ClearPass技術(shù)交流

1、CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reservedCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reservedClearPass技術(shù)交流技術(shù)交流People move. Networks must follow.CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reservedCONFIDENTIAL Copyright 2011. Aruba Network

2、s, Inc. All rights reserved網(wǎng)絡(luò)接入需求在企業(yè)環(huán)境的發(fā)展趨勢(shì)CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved3The iPad 地震地震80 million iPad users worldwideSource: iPad for Business Survey 2012; IDC CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved4 終端結(jié)構(gòu)的裂變終端結(jié)構(gòu)的裂變30年來(lái)第一次年來(lái)第一次少于少

3、于50%的終端的終端是基于是基于Windows/Intel 100% 財(cái)富財(cái)富500強(qiáng)已經(jīng)認(rèn)可強(qiáng)已經(jīng)認(rèn)可iOS iPad 銷(xiāo)售銷(xiāo)售: 年增長(zhǎng)年增長(zhǎng)111% (2012 年第一季度已銷(xiāo)售伍百四年第一季度已銷(xiāo)售伍百四萬(wàn)個(gè)萬(wàn)個(gè)IPAD)*Apple Q1 ResultsCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved5IT的大眾消費(fèi)化的大眾消費(fèi)化By: Dimensional Research 2011CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All r

4、ights reserved6中國(guó)客戶(hù)調(diào)研中國(guó)客戶(hù)調(diào)研 78.9% 允許員工自帶設(shè)備允許員工自帶設(shè)備 57.8% 允許外來(lái)訪客入網(wǎng)允許外來(lái)訪客入網(wǎng) 58.2% 認(rèn)為安全是最大的挑戰(zhàn)認(rèn)為安全是最大的挑戰(zhàn) 43.4% 希望網(wǎng)絡(luò)便于維護(hù)管理希望網(wǎng)絡(luò)便于維護(hù)管理CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved7企業(yè)網(wǎng)絡(luò)接入需求的變化趨勢(shì)企業(yè)網(wǎng)絡(luò)接入需求的變化趨勢(shì)終端類(lèi)型接入方式用戶(hù)身份BYOD 2011ANY DEVICEANY NETWORKBYOD 2012+EmployeeiOSEVERYONECONFID

5、ENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved8BYOD帶來(lái)的企業(yè)接入新挑戰(zhàn)帶來(lái)的企業(yè)接入新挑戰(zhàn)ANY NETWORKBYOD 2012+iOS Android UltrabooksANY USER如何才能持續(xù)保護(hù)如何才能持續(xù)保護(hù)企業(yè)網(wǎng)絡(luò)和用戶(hù)終企業(yè)網(wǎng)絡(luò)和用戶(hù)終端安全？端安全？如何才能使員工和如何才能使員工和訪客接入擁有更加訪客接入擁有更加可靠和直觀的體驗(yàn)？可靠和直觀的體驗(yàn)？如何才能減少如何才能減少I(mǎi)T和和幫助臺(tái)人員的工作幫助臺(tái)人員的工作負(fù)擔(dān)？負(fù)擔(dān)？CONFIDENTIAL Copyright 2011. Arub

6、a Networks, Inc. All rights reserved9ARUBA幫助您開(kāi)啟幫助您開(kāi)啟BYOD網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù) ClearPass提供用戶(hù)帳號(hào)的管理、以及基于用戶(hù)身份、終端類(lèi)型和接入位置的識(shí)別和策略分發(fā) Mobility Controller配合各種類(lèi)型的“瘦”接入點(diǎn)對(duì)用戶(hù)流量進(jìn)行策略控制 AirWave實(shí)現(xiàn)網(wǎng)絡(luò)和用戶(hù)歷史信息的統(tǒng)計(jì)和追蹤新型移動(dòng)企業(yè)架構(gòu)新型移動(dòng)企業(yè)架構(gòu)AirWave NetworkManagement數(shù)據(jù)中心數(shù)據(jù)中心Mobility Controller+各種類(lèi)型的“瘦”接入點(diǎn)WIRELESSWIREDVPNREMOTEOFFICEOUTDOOR各種終端設(shè)備

7、ClearPass Access Management+CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reservedCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reservedARUBA ClearPass方案介紹CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved11ClearPass Policy Manager: 中心化的身份認(rèn)證和策略決策另外提供以

