超过600家客户选择了宁盾

< 返回 首页 > 客户故事 > 全部 > 深圳能源

客户名称: 深圳能源 行业类型: 中大型企业, 使用产品: ,宁盾双因素认证,终端与网络准入控制管理,
一、客户简介
深圳能源集团前身系深圳市能源集团有限公司,是全国电力行业第一家在深圳上市的大型股份制企业,自建立以来逐渐形成了庞大的网络设备及上网用户体系。随着集团传统有线业务向无线端转移,无线上网账号的管理也越来越受到重视,以实现对内部员工、外来访客接入无线网络执行严格的准入控制策略,增强企业网络的安全性及可控性。

二、项目分析
1、客户需求
深圳能源通过思科瘦AP+AC架构实现无线覆盖,目前员工、访客采用WPA/WPA2认证方式连接无线,导致IT管理人员难以对无线使用进行管控,也无法甄别用户属性,实名制审计比较困难。分析需求如下:
①在现有无线网络条件下,不新增任何无线网络设备,无缝实现登录接入管理;
②支持多种认证方式,对应不同的上网用户(内部员工、外包人员、普通访客),增强企业内、外网的安全性及可控性;
③与AD域对接,实现内部员工通过AD域账号源认证登录;
④与深圳能源集团短信网关对接,实现域账号的双因素认证;
⑤配合行为管理,实现上网实名审计。

2、项目目标
通过在现有网络环境中部署宁盾一体化认证平台,实现如下目标:
①企业内部员工实现802.1X+AD+双因素认证;
②访客—企业外包人员实现邮件审批认证;
③访客—普通访客实现协助扫码认证;
④与Cisco AC(无线控制器)对接,为员工及访客推送Portal页面,并实现无感知认证;
⑤提供上网用户信息报表,如手机号、在线时间、流量等;
⑥对接专业的上网行为管理设备,实现上网实名审计。

三、解决方案
1、方案概述
在2台服务器上进行部署,服务器1安装宁盾一体化认证平台,对接Cisco WLC、对接AD辅助域控制器读取用户数据、对接集团短信网关做短信密码认证,服务器2安装AD辅助域控、网络策略和访问服务(NPS),安装辅助域控将无线认证设置在辅助域控上进行,可以减少无线认证对AD域控的性能消耗,NPS用作Radius认证报文的策略转发。

2、网络拓扑
项目中主要产品有宁盾一体化认证平台、Cisco无线控制器、AD域、短信网关、上网行为管理设备等。


四、无线认证流程
1、内部员工认证流程
认证方式:802.1X+AD+双因素认证
 
流程详解:内部员工默认通过802.1X+AD进行认证,如认证不成功则转三层Portal通过AD+双因素进行认证,认证成功绑定MAC,成功接入WLAN网络,下次认证默认通过802.1X+AD方式;认证成功后再次连接无线网络时无需输入AD账号密码(通过MAC无感知认证)。
 
访问权限(内网、外网):全部。

2、访客—外包人员认证流程
认证方式:邮件审批认证
 
流程详解:外包人员通过Portal进入申请信息提交界面,输入业务管理员(内部员工)的邮箱及本人的公司信息、联系电话、来访事由等内容,然后点击提交;业务管理员(内部员工)会收到认证系统的审批邮件,点击审批邮件的审批链接,进入审批界面,可对该外包人员进行账号有效时间设置、审批意见填写、是否通过审批等操作;如审批通过,认证系统将生成随机秘钥以短信方式发给外包人员,外包人员以申请时填写的手机号作为用户名接入无线;如审批未通过,认证系统会将未通过信息发至申请人手机。
 
访问权限(内网、外网):全部。

3、访客—普通访客认证流程
认证方式:协助扫码认证
 
流程详解:访客通过Portal页面选择协助扫码认证,系统生成认证二维码,接待人员(内部员工)采用移动终端(前提是已连入WIFI网络)任意二维码扫描工具扫描访客终端Web中的二维码,系统会在接待人员的终端页面提示输入授权信息(AD账户/密码),接待人员输入授权信息并点击授权,如授权信息正确,访客终端会提示已被授权并提示授权时效时间,然后接入网络;如授权信息不正确或无接待人员操作,则访客终端无任何系统响应。在协助数码认证模式下不显示其他认证登录方式;使用哪种认证方式只显示该认证方式登录界面。
 
访问权限(内网、外网):外网。

五、项目成效
①不改变任何现有无线网络设备环境,无缝实现登录接入管理;
②将上网用户按照内部员工、 企业外包人员、普通访客进行划分,并针对不同上网用户类型采用不同的认证方式;
③基于企业内部上网信息的高度私密性,对接内部员工AD账号域并采用较高的安全认证方式实现802.1X + AD +双因素认证;
④为了方便起见,企业外包人员采用访客邮件审批认证的方式,提高上网用户可控的同时也方便用户自助登录;
⑤针对普通访客,采用协助扫码认证方式,方便和接待者之间进行一对一对接;
⑥针对部分Cisco设备不能自动实现MAC无感知认证的情况,在不增加任何设备的情况下实现无感知认证;
⑦提供详尽的上网用户信息报表,如手机号、在线时间、流量等;
⑧通过批量派发手机令牌的形式减轻运维人员的重复工作;
⑨对接专业的上网行为管理设备,实现上网实名审计,符合公安部82号令要求。

©2017 年 宁盾科技 版权所有。

—END—
更多客户案例 >

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385