|
之前分享了两种准入方案, 802.1x 缺点是需要构建认证体系,需要装客户端,对哑终端放行比较麻烦 tcp_reset 缺点是,通过扫描发现资产,扫描是有周期的,如果资产很多的话,准入是有滞后性的
结合两种方案的缺点,咱们还有一种认证方案,就是MAB认证
这个方案可以像802.1X通过端口去做认证,而且不需要安装客户端,通过设备去控制接入
部署的设备是:物联网网关SIG 物联网管理平台SIMP
部署模式: 旁路部署,接入镜像
前置条件: 1、SIG需要识别前端的哑终端资产信息,将资产上传到SIMP平台建立统一的资产台账; 2、需要交换机开启MAB认证,SIG将资产信息上传到平台进行统一的审核; 3、SIG与终端之间的网络能够互通; 4、交换机能够支持MAB认证或MAC认证,且能够跨三层取MAC地址; 5、交换机有单独的管理IP,且管理IP与SIG之间的网络能够互通。
配置过程: 旁路部署,配置监控网段、资产发现
配置跨三层取MAC
然后SIG配置联动SIMP
SIMP上面也要配置联动SIG(双向)
配置好以后,SIG会把自己发现的资产,上报给SIMP
然后SIMP上要配置资产审核,上报过来的资产,需要SIMP上面去审核,才能入网 如下图所示,在SIMP的待审核资产中勾选受信任资产进行入库。
SIG上的准入配置: 配置802.1X 建议开启临时放通未识别终端,从而使新接入的设备能够自动发现,否则新接入的设备无法发现和识别
交换机配置过程也可以用802.1x认证配置工具,需要勾选上MAB
交换机配置好以后,准入配置就完成对接了
效果就是,设备上线以后,SIG会把资产上传给SIMP,SIMP上对资产进行入库审核,审核通过以后,SIG上对资产进行MAC绑定,并且放行数据通过
而且,一旦资产出现异常,SIMP上面还可以联动SIG对问题资产进行封锁操作 已经下发的阻断,则SIG会把资产状态转为未绑定。
连着三期的准入方案,可以在咱们后续实施的过程中灵活的选择哪种方案适合客户的实际环境,做好内网安全建设。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-9 20:04
技术研究员2级 