8、下功能組件：vClearPass Onboard: 訪客和員工移動(dòng)終端的自助配置和部署vClearPass Profile: 多因素終端識(shí)別，提供策略決策的依據(jù)vClearPass OnGuard: 終端設(shè)備的健康性檢查和自動(dòng)修復(fù)vClearPass Guest: 訪客接入的帳號(hào)自助注冊(cè)和集中管理ClearPass QuickConnect: 基于云端的802.1X快速部署服務(wù)Aruba ClearPass 產(chǎn)品簡(jiǎn)介產(chǎn)品簡(jiǎn)介CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved12ClearPass實(shí)現(xiàn)移動(dòng)終端

9、的安全接入實(shí)現(xiàn)移動(dòng)終端的安全接入終端部署策略決策策略實(shí)施CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved13自動(dòng)化的員工終端部署（自動(dòng)化的員工終端部署（Onboarding）1.訪問(wèn)終端部署頁(yè)面訪問(wèn)終端部署頁(yè)面接入網(wǎng)絡(luò)接入網(wǎng)絡(luò)2.ClearPass 策略服務(wù)器策略服務(wù)器配置終端的配置終端的802.1X、VPN和和e-mail參數(shù)，并部署終參數(shù)，并部署終端證書(shū)或密鑰端證書(shū)或密鑰CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reser

10、ved14ClearPass QuickConnect簡(jiǎn)化簡(jiǎn)化802.1X部署部署CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved15ClearPass QuickConnect簡(jiǎn)化簡(jiǎn)化802.1X部署部署CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved16自動(dòng)化的訪客終端部署（自動(dòng)化的訪客終端部署（Onboarding）1.3.接入網(wǎng)絡(luò)接入網(wǎng)絡(luò)2.聯(lián)系人對(duì)訪客帳號(hào)進(jìn)聯(lián)系人對(duì)訪客帳號(hào)進(jìn)行確認(rèn)行確認(rèn)ClearPass

11、策略服務(wù)器策略服務(wù)器訪客帳號(hào)通過(guò)訪客帳號(hào)通過(guò)web、email或短信進(jìn)行分發(fā)或短信進(jìn)行分發(fā)填寫(xiě)訪客信息填寫(xiě)訪客信息新來(lái)訪客新來(lái)訪客聯(lián)系人聯(lián)系人CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved17ClearPass訪客管理（訪客管理（Guest） Centos 5.5 Linux OS2.6.18 kernel FreeRadiusFast, feature rich and scalable PostgreSQL DatabaseANSI-SQL:2008 Apache Web serverRuns ov

12、er 100 million websites54% of internet websites (Feb 2010)CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved18ClearPass Guest部署架構(gòu)部署架構(gòu)ClearPassGuestCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved19基于基于Role的訪客管理員權(quán)限的訪客管理員權(quán)限 基于基于Role的訪客管理員權(quán)限的訪客管理員權(quán)限每個(gè)訪客管理員具有各自的管理

13、界面每個(gè)訪客管理員只能訪問(wèn)各自的頁(yè)面和表單每個(gè)訪客管理員只能創(chuàng)建和查看各自指定的訪客帳號(hào)ClearPassGuestCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved20訪客帳號(hào)管理訪客帳號(hào)管理集中管理模式集中管理模式CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved21訪客帳號(hào)管理訪客帳號(hào)管理自助注冊(cè)模式自助注冊(cè)模式 訪客帳號(hào)創(chuàng)建訪客帳號(hào)創(chuàng)建可以與訪客手機(jī)帳號(hào)綁定支持聯(lián)系人email確認(rèn)機(jī)制支持LDAP預(yù)認(rèn)證機(jī)制 訪客

14、帳號(hào)的分發(fā)訪客帳號(hào)的分發(fā)Web頁(yè)面Email發(fā)送打印訪客憑條手機(jī)短信發(fā)送CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved22定制個(gè)性化企業(yè)風(fēng)格頁(yè)面定制個(gè)性化企業(yè)風(fēng)格頁(yè)面 CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved23基于訪客信息的智能廣告服務(wù)基于訪客信息的智能廣告服務(wù) 廣告媒體格式：廣告媒體格式：- 文字- 圖片(jpg,png,gif)- Flash文件(swf)- 在線視頻- SMS / MMS廣告投放算法

