码头证券系列---有线网络准入升级

码头证券近期将对总部互联网准入系统进行升级，望各位同事知悉。
什么是准入？维基百科有云 “Network Access Control (NAC) is an approach to computer security that attempts to unify endpoint security technology (such as antivirus, host intrusion prevention, and vulnerability assessment), user or system authentication and network security enforcement.” 简单的说就是一个以认证、授权、审计为核心，附带其他增值功能，例如桌面管理，杀毒的安全产品。

长期以来，码头证券采用黄色盾牌厂家的version 12的产品（去年被某通收购了）。这辆老坦克已经EOL了，简单的说就是出了事，没人管了。黄色盾牌要负责网络准入，杀毒，主机完整性检查（没有域环境下的自行车解决方案，为什么没有域，一言难尽），应用程序，硬件设备控制，防火墙等等功能。黄色盾牌厂家为了照顾广大客户，依旧提供病毒库更新，但是不支持LUA的方式进行分发。LUA全称Liveupdate Administrator，主要功能是定时分发各种定义，且独立于防病毒服务器。不能用LUA就意味着机器的病毒库更新将无法控制，想啥时候更新就更新，就是玩。。为此，只能将version 12升级至version 14 （没有13），但是version 14不支持准入功能。没办法，只能再独立搞一套专门的准入系统（说实话客户端上装的软件都快扑出来了）。

起风了，起风了，国产的风起了，由于众所周知的原因，王者F厂不能用。转而采用长期合作的深圳L厂的产品，该公司以准入和桌管起家的，在金融业里有茫茫多的案例，的确是一个稳定可靠的产品。该产品在码头证券其他终端环境中已长期运行，稳定可靠。黄色盾牌产品的特色是安装后分下组就能用（通过内置防火墙策略进行限制，杜绝即装即用的情况）。L厂则支持ldap/AD认证，有利于资产管理以及人员定位，且不用重启机器（这点非常重要）。

为了做到无感知的产品安装和升级，前期做了很多测试（特此感谢网络组amigo的全力配合，在思科和华为的海洋里翻江倒海，菊花厂的进程假死也真的是坑）。最终采用了先有线后无线，先中后台后业务部门的方针政策进行分批升级（采用802.1X协议）：
1. 通过黄色盾牌按部门，分别推送不含准入的包，神不知鬼不觉的就装好了，nice！

2. 请网络组amigo梳理这些部门所在的VLAN（基本上一个部门就在一个楼层且是一个vlan），为了配置切换做准备。多说一句，菊花厂的交换机支持按端口切换，直接call新配置，无需启停端口，不影响用户的上网体验。思科交换机则需要整台机器上的端口一起切换，幸亏机器上没有多个VLAN，不然切换就复杂了。
3. 通过策略，让产品自动升级，添加准入模块，同时内置一个默认用户，确保用户默认情况下可通过准入。升级过程中将关闭赛门铁克SNAC准入。

4. 网络组amigo切换配置

5. 盘后自动通知用户，输入用户名密码

6. Finish

目前IT部门已经切换完毕，其余部门将陆陆续续开始。由于微信是第一生产力工具，所以通知什么的都靠微信了，通信基本靠吼。

欢迎大家一键三连！此外目前没有监控，没有监控，没有监控，重要的事情说三遍！

码头证券系列---有线网络准入升级

浏览过的版块