4524999916aruba od 行业应用场景分析ver 21[1].ppt

,BYOD 行业应用场景分析Aruba MOVE 网随人动,People move.Networks must follow.,Agenda,客户普遍遇到的难题行业场景的应用分析教育行业医疗行业金融行业企业零售行业,1.客户普遍遇到的难题,客户普遍遇到的难题,希望通过802.1x加强安全性，但配置复杂，终端类型和数量繁多；员工和访客自带的设备越来越多，如何能让他们方便、安全入网；如何实现帐户和设备的绑定，并且对帐号所绑定设备的数量进行限制；如何集成原有的AD、LDAP、Radius等数据库源；如何保证客户端系统自身的健康；如何限制设备连接特定的SSID，禁止其连接其他无线网络；如何实现终端挂失的管理，避免因终端丢失，导致企业出现安全漏洞；如何实现访客自助注册，校验身份，是否可通过SMS发送帐户信息；访客的接入，如何限制其使用的时间，限制其带宽。,BYOD 风暴来临！,2.行业场景的应用分析,ClearPass功能与行业需求的对应表,客户最关心的场景,ClearPass功能与行业需求的对应表(续),教育行业客户,教育行业客户应用场景,应用场景(1)：教职工和学生终端的管理学校希望学生上网帐户不被多人共享使用；实现终端接入和传输数据的安全；甚至对学生的上网行为进行监控。这些都需要一个前提条件：学生的帐户信息与机器信息需要做紧密的绑定。另外，为了保证网络信息的安全，学校还希望对教职工的终端（包括学校分配和自带设备）进行统一管控。随着智能终端的普及，每个教职工都可能持有2台以上的无线终端，再加上在校学生以及每年数千名的入学新生都会自带设备接入网络，IT管理员如何能够管理如此数量庞大的终端？当无线网络架构设计并部署完成之后，为了使广大终端设备能够接入到无线网络，IT人员必须帮助每个人员配置其终端设备，安装必要的证书等。这操作在学校无线网络建设过程中往往比网络设备架设和部署更加耗费IT人员的时间和精力。而且这些终端设备在后期使用过程中的维护和故障诊断及排除等等工作也全都要依赖于IT部门。,解决方案：利用ClearPass构建终端设备自助接入配置服务系统，让每一名员工和学生在不依赖IT人员协助的前提下，通过ClearPass提供的基于Web自助服务完成其终端设备的安全配置，自动加入到学校无线网络安全架构中通过ClearPass对各类终端进行识别、认证和标记，明确区分IT下发终端和教职工、学生的个人智能终端，并对终端和帐号信息进行自动绑定系统自动识别不同类型的终端设备，并在终端设备的自助注册配置流程中不仅利用现有的用户数据库进行身份的预认证，而且为每台设备创建独立的安全帐号，对其进行针对性的网络接入安全策略管理。客户价值：所有操作都通过用户自助和后台自动方式实现，为IT管理部门有效减负终端接入网络的安全性得到极大的加强自动对终端和帐户进行绑定，使得管理过海量终端的硬件和帐户信息成为可能,教育行业客户应用场景,教育行业客户应用场景,应用场景(2)：限制学生帐户所绑定的终端数量，精确定位使用者的身份学校按照学生帐户包月收费，他们希望学生帐户不被多人共享使用，也即限制每个帐户所绑定的终端数量。其次，学校还希望在出现网络案件时，可以对涉案人员进行精确定位。随着智能手机、平板电脑等智能终端的普及，每个学生都可能持有多台无线终端，他们会用一个帐号在所有终端上登录；再加上有些学生把帐户信息透漏给其他同学，学校经常发现有帐号共享使用的情况，学校的合理收益将会流失。那学校如何管理帐号和终端的绑定？帐户信息可共享的话，当发生严重的安全时间或者政治事件，公安机关和校方希望追查信息发布来源时，无法100%取证，当事人可能会以帐户被盗或者曾共享给其他人为由，逃避责任。