15、：廣告投放算法：- 固定投放- 輪流投放- 加權(quán)投放- 智能分析CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved24多廠商無(wú)線網(wǎng)絡(luò)設(shè)備整合多廠商無(wú)線網(wǎng)絡(luò)設(shè)備整合CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved25終端接入的策略決策終端接入的策略決策EmployeesContractorsGuestsStudentsFacultyHQBranchHomeRemoteTimeof dayDataVideoVoiceHea

16、lthDevice TypePersonalCorporatePolicyMediaVirtualDesktopCloud允許員工個(gè)人終端訪問(wèn)受限的網(wǎng)絡(luò)資源BYOD Policy為企業(yè)高級(jí)經(jīng)理人員提供更高的優(yōu)先級(jí)Executive Class Policy實(shí)現(xiàn)協(xié)同辦公系統(tǒng)（Lync）的服務(wù)質(zhì)量?jī)?yōu)化Multimedia Policy阻止非授權(quán)的用戶(hù)接入U(xiǎn)nauthorized Use Policy撤銷(xiāo)丟失終端的接入授權(quán)Device Revocation Policy隔離并修復(fù)不符合企業(yè)安全準(zhǔn)則的終端設(shè)備Device Quarantine PolicyCONFIDENTIAL Copyright

17、2011. Aruba Networks, Inc. All rights reserved26ClearPass終端識(shí)別（終端識(shí)別（Profiling）ClearPass Policy Manager 5.1自動(dòng)識(shí)別所有終端設(shè)備自動(dòng)識(shí)別所有終端設(shè)備 智能手機(jī)智能手機(jī), 平板電腦平板電腦, 打印機(jī)打印機(jī), 筆記本電腦筆記本電腦實(shí)施基于終端類(lèi)別的精細(xì)策略實(shí)施基于終端類(lèi)別的精細(xì)策略?xún)x表盤(pán)實(shí)時(shí)顯示終端分類(lèi)統(tǒng)計(jì)儀表盤(pán)實(shí)時(shí)顯示終端分類(lèi)統(tǒng)計(jì)CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved27終端設(shè)備的精確分類(lèi)終端設(shè)備

18、的精確分類(lèi)5級(jí)終端分類(lèi)級(jí)終端分類(lèi)數(shù)據(jù)采集器數(shù)據(jù)采集器MACDHCPHTTP企業(yè)基礎(chǔ)設(shè)施企業(yè)基礎(chǔ)設(shè)施ActiveSyncIF-MAPADClearPass策略服務(wù)器移動(dòng)控制器移動(dòng)控制器OnGuardCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved28網(wǎng)絡(luò)安全準(zhǔn)入控制（網(wǎng)絡(luò)安全準(zhǔn)入控制（OnGuard）收集終端設(shè)備信息收集終端設(shè)備信息檢測(cè)終端是否健康檢測(cè)終端是否健康阻止不安全終端對(duì)企業(yè)網(wǎng)絡(luò)資源的訪問(wèn)阻止不安全終端對(duì)企業(yè)網(wǎng)絡(luò)資源的訪問(wèn)修復(fù)不安全終端修復(fù)不安全終端將網(wǎng)絡(luò)安全隱患限制到最低程度將網(wǎng)絡(luò)安全隱患限制到最

19、低程度接入網(wǎng)絡(luò)接入網(wǎng)絡(luò)ClearPass 策略服務(wù)器策略服務(wù)器CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved29在網(wǎng)絡(luò)中實(shí)施差異化策略在網(wǎng)絡(luò)中實(shí)施差異化策略任何網(wǎng)絡(luò)ClearPass策略服務(wù)器策略服務(wù)器負(fù)責(zé)終端策略決策負(fù)責(zé)終端策略決策終端策略實(shí)施終端策略實(shí)施PermitDenyWhitelistBlacklistRedirectNATBandwidth MgmtOptimize MultimediaARUBA提供更加優(yōu)化的策略實(shí)施能力CONFIDENTIAL Copyright 2011. Aruba

