一、面临挑战
? 安全挑战:随着移动化办公场景的增多,企业员工登录VPN已经是日常操作,但仅使用传统的静态密码验证,存在这账号,密码泄露或被盗取的风险,企业内部网络的安全以及信息防火都面临这挑战。
? 运维挑战:如仅使用普通弱密码,对于IT人员定期修改密码的工作量巨大,并且回收,修改账号等信息也存在一定的工作代价。 ? 身份管理挑战:随着企业员工的更替,以及岗位的变更。需要去实现统一的身份管理。
? 合规挑战:部分行业(如:银行,金融,政企等)为达到红头文件或者等保的要求,需要在登录网络设备(如:VPN)时进行双重密码认证。
二、解决方案
1、结合Hill Stone VPN双因素认证概述
宁盾双因素认证在企业VPN原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌、企业微信/钉钉H5令牌等动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支
持AD/LDAP/ACS等帐号源,接管VPN帐号的静态密码认证工作。通过在Hill Stone VPN配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工拨入Hill Stone VPN进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。
注:宁盾认证系统为一款软件,全称:宁盾一体化认证平台(Dkey AM系统)
2、Hill Stone VPN对接实践 2.1 服务器登录设置
a.安装后登陆web,http://serverip:8080 用户名admin密码admin
b.点击设置,授权信息,根据添加授权(测试授权问宁盾索要)
c.设置邮箱smtp服务器,方便后续用户接收邮件注册
2.2 添加站点 a.点击站点,添加站点
b.填写信息,保存
c.点击站点名称
2.3. 添加设备 a.点击设备,添加
b.设备名称,自定义
c.设备类型,Hillstone(山石) d.设备地址:SCVPN服务器地址
e.共享密钥就是SSLVPN端添加Raidus服务器时填写的密钥 f.多步认证按需开启 g.角色属性默认
2.4. 添加策略 a.添加策略