那学校如何通过简便的手段追查事件来源，并且100%定位责任人？,教育行业客户应用场景,解决方案：采用ClearPass对各类终端进行识别、认证和标记，明确区分IT下发终端和个人智能终端，并对终端和帐号进行绑定采用ClearPass定制灵活的认证策略，基于帐号绑定终端的数量、限制并发认证的数量等，实现终端接入控制客户价值：实现对所有终端以及使用者身份和帐户进行绑定杜绝因帐号共享，导致学校在学生上网收费中的损失网络事件简易追查，对涉事人员快速定位并避免其以帐号被盗或曾经共享给别人为由逃避责任,教育行业客户应用场景,应用场景(3)：集成学校原有的LDAP目前，有些学校正在使用LDAP，但在无线网络当中实施802.1x/EAP-PEAP认证时，希望通过LDAP获取帐户信息，绝大部分的友商都无法实现。如果需要实现上述组网，一般需要在Windows终端安装EAP-GTC的客户端软件，这无疑给部署和管理带来极大的不便,教育行业客户应用场景,解决方案：采用ClearPass对各类终端进行认证，避免在Radius服务器与LDAP服务器之间采用密码查询的方式来直接对无线终端进行认证，转而采用以LDAP binding为基础的终端授权机制为获得授权的无线终端在CPPM上创建独特的终端帐号和密钥，然后以这套帐号为基础实现EAP-PEAP/MSchapv2认证以及进一步的授权。客户价值：保留了学校现有的LDAP架构，同时实现了无线网络通过LDAP进行帐户的校验避免了为支持通过LDAP认证，在所有客户端上安装客户端软件的麻烦,教育行业客户应用场景,应用场景(4)：Portal认证后MAC地址自动缓存和无感知认证Web Portal认证由于具有轻客户端特性，成为所有无线校园网部署中使用最为广泛的认证方式。然而，随着近年来浏览器种类日益多样化，Web Portal认证也不时发生各种由于兼容性、安全性因素引起的Portal推送或者认证失败故障，从而导致用户投诉增加。与此同时，由于Portal认证是一种三层认证，每次认证时都需要无线用户在认证页面上手工填写用户名和密码。因此，无线用户在使用上网过程中，由于在线状态超时、或者用户主动离线等原因，经常需要重复填写帐号和密码，以完成再次认证的过程，从而使得用户的体验下降。为了解决Web Portal认证带来的用户体验不理想的问题，在安全性要求不高的环境下（如大学校园内的学生上网等），有许多用户正在考虑使用MAC地址认证的方式来替代Web Portal认证。MAC地址认证是一种无感知认证，无线网络通过对终端MAC地址的识别来判别该终端是否为合法用户，不需要手工输入帐号和密码，无线用户的认证体验非常好。但是，在高校学生上网的环境中启用MAC地址认证存在着巨大的可管理性问题：用户数量庞大且具有流动性，无法维护MAC数据库；MAC地址认证与实际用户的帐户、身份没有对应关系，增加了差异化策略控制和上网审计的难度。,教育行业客户应用场景,解决方案：利用ClearPass，在用户网络中配置一个采用MAC+Portal认证的无线网络，对于已经有MAC缓存的用户，马上认证通过，并且获得LDAP属性分配的角色；对于不符合MAC认证条件的用户，分配Portal认证前角色，通过浏览器推送页面，进行Web Portal认证并实施MAC地址缓存设置每个用户帐号可以绑定的MAC地址数量（例如老师、学生和访客可以分别设置为5个、2个和1个），以避免帐号的滥用设置每次MAC地址缓存后可以进行MAC无感知认证的期限（例如老师、学生和访客可以分别设置为7天、2天和8小时），从而实现对MAC地址与用户帐号绑定关系的周期性确认设置MAC地址认证后的差异化角色和策略（例如老师、学生在MAC认证时仍然可以依据该用户在LDAP中的属性获得正确的角色和策略）客户价值：整合了MAC地址和Web