热点:

内网安全乱世安邦之体验篇之二三


    【 转载】      

体验二:围魏救赵 枯木逢春

  受访者:某国有银行某省分行信息主管

  我们是国有银行C行的某省分行,2007年初,正被新型的ARP欺骗病毒困扰着。原本我们自认为终端安全管理做得已经很到位了:早几年就购买了部署了MacAfee的企业防病毒软件、趋势的防毒墙、Landesk的桌面管理;内部管理也很严格,然而一旦威胁来临,内网依旧非常的脆弱,我们心急如焚…

  偶然机会,我们了解到Z航应用天珣的情况,顿感一线希望,马上联系厂家进行产品演示,天珣的功能让我们非常惊讶:我们想到的,天珣都想到了,我们没想到的,天珣也想到了……

  经过进一步调研,分行决定选用天珣,并确定全行范围内逐步在接入层交换机实施基于802.1x协议的网络准入,但因交换机无法支持长字节的客户端信息认证,从而令802.1x准入认证失败。经与这家网络设备公司交涉,他们认定只有升级硬件才能解决,那意味着我们将被迫更换超过百台的交换机!怎么办,难道为此放弃准入了不成?

  幸好这个问题没有难倒天珣厂商,经过仔细研究,他们找到了问题解决的法门。由于天珣的准入控制,无论客户端、Radius认证服务器等网络准入关键组件,都是由该企业自主研发的,交换机只是起到了一个“大门”和“传达室”的作用,只需要很巧妙将所有需要的认证信息,先分拆成小字节的认证包,分多次让交换机“传达”给自己的Radius服务器,Radius只需要简单组成一个完整的802.1x认证包,网络准入控制认证完全通畅了。

  解决了这个问题后,不仅满足了我行所有的网络准入控制需求,还帮我们保护了设备投资,因此我们很快就做了购买天珣产品的决定。而从第一次接触到产品采购,仅仅只有3个月的时间…再后来,在1年时间内,我行将网络准入推广到全省各分支银行,覆盖对超过10000台终端执行网络准入控制管理。

  点评:又从天珣学了一招:如何通过技术的灵活拆解,解决规则的瓶颈。

  体验三:抽丝剥茧 真相大白

  受访者:某电信运营商网维中心主管

  2010年,我们网维中心部署了天珣客户端,并且启用基于802.1x的网络准入控制,当时所用的接入交换机基本是清一色的Q网络厂商的交换机。可是,就在启用了基于GUID的网络准入认证并正常运行过程中,用于2台互备的Radius认证服务器的其中一台的网络链路意外断开了,天珣所承诺的冗余功能并未体现,Q的交换机是大品牌,性能应该相当稳定,于是我们理所当然认定是天珣的问题。没想到接下来的检查颠覆了我们既往的看法。

  天珣的技术人员到场后,反复检查了天珣网络准入相关组件运行状况和运行日志,均没有发现任何异常。但在现场测试过程中,还是发现了问题所在:这个故障又跟Q公司特定型号的交换机有关。当时,网维中心使用Q公司作为接入层交换机的型号有两款,测试中发现,启用了网络准入控制的A交换机,如果出现类似的故障,备份的Radius可以实现正常切换,但是B交换机却怎么都不行。而且当时发生Radius链路故障时,只影响到B交换机下接的客户端认证,A的客户端认证都正常切换到备份Radius上。

  结果,当天珣技术人员将抓到的相关数据包发给Q公司研发人员,他们研究后,确认这个是B交换机的一个bug,随后Q公司修复了这个bug,打上补丁,问题解决!

  点评: 潮水退去后,才知道谁在裸泳,许多问题的实质往往深埋在背后:网络感冒的肇事者原来另有他人。幸而通过技术人员的抽丝剥茧,才得以还原真相。

idc.zol.com.cn true http://idc.zol.com.cn/97/978800.html report 2743 体验二:围魏救赵 枯木逢春   受访者:某国有银行某省分行信息主管   我们是国有银行C行的某省分行,2007年初,正被新型的ARP欺骗病毒困扰着。原本我们自认为终端安全管理做得已经很到位了:早几年就购买了部署了MacAfee的企业防病毒软件、趋势的防毒墙、...
最爱分享~
授人以鱼不如授人以渔
快来点我~
喜欢并收藏到个人中心
抢沙发啦~
快来说说你的看法吧
频道热词:声卡驱动  驱动精灵  驱动之家  
视觉焦点