华为USG系列防火墙对接宁盾动态令牌实践

一、面临挑战

? 安全挑战:随着移动化办公场景的增多,企业员工登录VPN已经是日常操作,但仅使用传统的静态密码验证,存在这账号,密码泄露或被盗取的风险,企业内部网络的安全以及信息防火都面临这挑战。

? 运维挑战:如仅使用普通弱密码,对于IT人员定期修改密码的工作量巨大,并且回收,修改账号等信息也存在一定的工作代价。 ? 身份管理挑战:随着企业员工的更替,以及岗位的变更。需要去实现统一的身份管理。0

? 合规挑战:部分行业(如:银行,金融,政企等)为达到红头文件或者等保的要求,需要在登录网络设备时进行双重密码认证。

二、解决方案

1、宁盾双因素认证概述

宁盾双因素认证在华为防火墙原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌、企业微信/钉钉H5令牌等动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管VPN帐号的静态密码认证工作。

通过配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工拨入时首先进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。

注:宁盾认证系统为一款软件,全称:宁盾一体化认证平台(Dkey AM系统)

2、华为USG系列防火墙与宁盾双因素认证对接实践 2.1 HUAWEI USG配置 a. 创建RADIUS服务器

b. 创建策略:在USG上配置安全策略,允许防火漆访问认证服务器,用于认证、授权和计费报文的交互。

c.在所在的用户组下调用认证服务器

2.2 操作宁盾双因素认证平台相关配置 a.增加设备

b.创建用户使用策略

c.创建用户

d. 令牌派发

e.宁盾手机令牌安装

三、登录测试

四、 方案价值

①账号双重保护:宁盾双因素认证在原有账号密码认证基础之上增加一层动态密码认证,以此提升VPN用户接入认证安全,解决弱身份鉴别可能引发的内网信息泄漏隐患;

②多种认证方式:短信令牌、手机令牌、硬件令牌,三种动态密码形式各有优势,客户根据需求自由选择,也可以多种组合;

③与现有系统无缝集成:内置Radius认证模块,可与AD、LDAP等标准账号源结合,同时也支持与企业本地应用、私有云应用以及SAAS等的对接,并为其提供双因素认证服务;

④简化管理:减少企业因静态密码定期强制更改,给员工及IT运维人员带来的麻烦,同时节约账号管理成本;

⑤实名追溯:详尽的登录日志,发生安全事件时可定位到个人,做到用户认证可审计,满足了等保要求;

⑥体验优化:通过简化移动安全接入,优化用户体验,在为用户登录提供安全认证的同时,提升了使用的便捷性,助力企业移动化转型。

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4