|
一、项目背景 随着信息技术的飞速发展,河北某高校数据中心面临着日益复杂的网络安全挑战。为了提升数据中心的安全防护能力,保障教学和科研工作的顺利进行,学校决定实施网络安全项目,重点引入深信服零信任,并与河北CA的CAS(CertificateAuthority Service,证书颁发机构服务)进行对接,实现更高级别的身份认证和访问控制。 二、零信任网络架构概述 零信任网络架构是一种基于“永不信任,始终验证”原则的安全模型。它要求对所有访问请求进行严格的身份验证和访问控制,无论请求者位于何处,都需通过严格的认证和授权流程。这种架构能够有效抵御内部威胁和外部攻击,提高整体安全水平。 三、河北CA的CAS认证介绍 河北CA作为权威的数字证书颁发机构,为各类信息系统提供安全可靠的数字证书服务。CAS认证是河北CA提供的一项核心服务,通过为用户颁发数字证书,实现身份的真实性和可信性验证。数字证书包含了用户的公钥信息、身份信息以及CA的签名,是零信任网络架构中身份认证的关键组件。 四、方案设计概述 基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策、快速响应处理”的思路,围绕“主动防御—实时监测—响应处置”的主体解决方案框架,结合安全“云端—网端—终端”的安全纵深体系,本方案提供一套适用于大超算中心的整体安全解决方案。 整套方案主要通过超算中心下一代防火墙、WEB防火墙,安全态势感知、探针,终端检测与响应平台,零信任平台以及相关合规类设备共同实现,由合规类设备满足基础的合规需求;下一代防火墙合WEB防火墙提供主动防御功能,解决大部分来自外部互联网和内部师生的安全攻击;安全态势感知系统建立基本的潜伏威胁检测和安全威胁定位能力,终端检测与响应平台构建深入终端级别的威胁处置和查杀;零信任平台提供动态自适应身份认证,校外访问、非授信终端访问、异地登录等场景强制二次认证,避免账号盗用导致恶意访问、下载资源。 网络拓扑 网络架构说明: 整体网络拓扑采用Spine-leaf两层扁平架构。所有业务通过100G高带宽接入交换机上联到核心交换机,核心交换机实现业务区和业务区之间的业务数据高速交换,并根据实际业务需求保证业务数据之间的隔离要求,同时根据实际业务需求对网络收敛比的要求,进行适当合理部署。 采用业务平面、管理平面和存储平面分离的设计方法,从而提高系统的可扩展性、安全性和可维护性。为了更好的支持业务数据和管理数据的传输,数据中心内部分区网络划分为3个平面:分别是业务网络、管理网络和存储网络,其中管理网络又可细分为带内管理和带外管理网络;数据中心出口网络划分出外联互联区、运维及安全管理区。不同平面相互隔离,互不影响。每台主机通过不同的网络接口与业务网络、管理网络和存储网络进行互联。 实施步骤: 1.基础网络部署:两台防火墙路由主备部署,上联四条光纤接入堆叠的校园网核心交换机上配置聚合;按照规划好的接口及地址,完成设备上架部署配置,同时划分接口所属的防护区域。本项目,划分外网区域、内网区域、运维管理区域、零信任区域,内网所在区域为内网区域。后续的安全策略均会针对区域来完成,此AF只映射aTruts控制中心443端口,proxy的441和443端口,客户业务访问只允许访问零信任地址,内网安全设备配置带外管理网和业务网,配置默认路由和策略路由,安全设备的管理通过堡垒机来访问 网络对象定义:服务器建议先定义整个服务器所在IP网段的对象,方便后续做整体的安全防护策略;
上网终端定义一个对象,方便后面对上网终端的访问控制和防护 双机部署: AF-1(默认主机) 完成心跳口及地址配置,按地址规划完成心口地址配置;完成双机部署配置,同时开启网口监视; 完成配置同步配置,本项目只需要启动“会话表”和“配置同步”即可完成配置后,配置同步角色设置为主控。 AF-2(默认备机) 完成心跳口及地址配置,按地址规划完成心口地址配置;完成双机部署配置,同时开启网口监视; 完成配置同步配置,本项目只需要启动“会话表”和“配置同步”即可 完成配置后,配置同步角色设置为备控 2. 零信任对接CAS认证 提前准跟客户沟通零信任需要的CAS认证接口文档,认证平台的测试账号,CAS认证平台文档接口信息里面对应的对接用鉴权参数等等信息。CAS那边配置应用授权,零信任配置客户端接入地址。(上图为CAS研发提供的认证流程图,下图为深信服),跟CAS研发那边沟通是否可以对接 由于之前没有对接过,初步对接确实有些困难,后续就是协调CAS研发侧和零信任研发侧的对接~~~~ 沟通结果是两端都支持标准cas2.0,只能进行初步尝试,最终配置如下图
讲到这里我们来介绍一下CAS协议:CAS协议是一种基于HTTP/HTTPS协议的认证协议,它允许用户在多个应用系统中使用一个凭证(账号)进行单点登录(SSO)。当用户第一次访问使用CAS协议的应用系统时,其会被重定向到CAS服务器,用户需要在CAS服务器上输入正确的用户名和密码,CAS服务器将会验证用户的信息,如果用户身份被确认,CAS服务器将会向应用系统发送一个有效的凭证,应用系统可以根据这个凭证确定用户的身份,从而实现单点登录 认证超时:设置认证的超时时间,在设置时间内 CAS服务器未回复则认证失败。 接受模板格式:CAS 系统返回用户信息的格式,支持 XML或 JSON格式 认证字段解析:按需填写所需要获取的用户信息字段支持:用户名、组织架构、用户标签、手机号码、描述、邮箱。
关联用户目录:新增选择自定义目录
然后就是授权用户,访问测试
3. 根据业务需求配置应用控制策略和安全防护策略。这里的WAF为单臂部署,提前沟通客户需要流量编排的地址配合引流。 4. 配置合规类产品 5. 使用纪元平台对设备进行巡检,按照巡检报告修复补丁和检查配置。 6. 组织客户培训,对网络管理员和安全运维人员进行培训,输出项目竣工文档方便客户后期维护。 7. 设备开始进行试用,及时处理响应和处理售后问题。 最后总结:1.本次项目客户网络较复杂,客户设备业务/管理分离。需要工程师充分沟通与协调才能梳理客户网络信息,从而解决出现的问题。 2.在实施项目中要沟通好客户需求,客户侧产品非常多,厂家也非常多。在实施过程中需要多次召开项目会议,确保各个组件之间的无缝衔接。 3.遇到问题及时上升,协调多种手段解决客户问题,提升客户信任度和满意度。好的,这次分享先到这里,希望这篇文章能给大家带来启发与帮助~~谢谢大家的观看 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-7-25 21:09