Portal认证的优势使得帐户以及设备信息绑定、绑定设备的数量都成为了可能实现了客户认证的无感知，上网体验得到加强,教育行业客户应用场景,应用场景(5)：访客互联网接入服务在学校，越来越多的各类访客（比如上级领导视察、研究生考察、家长、外校考生等）需要学校提供便捷的互联网接入服务，以访问各种网络资源。当外来访客试图连接访客网络时，如何通过自助注册的方式获得访客帐号？如何对访客的自助注册行为进行控制，以确保只有真正的访客才能获得访客帐号？如何对特定时间段访客帐号的申请次数、有效时长、接入终端数量进行灵活设置？是否可以为学校提供定制化的认证页面，以及提供访客欢迎页面？,教育行业客户应用场景,解决方案：采用ClearPass Guest模块提供访客自助注册、手机短信分发功能。同时，认证过程对临时账户和申请人手机号进行了绑定，方便追查和进行上网行为审计。可选通过ClearPass的联系人审批功能，由合法的学校联系人对访客帐号请求进行在线审批可选通过让访客输入学生名字+学号等信息组合，直接获取访客帐号采用ClearPass定制灵活的认证策略，基于访客帐号绑定的终端数量、并发认证数量、在线时长、带宽合同、流量预算等实现访客终端的接入控制客户价值：灵活、自助式访客帐号管理和短信分发，结合内部人员审批机制，不需要IT部门介入提供强大的认证策略定制和实施能力，帮助IT部门有效控制访客对学校网络资源的占用内置功能强大的Portal服务，不需要部署另外的Web服务器,医疗行业客户,医疗行业客户应用场景,应用场景(1)：加强移动医疗终端的接入安全性目前，很多医院希望加强对移动医疗终端的接入安全性，包括用于移动护理、移动查房的各种类型终端。这些终端的共同特点就是移动性，他们通过无线网络获取相应的医疗数据，为病人提供及时的医护服务。然而，这些终端所访问的医疗数据非常重要，因此，医院必须加强这些终端的接入安全性。移动护理终端可能有不同的硬件类型，也使用了多种操作系统，医院如何便捷的在这些终端上实现高度安全，比方说802.1x？万一移动护理终端不慎遗失，如何能够防止丢失的终端继续连接业务无线网络？从安全性考虑，如何有效杜绝医护人员在空闲时使用业务终端连接访客网络？,解决方案：利用ClearPass可以在终端上自动实现802.1X配置，无论它们使用的是Windows、Mac OS X、iOS还是Android系统。通过ClearPass灵活定制认证策略，基于用户身份、终端类型等分配不同的接入策略ClearPass内置证书签发和管理功能，在终端遗失的情况下能够对已签发证书进行注销，拒绝丢失终端的连接请求ClearPass能够对终端进行标记和属性编辑，主动拒绝业务终端对访客网络的接入请求客户价值：终端接入网络的安全性得到极大的加强内置证书签发、安装和注销功能，不需要另外部署证书服务器杜绝移动医疗终端连接非业务网络的情况,医疗行业客户应用场景,医疗行业客户应用场景,应用场景(2)：医护人员自带设备的管理随着智能手机、平板电脑等智能终端的普及，每个医护人员都可能同时拥有IT部门下发的医护终端和个人拥有的智能手机、平板等多个终端，IT管理员如何能够按照如下要求对各类终端的接入策略进行有效管理？