客户案例 > 其他 > 宁盾助力金杜律师事务所深圳分所实现有线无线WIFI认证及终端准入
  • 宁盾助力金杜律师事务所深圳分所实现有线无线WIFI认证及终端准入



客户介绍:


北京市金杜律师事务所成立于1993年,总部设于北京,在上海、深圳、成都、广州、重庆、西安、杭州、天津、苏州、香港、日本东京和美国硅谷、纽约均设有分所。秉承创始合伙人不断创新及追求卓越的现代法律理念,金杜律师事务所已成为中国律师业中规模最大并居于领先地位的综合性律师事务所,拥有1000余名律师、代理人及专业人员,全球就职员工超过5000余名,为全球不同需求的客户提供着优质的法律服务。


项目背景:


为了增强企业网络的安全性及可控性,金杜律师事务所深圳分所期望针对旗下企业的员工、访客接入有线、无线网络执行严格的准入控制策略,实现对网络安全更精细粒度的控制。


根据对现有IT系统的调研和分析,参考对应网络架构,并结合相关业务需求,为完善安全保护技术措施加强无线网络安全管理的要求,本次项目其主要需要实现目标如下:

 
a、认证系统可提供统一的有线、无线认证管理,并实现分级、分权、分域管控;

 
b、针对不同用户群体实现不同认证方式,做到基于角色的访问控制以及闭环的身份管理;

 
c、结合当前网络架构,实现分区域、分时间段、分用户角色、分流量的精细化准入控制;

 
d、认证平台兼容、扩展性,同时对接多品牌设备、多账号源系统实现统一有线、无线的网络准入;


e、MAC地址无感知认证,提升用户接入的客户感知度;

 
f、Portal个性化定制,提升宣传形象;

 
g、认证系统双机部署,实现高可用性;


h、提供完善的报表功能(用户上下线时间、MAC地址、IP地址、用户使用流量大小等。


宁盾有线无线WIFI认证及终端准入解决方案:

1.方案拓扑


宁盾网络准入与终端合规采用软件加硬件的部署形式,软件可以采用虚拟化部署,软件与硬件旁挂在核心交换机或汇聚交换机旁,无需对现网做任何改动,软件DKEY AM部署可采用Windows与Linux系统环境,可以为内部员工与访客提供全场景认证方式,例如,LDAP账号认证、短信认证、协助扫码、邮件审批等多种认证流程,满足不同类型用户群体的不同身份认证需求 。硬件NDACE可以自动发现、识别接入网络的设备,并对其进行诸如杀毒软件、补丁更新等安全检查,然后根据制定好的条件策略下发相应的准入策略:允许接入、受限接入、拒绝接入、重定向登录认证等。


DKEY AM :统一身份认证平台,对终端实现802.1X、Portal认证,对可以接入网络的终端或者账号进行角色划分,并将是否可以接入网络的身份认证判断结果与账号相关的角色信息下发给NDACE;

 
NDACE :准入引擎,基于深度包检测技术,主动或被动探测终端的安全合规性,并结合DKEY AM下发的用户身份认证判断结果对用户终端接入网络进行网络阻断或放行,同时,对放行的终端跟据账号角色信息做网络访问控制;


根据对金杜律师事务所深圳分所现有业务的调研和分析,并结合相关业务需求,实现目标如下:

a、DKEY AM与Aruba无线控制器、NDACE、AD域服务器对接为内部员工接入有线、无线网络提供基于AD域账号的Portal认证;

 
b、DKEY AM与Aruba无线控制器、短信平台、微信公众号对接为访客接入无线网络提供Portal认证的短信认证或者微信认证;

 
c、DKEY AM可灵活基于认证方式、终端类型、角色类型等,提供用户过滤、上网时段、上网时长、在线设备数量、最大最小流量、二次免认证等多种多样精细化的准入控制手段;

 
d、DKEY AM结合无线控制器、NDACE对所有接入用户开启MAC地址无感知功能, 同时,通过设置DKEY AM的二次免认证时间,灵活设置接入用户的Portal认证频次,从而实现在简便、高效、安全的准入控制;

 
e、NDACE可设置MAC地址白名单,对已知可信的合法终端直接放行。


2.实现效果


图:员工账号密码网络接入认证,手机PC端自适应


方案价值:


统一的有线、无线认证管理,并实现分级、分权、分域管控;

 
实现MAC地址无感知认证,部分终端加入MAC地址白名单免认证;

 
针对不同用户群体采用不同的认证方式,员工采用联动AD域做用户名密码认证的方式,访客采用微信认证等方式;

 
portal页面语言类型根据识别终端浏览器语言自动调整;

 
“不合规”的有线终端弹出告警页面并被拒绝入网;


相关产品推荐
  • 上一篇: 暂无上一篇
  • 下一篇: 立邦
诚邀您的加入
如有任何合作需求,欢迎致电400-658-2855,我们期待与您合作!
x