亲身经历,要上终端准入控制产品的兄弟姐妹必看

  • 这是我公司几个月以来使用某厂商产品NAC网络准入控制的一次经历,感觉非常的郁闷,所以把这段经历写出来与大家共享,以及一些我对某厂商准入控制的感受,希望能帮助大家选择。

    话说几个月前公司出了一些安全事故,详细原因我就不多说了,主要是有外来人员随意接入内部网络偷偷拷贝走了公司的一些数据,并放在了某网站的文库中,导致领导知道了非常气愤,当即我们部门的老大就被处分了,当时大家都很郁闷,气愤很凝重,后来老大通知我们开会,让大家发表意见和想法。

    会议中部门同事都觉得在交换机上端口加MAC地址绑定的方式最好,即将公司所有终端电脑的MAC地址收集起来,按照对应关系,一台一台做绑定。会议之后大家开始分工行动开始收集MAC和个人信息,我就负责在交换机上做绑定,当绑定到80台左右的时候,发现之前绑定的人员打电话来说上不了网了,经过排查后发现,他换了位置导致交换机端口不允许数据包通过,于是又返工重新绑定。当绑定到100台终端的时候,发现如果这样下去工作量是如此的大,因为我公司电脑有3000多台,一开始没有考虑这么多,这样下去反反复复每天就处在绑定终端过程中。鉴于此,我和我的同事就在网上找有关于防止非法接入方面好的方法,最后找了一些好的方法,但是需要购买第三方产品,比如网络准入控制、接入控制等产品,采取的技术原理主要是802.1x、cisco eou、网关型准入控制、arp准入控制、dhcp准入控制等,找了几家厂商互相了解了一下,最后选择了所谓的“准入控制行业标准制定者”某某科技,因为公司高层催的比较急,任务比较重,所以简单看了下界面和效果就选择了这家公司,后来就是噩梦!

    某某科技厂商的准入控制产品,不需要安装客户端软件,需要一个硬件的盒子,此盒子就是一台工控机,所有终端电脑接入网络需要在浏览器安装插件然后做身份认证才能接入网络,看起来很完美,用了一段时间才发现漏洞百出,甚至导致公司网络瘫痪,如下:

    1、产品所谓的准入控制其实是部署在我们核心网络的两台6509交换机上,通过在核心设备上做策略路由,将认证流量引入到硬件盒子上,实现准入控制,系统刚部署后周一就出现了问题,因为上网人员过多,导致大家网络都中断2个小时,后来查了原因,是因为硬件盒子没有经过严格并发测试,导致硬件盒子内存占用过多大家都不能通过认证,因为周一是大家收发邮件及访问最繁忙的时候,某某科技给出的原因是核心cisco 6509设备在策略路由的时候有BUG,要升级,当时一听就来气,要升级两台cisco 6509的ios不是那么容易的,要所有业务中断,我和我的老大当即就否决了,让他们拿出解决方案,最后为了不影响工作先取消了策略路由。经过漫长的等待、几周后,厂商的技术专家带来了一台新的盒子,部署上以后,观察了一周,没有问题。后来打听到据说是他们自己的盒子没有经过压力测试,并且radius服务、数据库、后台全部走在一台盒子上,导致压力过大造成的。

发表评论