克里郡位于愛爾蘭西南部,,該郡議會的網(wǎng)絡(luò)可通過60個站點(diǎn)為800名用戶提供服務(wù),,但是議會對在任意指定時刻有誰或有什么接入網(wǎng)絡(luò)卻無從得知,。因此當(dāng)一臺筆記本電腦攜帶病毒導(dǎo)致網(wǎng)絡(luò)癱瘓時,,議會被迫立即尋找一種可以覆蓋地理位置,,分散的有線與無線網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問控制(NAC)解決方案。
克里郡議會的網(wǎng)絡(luò)分析專家Padraig Daughton說:“站點(diǎn)的數(shù)量和分散的地理位置是我們面臨的大問題,。我們考慮過端口安全方法,,但是它很難實(shí)現(xiàn)。我們還考慮或許可以架設(shè)一臺DHCP中央服務(wù)器為所有站點(diǎn)服務(wù),,并捆綁MAC地址,,但這種方法也難以實(shí)現(xiàn),它所導(dǎo)致的問題比其所能解決的問題還要多,。唯一的解決方法就是網(wǎng)絡(luò)訪問控制,。”
由于網(wǎng)絡(luò)大部分由思科承建,克里郡議會首先考慮了思科的解決方案,,但是結(jié)果卻證明其成本高昂,。之后議會評估了五家供應(yīng)商,最終選擇了Bradford Networks與其合作伙伴Khipu,。
Bradford的自適應(yīng)網(wǎng)絡(luò)安全(Adaptive Network Security)架構(gòu)和他的網(wǎng)絡(luò)哨兵(Network Sentry)網(wǎng)絡(luò)訪問控制解決方案承諾可以基于預(yù)設(shè)策略安全地提供網(wǎng)絡(luò)資源,。
Daughton說:“Bradford的解決方案是最便宜的,它非常適合我們的網(wǎng)絡(luò),。我們不用去升級任何思科的設(shè)備組件,。某些解決方案需要在網(wǎng)絡(luò)中添加四、五臺設(shè)備,,然而Bradford的解決方案只需將其組件安放在網(wǎng)絡(luò)中間,就可以同時應(yīng)付有線,、無線和VPN用戶,。”
克里郡議會網(wǎng)絡(luò)結(jié)構(gòu)分析
鑒于克里郡網(wǎng)絡(luò)的復(fù)雜性,分析其結(jié)構(gòu)是個不小的壯舉,。議會廣域網(wǎng)(WAN)的骨干網(wǎng)采用思科增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議的高容量許可無線網(wǎng)絡(luò),。Daughton 指出:“兩個200Mb無線鏈接從HQ站點(diǎn)到主站點(diǎn),,80Mb的許可無線鏈接作為骨干網(wǎng)從它們擴(kuò)展到全郡,其中到一些站點(diǎn)的最后一跳使用10或15M的無線鏈接,。”為了獲取額外帶寬,,議會將CAMP消防因特網(wǎng)鏈接也利用上了。廣域網(wǎng)的其他部分是MPLS網(wǎng)絡(luò),,采用混合無線和DSL運(yùn)營商的方式來給無線網(wǎng)絡(luò)提供彈性和故障轉(zhuǎn)移能力,。
反觀基于光纖連接的HQ局域網(wǎng),它使用三個思科3750堆疊交換機(jī)和3560交換機(jī),。而VPN則使用集成RSA令牌的高可用性思科ASA防火墻,。
克里郡如何實(shí)施網(wǎng)絡(luò)訪問控制解決方案
因?yàn)榇蠖鄶?shù)用戶都接入有線網(wǎng)絡(luò),所以有線網(wǎng)絡(luò)是重中之重,。Daughton 說:“我們將Khipu網(wǎng)絡(luò)訪問控制的配置生效,,并在有線網(wǎng)絡(luò)上進(jìn)行一些測試,一旦測試通過就將該解決方案推廣到整個網(wǎng)絡(luò),。為證明該方案的有效性,,我們不得不派遣人員到各個站點(diǎn)去進(jìn)行驗(yàn)證,因此,,60個站點(diǎn)耗費(fèi)了我們大量時間,。”
“當(dāng)時,我們在HQ網(wǎng)絡(luò)中采用了Khipu解決方案,,其他一些站點(diǎn)沒有立刻跟進(jìn),,而是等待了幾個月。當(dāng)對解決方案感到滿意后,,我們才在接下來的幾個月里著手開始進(jìn)行其他站點(diǎn)的方案實(shí)施工作,。
沒過多久就發(fā)現(xiàn)該解決方案有一兩個網(wǎng)絡(luò)訪問控制策略需要調(diào)整。這些策略確保PC可以訪問網(wǎng)絡(luò)并且解決任何諸如殺毒軟件過期之類的問題,,但是在PC啟動時,,這樣的修復(fù)過于頻繁,桌面用戶期望對此可以做些修正,。
Daughton解釋說:“那些一直在線的用戶應(yīng)該有99%的病毒庫都是最新的,,因此我們制定信任桌面系統(tǒng)的策略,不掃描你的連接,,但是每天上午11點(diǎn)會在后臺確保你的病毒庫是最新的,。這樣,用戶體驗(yàn)大大改善,。”
現(xiàn)在即便是無線用戶也可以通過無縫身份認(rèn)證的方式訪問網(wǎng)絡(luò),。Daughton描述說:“我們擁有一臺思科的無線控制器,當(dāng)一個用戶訪問它時緊接著就會訪問Bradford。如果他是一個有效用戶,,那他將進(jìn)一步訪問我們的ACS,。ACS可以告知Active Directory并且進(jìn)行掃描。因此,,你不需要為WEP或WPA密鑰浪費(fèi)時間,。”
如今,網(wǎng)絡(luò)訪問控制解決方案已經(jīng)在無線與有線網(wǎng)絡(luò)上實(shí)施幾個月了,。Daughton正在為VPN的實(shí)施作最后的工作:“我們已經(jīng)搭建和測試了VPN,,等防火墻代碼升級后立刻將其上線使用。”