• 时讯无线提供优质的WiFi无线网、宽带网准入和认证计费整体解决方案.

我的位置:

锐捷网络设备AAA授权管理方案

作者:「时讯无线」

发表于:Nov 02, 2020

浏览:

一、面临挑战
禁止对网络设备的非法访问是网络安全的一项必要条件。传统情况下,设备管理用户在访问网络设备前,需要先登录并在本地配置身份验证信息,只有拥有合法凭证的用户才能得到相应的访问授权,从而保证了网络的安全性。然而当网络规模成倍扩张的时候,IT基础架构越来越庞大,网络设备的管理与维护也变得复杂化,对多个设备或网络服务进行多次认证与控制,增加了额外的工作成本。这时就需要一个能够对整体网络做出统一认证与控制的服务平台,有效提高企业IT运维的工作效率及管理操作的安全性。
1、管理挑战:企业庞大的网络架构使得设备管理用户在繁杂的IT运维工作中存在多次重复认证过程,影响管理工作效率。
2、安全挑战:对设备管理用户的弱身份鉴别,以及在控制对其访问权限上的缺失或不力,会带来巨大的安全漏洞。

二、解决方案
1.    锐捷网络设备AAA授权管理方案概述
时讯认证服务平台通过标准RADIUS协议,可实现锐捷网络设备管理用户的统一身份认证,对其提出的认证请求、授权请求、审计请求做出响应,提供AAA服务。
首先对设备管理用户的认证请求做出响应,验证其身份的合法性,并结合时讯双因素认证,通过动态密码对账号进行双重保护;然后根据用户身份权限进行授权,控制用户的访问及操作行为;时讯认证服务平台可全程跟踪用户行为动作,并出具详细的登录认证及操作行为日志报表,满足审计合规要求。
兼容的网络设备包括锐捷交换机、路由器、防火墙及堡垒机、WAF等。

2.    网络拓扑
 

3.    时讯动态密码形式
短信令牌:基于短信发送动态密码的形式
 

手机令牌:基于时间的动态密码,由手机APP生成
 
硬件令牌:基于时间的动态密码,由硬件生成
 

三、方案价值
①    AAA授权管理:集成RADIUS协议,实现对锐捷网络设备管理员实现统一认证、授权、日志审计,提升日常运维管理工作效率; 
②    支持批量开户:支持对设备管理用户集中开户,可批量设定设备管理用户的登录密码、授权策略、失效时间、在线数量和权限提升密码;
③    与现有系统无缝集成:支持外部数据源,除AD、LDAP等标准帐号源外,还可以从客户自定义的系统中(OA、ERP、CRM)同步用户数据;
④    账号双重保护:支持通过短信令牌、硬件令牌、手机令牌等动态密码认证,提升设备运维账号密码强度,保护账号安全,避免定期修改密码;
 
⑤    风险账号隔离:通过设定账号认证登录规则,可以将自动猜测密码尝试恶意登陆设备的账号加入黑名单进行隔离;
⑥    访问授权策略:支持按场景分配授权策略,场景可以是设备位置区域、设备类型和接入时段的组合;支持基于角色的授权策略,包括权限级别、接入ACL、限制时长;
⑦    实名可审计:记录设备管理员的认证、授权及行为审计信息日志,并支持导出到文本文件中。包括登录名、登录结果(失败原因)、认证时间、登录设备IP、终端用户IP、权限级别、登录动作、认证类型、服务类型、授权动作、审计类型、审计时间等;
 
⑧    用户实时监测:可查看当前在线的设备管理用户的登录、授权策略、接入时间、接入时长、登录的设备等信息,并可强制将非法设备管理用户下线或加入黑名单;
⑨    易部署及高可靠性:支持Vmware环境,虚机部署,支持集中式和分布式部署,支持集群冗余。























































 


 

        北京时讯遨游网络科技有限公司,是一家创立于北京,致力于无线WiFi宽带网络设备研发、无线WiFi宽带网络媒体运营的新技术企业。公司由一批在宽带网业界从事多年的人士发起创建,凭借团队多年来服务于IT行业的技术实力和丰富的行业资源,提供一流的技术、产品和服务。
 
 
 
        景区无线WIFI网络覆盖,酒店无线WIFI网络覆盖,学校无线WIFI网络覆盖,商超无线WIFI网络覆盖,银行无线WIFI网络覆盖,企业无线WIFI网络覆盖,工厂无线WIFI网络覆盖,仓库无线WIFI网络覆盖,政府无线WIFI网络覆盖,室内外无线WIFI网络覆盖,农场无线WIFI网络覆盖,加油站无线WIFI网络等 
 
 
        Wiradius是用户认证计费管理系统,采用国际标准协议RADIUS为基本支撑,可以实现对VOIP电话、网络接入、即时通信、电子商务网站提供认证、计帐、漫游、虚拟计费服务。是由北京时讯遨游网络科技有限公司研制出!