对终端类型进行识别，只有IT部门下发的终端才能访问医院内部网络，个人自带终端则需要通过自助注册以后，才能接入网络并访问有限制的网络资源根据员工身份不同，每个员工允许注册的个人智能终端数量不同,医疗行业客户应用场景,解决方案：采用ClearPass对各类终端进行识别、认证和标记，明确区分IT下发终端和个人智能终端，并对终端和帐号进行绑定通过ClearPass灵活定制认证策略，基于用户身份、终端类型等分配不同的接入策略客户价值：提供基于多因素的认证服务，强化无线终端接入的安全性和可控性所有操作都通过用户自助和后台自动方式实现，为IT管理部门有效减负,医疗行业客户应用场景,应用场景(3)：访客互联网接入服务在医院，越来越多的病人和病人亲属需要医院提供便捷的互联网接入服务，以访问各种网络资源。当病人和病人亲属试图连接访客网络时，如何通过自助注册的方式获得访客帐号？如何对访客的自助注册行为进行控制，以确保只有真正的访客才能获得访客帐号？如何对特定时间段访客帐号的申请次数、有效时长、接入终端数量进行灵活设置？是否可以为医院提供定制化的认证页面，以及提供访客欢迎页面？,医疗行业客户应用场景,解决方案：采用ClearPass Guest模块提供访客自助注册、手机短信分发功能可选通过ClearPass的联系人审批功能，由合法的医院联系人对访客帐号请求进行在线审批可选通过输入病人名字+就诊编号等信息组合，直接获取访客帐号采用ClearPass定制灵活的认证策略，基于访客帐号绑定的终端数量、并发认证数量、在线时长、流量预算等实现访客终端的接入控制客户价值：灵活、自助式访客帐号管理和短信分发，结合内部人员审批机制，不需要IT部门介入提供强大的认证策略定制和实施能力，帮助IT部门有效控制访客对医院网络资源的占用内置功能强大的Portal服务，不需要部署另外的Web服务器,金融行业客户,金融客户应用场景,应用场景(1)：银行员工移动办公随着智能手机、平板电脑等智能终端的普及，每个员工都可能同时拥有IT部门下发的笔记本电脑和个人拥有的智能手机、平板等多个终端，IT管理员如何能够按照如下要求对各类终端的接入策略进行有效管理？对终端类型进行识别，只有IT部门下发的终端才能访问银行办公网络，个人智能终端则需要通过自助注册后才能接入网络并访问有限制的网络资源根据员工身份不同，每个员工允许注册的个人智能终端数量不同IT部门下发的笔记本电脑以及员工个人终端不允许连接访客网络,金融客户应用场景,解决方案：采用ClearPass对各类终端进行识别、认证和标记，明确区分IT下发终端和个人智能终端，并对终端和帐号进行绑定通过ClearPass灵活定制认证策略，基于用户身份、终端类型等分配不同的接入策略ClearPass能够对终端进行标记和属性编辑，主动拒绝员工终端对访客网络的接入请求客户价值：提供基于多因素的认证服务，强化无线终端接入的安全性和可控性所有操作都通过用户自助和后台自动方式实现，为IT管理部门有效减负,金融客户应用场景,应用场景(2)：营业网点大堂经理的主动式服务为了向VIP顾客提供更加优质的差异化服务，商业银行开始在营业网点部署无线网络，使大堂经理能够通过平板电脑为VIP顾客提供业务查询、办理等服务。由于平板电脑需要访问业务系统资源，因此如何对这种业务终端进行精确识别和严格管理，以确保银行业务系统网络的安全，成为IT部门面临的新挑战。当平板电脑试图连接业务无线网络时，如何确保这个终端就是IT部门授权的平板电脑，而不是其它终端？万一平板电脑不慎遗失，如何能够防止丢失的终端继续连接业务无线网络？从安全性考虑，如何有效禁止大堂经理在空闲时用业务终端连接访客网络？