by 云舒
2008-04-02
http://www.ph4nt0m.org

前些时候有人问过我现在怎么不做技术了，其实我也有做，不过没怎么做底层，而主要是以企业网络为主。从06年元月进入yahoo直到现在，我一直在做这些，只是很少写文章了。最近可能会空一点，扯淡一下企业网络的安全。

第一篇就从YY开始吧。这里随便YY一下内网安全的一部分内容，主要是YY赛门铁克的Symantec Sygate Enterprise Protection解决方案，以内网准入和内网划分为主。YY的原因是因为Symantec的Lan Enforcer支持根据客户端的完整性划分vlan，而微软的IAS支持从AD获取信息，按照用户划分vlan。

Symantec的标准做法是在接入层交换机上起802.1x，并且把认证服务器指向Sygate Lan Enforcer服务器，在Enforcer 上设定Radius代理和检测结果授权(VLAN)。那么，当安装了Agent的客户端连接网络时，首先从Sygate Police Server下载规则，判断自己的完整性。然后将认证信息和完整性信息发送给交换机，最终通过Lan Enforcer发送到radius服务器认证。Lan Enforcer根据radius的认证结果和完整性决定vlan划分结果，并发送到交换机实施。

微软的IAS方案的一种做法，和上面类似，唯一缺少的是完整性信息，但是多出一个去AD获取查询数据，返回用户部门等资料的功能。用户提交的认证信息通过交换机到达IAS，最终到达AD认证。IAS根据用户信息决定如何划分vlan并讲结果发送到交换机实施。

YY开始了。接入层交换机起802.1x认证，认证服务器指向IAS服务器，IAS服务器指到Sygate Lan Enforcer服务器，再指到AD上面。用户端安装Sygate Agent，连接时发送用户信息以及完整性信息，最终到AD认证密码，在Sygate Lan Enforcer认证完整性。如果密码认证失败，禁止接入网络；如果密码成功而完整性失败，划入隔离修复vlan；如果两次检测都成功了，IAS根据AD 的返回信息，划分到该部门的VLAN去。

估计Symantec和Microsoft是不会配合的，不过说不定有第三方的什么产品实现了这种方案，甚至Symantec和Microsoft自己已经实现了而我不知道，因为好久没和这些厂商的售前扯淡了。