了用户策略管理的灵活性,在不改变原用户的组织结构的情况下,可实现对一些分散在各组中的用户进行统一策略管理。

3.3支持IP/MAC绑定

  网康NGFW支持二层网络环境和三层网络环境下的IP/MAC绑定。可自动阻塞那些非法占用他人IP地址的用户,保障网络的安全性。

3.4支持对BYOD的识别与管理

  支持对办公区域内移动设备(包括iOS、Android、Windows等)的识别与管理,防范日益增长的BYOD趋势所带来的安全问题。

3.5支持丰富的用户认证方式,包括第三方认证

  网康NGFW提供多种用户认证和识别方式,为用户管理提供了灵活而完善的方案,包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、PPPoE认证账号识别、第三方用户识别。对于每一种认证方式,NGFW都支持分段/混合认证。通过规划并部署合适的认证方式,可以把互联网访问管理应用到具体用户,实现基于用户身份的访问管理。

  在有些企业,实行规划合理并且严格执行的IP地址分配制度,那么通过IP地址和网卡MAC地址来确定用户身份是可靠的;但是在有些网络环境下,用IP或网卡MAC地址并不能确定一个人的身份,比如DHCP动态分配IP、或多人共用一台设备的时候,就需要其它方式确定用户身份,如网关本地Web认证或第三方认证。

  在WEB认证方式下,管理员可以设定并分发统一的初始口令,并定义账号缓存的有效时间,保障用户身份的安全,使用户身份的确定与具体上网设备完全无关。要实现WEB认证,首先需要在网康互联网控制网关中建立用户信息。NSNGFW支持多种用户信息获取方式,可以通过IP网段地址扫描,自动获取内网用户的IP地址、计算机名、MAC地址信息,也可以通过LDAP同步的方式定期更新用户目录服务器的用户信息,支持RADIUS认证,此外,还可以使用网康自定义用户导入功能,将微软Excel表格整理的用户信息快速导入。

  建立用户信息后,按照管理需求,基于网段、权限、行政职能自定义用户组和成员,并且可以在不同用户组之间灵活调整成员用户,最终形成清晰直观的树型组织结构。这样就解决了“确定用户身份”的问题,并为基于用户或用户组制定安全管理策略和统计报表奠定了基础。

3.6支持临时账号的管理

  对于一些需求临时入网的用户,管理员可通过该功能限制这些用户可以入网的时间范围,超出限定范围后,该用户无法再入网。一方面提高准入用户的安全性,另一方面可实现入网限时的功能。

4.配置指导

\

  支持强大的用户管理方式。

\

  可以建立多级组织架构。

\

  可按IP实现自动位置识别。

\

  支持IP和MAC进行绑定。

\

  支持对BYOD工具终端进行识别。

\

  支持对BYOD进行识别认证。

\

  支持和LDAP、radius、邮件服务器等第三方认证进行联动。

\

  支持PPOE、AD等透明识别。

\

  支持对指定IP段分组进行不同方式的识别。

\

  支持对临时用户的时长、时效管理。