,金融客户应用场景,解决方案：采用ClearPass Profile和Onboard功能对平板电脑进行识别，并根据帐号权限自动安装企业私有证书，只有安装了有效的私有证书的终端才能连接业务无线网络ClearPass内置证书签发和管理功能，在终端遗失的情况下能够对已签发证书进行注销，拒绝丢失终端的连接请求ClearPass能够对终端进行标记和属性编辑，主动拒绝业务终端对访客网络的接入请求客户价值：强化终端接入的安全性和可管理性，实现网络安全和业务扩展的完美结合采用网页向导完成终端证书的签发、安装和无线参数配置，简单易行内置证书签发、安装和注销功能，不需要另外部署证书服务器杜绝了业务终端访问非业务或者第三方的无线网络,金融客户应用场景,应用场景(3)：营业网点VIP顾客互联网接入服务为了向VIP顾客提供更加优质的差异化服务，金融客户开始在营业网点部署无线网络，使VIP顾客在等待办理业务时，能够通过访客无线网络访问Internet。当VIP顾客试图连接访客网络时，如何进行帐号的自助注册，以及如何获得注册帐号？访客网络如何能够结合商业银行的VIP数据库，对VIP顾客进行识别，并在VIP进行帐号注册或接入认证时进行有效控制？如何为商业银行提供定制化的认证页面，以及分别面向普通理财顾客和VIP顾客提供差异化的欢迎和智能广告页面？,金融客户应用场景,解决方案：采用ClearPass Guest模块提供访客自助注册、手机短信分发功能通过ClearPass的LDAP和SQL数据库接口与商业银行的VIP数据库进行对接，进行访客信息校验，对VIP理财顾客进行识别，实现普通理财顾客和VIP理财顾客的差异化控制采用ClearPass Guest内置的Portal服务和智能广告服务，实现认证页面、欢迎页面的客户化定制和基于访客身份的智能广告投放客户价值：灵活、自助式访客帐号管理和短信分发，结合VIP数据库自动校验，不需要IT部门或者大堂经理介入内置功能强大的Portal定制服务，不需要部署额外的Web服务器具备智能广告推送功能，能够与银行业务结合提供增值服务,企业客户,企业客户应用场景,应用场景(1)：企业员工移动办公随着智能手机、平板电脑等智能终端的普及，每个员工都可能同时拥有IT部门下发的笔记本电脑和个人拥有的智能手机、平板等多个终端，IT管理员如何能够按照如下要求对各类终端的接入策略进行有效管理？对终端类型进行识别，只有IT部门下发的终端才能访问企业内部网络，个人智能终端则需要通过自助注册后才能接入网络并访问有限制的网络资源根据员工身份不同，每个员工允许注册的个人智能终端数量不同IT部门下发的笔记本电脑以及员工个人终端不允许连接访客网络,企业客户应用场景,解决方案：采用ClearPass对各类终端进行识别、认证和标记，明确区分IT下发终端和个人智能终端，并对终端和帐号进行绑定通过ClearPass灵活定制认证策略，基于用户身份、终端类型等分配不同的接入策略ClearPass能够对终端进行标记和属性编辑，主动拒绝员工终端对访客网络的接入请求客户价值：提供基于多因素的认证服务，强化无线终端接入的安全性和可控性所有操作都通过用户自助和后台自动方式实现，为IT管理部门有效减负,企业客户应用场景,由于历史的原因，现在仍然有大量企业采用MAC地址认证的方式对员工个人终端接入进行控制，并随着个人终端的不断普及和更新而遭遇MAC地址管理的扩展性难题。个人智能终端具有非常高的流动性，以传统的纯手工帐号管理方式无法满足日益增长的个人智能终端联网需求，如何能够实现员工个人终端的自动注册和注销？标准的MAC地址认证采用终端MAC地址作为用户名，如何才能反映出真正使用者的相关信息，并实现用户上线和离线行为的审计？在采用MAC地址认证时，如何能够与企业AD进行联动，基于使用者身份，实现差异化的访问权限、带宽、路由等策略控制？