RG-SMP+安全管理平台是锐捷新一代的终端安全智能准入与身份安全智能准入平台。
首先,SMP+可以直接控制有线接入交换机和无线接入AP 或者 AC做各种终端和各种身份的准入控制,并可根据不同终端类型和不同身份采取不同的准入策略控制,以达到终端准入的安全和人的准入的安全??刹渴鹗凳┯谄笠?、医疗、公共安全、普教、政府、商超、金融等行业的内外网环境,实现对终端自动发现、终端自动定位、终端智能识别、终端自动合规(无客户端病毒防护策略下发)、终端准入控制、管理员审批准入终端、访客自助注册、访客申请准入、管理员开户管理、实名身份认证、上网权限控制等。
其次,在802.1x认证、Web认证、短信认证等传统认证方式基础上,引入author实名认证、二维码授权认证、授权码认证、短信URL认证、免认证等方式,VIP用户上线短信通知接待人员,短信发送等解决方案,同时还增加了直接与设备之间采用SNMP/Telnet 等技术直接下发准入控制命令,以达成对哑终端的准入控制。
再次,产品在视觉设计上以“科技、安全、专业”为设计主题;在交互设计上充分考虑新手用户、中级用户、专家用户的不同操作交互诉求;在技术设计上采用微服务架构,考虑产品的高稳定性、高性能、高可用性等方面的设计;通过不同层面的设计,以达成终端准入、用户准入的良好体验,以及不同管理员的不同业务诉求。
综上,SMP+是顺应时代的变迁,对新产生的各种智能终端,各种新的应用场景提供了很好的解决方案。
终端自动发现
SMP+直接旁挂在网络核心处,通过终端主动发现技术和被动发现技术,获取全网终端信息,主要包含终端的基本信息:MAC、IP信息、发现时间等。
SMP+主动发现技术:SNMP、Telnet、nmap、ping等技术,主动探测网络中全网终端信息;
SMP+被动发现技术:
●通过在网关处旁挂SMP+流量探针组件,SMP+会直接解析流量中的ARP报文和所有IP包报文,将MAC、IP信息上
传到SMP+。
●通过将DHCP报文直接中断到SMP+的技术,获取终端信息。
●其他发现技术(略)
终端智能定位
SMP+直接定位终端所接入的接入交换机IP、接入交换机端口,所属的VLAN信息等,方便快速查找终端位置信息,以及方便定义终端的访问权限等。
终端智能识别
SMP+通过多种技术获取终端的指纹信息:DHCP、http、nmap、smb、Tcp/ip -ttls等,再通过内置指纹库和云端指纹库,对终端进行识别,识别结果如下:
SMP+对终端识别的主要目的是为终端准入服务的,SMP+必须将可实名认证终端 与 不可实名认证终端,可执行
病毒防护策略的终端 与 不可执行病毒防护策略的终端进行分类,以达成不同的终端采用不同的准入方式。
无客户端下发病毒防护策略
SMP+通过内置域控技术,在web浏览器认证时,直接将终端加入SMP+的域控。SMP+通过域控协议,给终端
下发病毒防护策略,此技术称之为“无客户端下发病毒防护策略”技术。
SMP+下发的病毒防护策略包括不限于:给windows操作系统打补丁、安装杀毒软件、禁用高危端口、禁用外
设、禁用高危线程、禁用高危服务、禁止文件共享、弱密码检测、禁止wifi代理软件、禁止双网卡等。SMP+可
只检测终端是否符合某些病毒防护策略,如果不满足病毒防护策略,可以拒绝该终端入网,也可以继续允许该终
端入网。SMP+可以在检测到不合符病毒防护策略后,直接下发合适的病毒防护策略到终端,使得该终端合符安
全基线后,准许其进入网络。
终端准入控制
SMP+可以设置一定的准入策略,允许某类终端自动准入;允许某类终端需要管理员审批准入(在审批准入时,
可录入终端的使用者等信息,方便运维时使用);某类终端必须满足病毒防护策略才能准入;某类终端必须实名
认证才能准入??缮柚么蛴』?、IP电话自动准入;可设置生产终端必须管理员审批才能准入;可设置办公
windows终端必须满足病毒防护策略才能准入;可设置手机终端只需要实名认证才能准入。