20、Networks, Inc. All rights reserved30無(wú)線用戶(hù)的關(guān)聯(lián)歷史審計(jì)無(wú)線用戶(hù)的關(guān)聯(lián)歷史審計(jì)用戶(hù)時(shí)間IP地址位置Bingo!導(dǎo)出關(guān)聯(lián)記錄導(dǎo)出關(guān)聯(lián)記錄CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved31簡(jiǎn)化移動(dòng)終端設(shè)備的部署的連接簡(jiǎn)化移動(dòng)終端設(shè)備的部署的連接ARUBA ClearPass的價(jià)值的價(jià)值重新獲得對(duì)網(wǎng)絡(luò)安全的控制能力重新獲得對(duì)網(wǎng)絡(luò)安全的控制能力在多樣化的企業(yè)網(wǎng)絡(luò)中啟用在多樣化的企業(yè)網(wǎng)絡(luò)中啟用BYODCONFIDENTIAL Copyright 2011. Aruba Net

21、works, Inc. All rights reserved32案例介紹案例介紹沙特石油公司沙特石油公司解決方案解決方案 作為Radius服務(wù)器提供802.1X認(rèn)證服務(wù) 未授權(quán)用戶(hù)和非健康終端控制器 BYOD終端自助注冊(cè)和部署服務(wù) ClearPass Policy Manager, OnGuard 和QuickConnect選擇選擇ARUBA的原因的原因 支持多廠商網(wǎng)絡(luò)設(shè)備和多終端終端操作系統(tǒng) 支持服務(wù)器N+1 集群和擴(kuò)展 完整的AAA, NAC 和 策略管理功能 快速的802.1X終端自助部署能力項(xiàng)目背景項(xiàng)目背景 在3年內(nèi)增長(zhǎng)到18,5000個(gè)終端設(shè)備 網(wǎng)絡(luò)設(shè)備: Aruba, HP, J

22、uniper, HP, Alcatel-Lucent, Cisco, ADCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved33案例介紹案例介紹國(guó)內(nèi)某證券公司國(guó)內(nèi)某證券公司用戶(hù)需求用戶(hù)需求l 將用戶(hù)區(qū)分為臨時(shí)訪客、長(zhǎng)期訪客和內(nèi)部員工l 認(rèn)證和接入控制機(jī)制：- 臨時(shí)訪客：Web Portal認(rèn)證- 長(zhǎng)期訪客：802.1X認(rèn)證+網(wǎng)絡(luò)安全準(zhǔn)入- 內(nèi)部員工：802.1X認(rèn)證+結(jié)合企業(yè)ADl 要求采用自助注冊(cè)和部署機(jī)制l 統(tǒng)一Portal引導(dǎo)頁(yè)面系統(tǒng)部署 ARUBA無(wú)線控制器+802.11n無(wú)線接入點(diǎn) ARUBA C

23、learPass Policy Manager + Guest + OnGuard + QuickConnect CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved34案例介紹案例介紹國(guó)內(nèi)某證券公司（國(guó)內(nèi)某證券公司（ARUBA實(shí)現(xiàn)方式）實(shí)現(xiàn)方式）Guest臨時(shí)訪客臨時(shí)訪客聯(lián)系人聯(lián)系人注冊(cè)審核注冊(cè)審核長(zhǎng)期訪客長(zhǎng)期訪客內(nèi)部員工內(nèi)部員工Dot1XClearPass GuestClearPass 策略服務(wù)器策略服務(wù)器Active Directory企業(yè)網(wǎng)互聯(lián)網(wǎng)unhealthyhealthyCONFIDENTIAL

24、 Copyright 2011. Aruba Networks, Inc. All rights reservedCONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved連云港用戶(hù)測(cè)試案例介紹CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved36用戶(hù)需求用戶(hù)需求1. 在客戶(hù)側(cè)實(shí)現(xiàn)外網(wǎng)（chinanet）和內(nèi)網(wǎng)無(wú)線覆蓋；2. 在客戶(hù)的無(wú)線覆蓋區(qū)域，只允許特定客戶(hù)可以使用無(wú)線網(wǎng)絡(luò)；3. 客戶(hù)在登錄外網(wǎng)或內(nèi)網(wǎng)是均采用“一次一密”；4. 由于某公司主要用電信的天翼手機(jī)，密碼的獲取方式采用手機(jī)獲取；5. 在客戶(hù)側(cè)接入的客戶(hù)分為三類(lèi)：一、只能上外網(wǎng)，二、只能上內(nèi)網(wǎng)，三、既能上內(nèi)網(wǎng)，又能上外網(wǎng)。CONFIDENTIAL Copyright 2011. Aruba Networks, Inc. All rights reserved37網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)CONFIDENTIAL Copyr