SMP+采用直接控制接入层设备,确保内网的安全。与准入设备的控制技术,包括不限于:ACL、802.1x、portal、VPN、mac快速认证等。
身份认证功能
SMP+支持对可实名认证终端采取实名准入的方式
●SMP+实名认证支持的协议有:802.1X、Portal、MAB、VPN等多种认证接入方式
支持PAP、CHAP、MS-CHAPV1/V2、EAP-MD5、EAP-TLS、PEAP(MsCHAP V2/ GTC/MD5)等多种身份验证
●SMP+支持认证的ID有:用户名、手机号码、邮箱、身份证号等
●SMP+的身份来源包括:手动输入、来自AD、LDAP、aouth等。
●SMP+支持多种访客认证方式包括不限于:
1.支持短信验证码
2.申请临时账号,接待人邮箱审批/二维码审批入网方式;
3.申请临时账号,管理员邮箱审批/二维码审批入网方式;
4.接待人直接扫描访客终端上的二维码方式;
5.管理员支持扫描访客终端上的二维码方式;
6.SMP+web认证界面支持中英文
7.SMP+支持基于场景感知(用户、时间、地点、接入方式)的身份认证
网络权限控制
SMP+支持不同终端、不同用户身份、不同接入位置(终端ip、接入设备IP、接入交换机端口、VLAN、SSID
等),授予不同的网络权限
SMP+授权技术有:radius、Telnet-acl等技术
兼容性
兼容WAVECOM厂商GSM/GPRS/CDMA短信猫,可选型为WAVECOM的GSM MODEM
兼容北京国都、短信宝、中国网建、成都泽东科技、联通E信通、嘉讯软件、亿美软通、玄武等短信网关平台
兼容与LADP服务器、Windows AD域服务器、标准Radius服务器、aouth协议等对接身份源数据
兼容思科Cisco、华三H3C、华为厂商交换机和无线控制器802.1x认证,兼容H3C和华为的 Portal+MAB无感知认证
SMP+ 系统环境准备
SMP+服务器软硬件配置
最低配置: |
|
内存 |
16G或以上 |
硬盘空间 |
吞吐率266MB及以上,500G |
CPU |
主频2GHz 16核心/线程及以上 |
网卡 |
1000Mbps全双工网卡 |
操作系统 |
Centos7.6.1810 |
推荐配置: |
|
内存 |
32G或以上 |
硬盘空间 |
吞吐率266MB及以上,1T及以上容量 |
CPU |
主频2GHz 32核心/线程及以上 |
网卡 |
1000Mbps全双工网卡 |
操作系统 |
Centos7.6.1810 |
注意:
如使用VMware workstation作为虚拟机,请使用VMware workstation 12以上版本。
如使用实体机进行安装需要事先将ISO文件刻录至光盘,建议使用虚拟机环境安装。
合规组件服务器软硬件配置
内存 |
16G或以上 |
硬盘空间 |
SCSI 20160G以上 |
CPU |
CPU 16核心/线程 |
网卡 |
Intel® PRO/1000 *2 |
操作系统 |
Windows Server 2016 Enterprise Edition Windows Server 2012 R2 Standard Edition |
办公网终端安全准入应用
企业终端安全准入
无客户端病毒防护策略下发
应用特点:
SMP+通过与接入,或汇聚层,或核心层起准入控制技术,实现终端准入控制,确保内网安全。
SMP+通过内置域控技术,采用无客户端-web认证方式,实现对终端的病毒防护策略的下发,确保终端的安全。
SMP+通过对终端的自动发现、智能识别,采用配置不同终端类型,不同准入控制技术,使得终端具有不同的认证方式,和不同的网络访问权限。
生产网应用
SMP+的生产网应用
应用特点:
在为生产网终端下发病毒防护策略的同时,不改变现有生产网的网络拓扑,确保生产的连续性。
采用无客户端技术,可以直接与现有的生产软件保持良好的兼容性,确保生产的连续性
采用无实名准入方式,迎合生产网终端无法实名的场景。