,应用场景(2)：强化企业原有的接入控制机制,企业客户应用场景,解决方案：采用ClearPass结合企业AD提供终端自助注册服务，实现AD帐号与终端MAC地址的绑定在MAC认证时，通过ClearPass提供用户名属性更新操作，使用户在线记录直接反映出使用者信息，而不是无法识别的MAC地址ClearPass可以利用与终端绑定的用户信息进行AD查询和授权，实现差异化用户策略客户价值：在延续企业原有MAC认证的基础上，使帐号管理由繁琐、非实时的手工管理改变为动态自动管理模式，大大简化管理员工作将认证和授权从MAC地址转换为终端使用者的身份，既实现了基于企业AD的差异化策略控制能力，又满足了基于用户名的网络上、下线审计要求,企业客户应用场景,应用场景(3)：实现终端接入的健康检查由于多种类型的员工自带设备获得了接入网络的权限，所有这些设备实际上都是网络安全的漏洞，比方说这些设备如果中毒或者被安装了一些木马程序，那这些设备通过合法帐户和程序接入网络后，会严重影响企业内网的安全。企业IT部门希望通过便捷的手段，在终端完全获得接入网络权限之前，对终端的健康状况进行检查，不符合安全标准的终端将无法接入网络。设备类型和操作系统多种多样，如何对所有这些系统进行准入的安全检查？是否可以让终端在接入网络时，用户自助注册与安装健康检查的代理工具，无需IT部门介入？,企业客户应用场景,解决方案：采用ClearPass对各类终端进行高级网络访问控制(NAC)和网络访问保护(NAP)，提供了无可比拟的漏洞防护功能ClearPass可支持对多种类型操作系统进行健康检查，包括Microsoft、Apple、Linux的多种系统除了对防病毒、反间谍软件以及个人防火墙应用程序进行端点安全状况和健康状况检查外，ClearPass OnGuard 代理还进行高级健康状况检查，这些检查指出如何处理对点到点应用程序、USB 存储设备以及桥接的网络接口的使用 在终端上运行永久性 OnGuard 代理时，ClearPass Policy Manager 可以集中识别和管理健康状况检查设置，在整个系统范围内发送通知和警报，允许或拒绝网络访问 客户价值：提供完善的终端健康扫描机制，加强企业网络的安全性健康扫描机制支持多种操作系统，使得全网终端接入网络的健康检查成为可能,企业客户应用场景,应用场景(4)：企业访客互联网接入服务在企业日常经营过程中，越来越多的各类访客（比如上级视察、考察、合作伙伴、客户、供应商）需要企业提供便捷的互联网接入服务，以访问各种网络资源。为此，企业IT管理员需要解决以下难题：当外来访客试图连接访客网络时，如何通过自助注册的方式获得访客帐号？如何对访客的自助注册行为进行控制，以确保只有真正的访客才能获得访客帐号？如何对特定时间段访客帐号的申请次数、有效时长、接入终端数量进行灵活设置？是否可以为企业提供定制化的认证页面，以及内嵌企业产品广告的访客欢迎页面？,企业客户应用场景,解决方案：采用ClearPass Guest模块提供访客自助注册、手机短信分发功能通过ClearPass的联系人审批功能，由合法的企业联系人对访客帐号请求进行在线审批采用ClearPass定制灵活的认证策略，基于访客帐号绑定的终端数量、并发认证数量、在线时长、流量预算等实现访客终端的接入控制客户价值：灵活、自助式访客帐号管理和短信分发，结合员工审批机制，不需要IT部门介入提供强大的认证策略定制和实施能力，帮助IT部门有效控制访客对企业网络资源的占用内置功能强大的Portal广告服务，不需要部署另外的Web服务器,零售行业客户,零售客户应用场景,应用场景：商场顾客互联网接入服务为商场顾客提供互联网接入服务可以吸引顾客在商场中停留更多的时间，为商家创造更多的销售机会，并且提升整个商场的人气。但是，如何管理顾客的访客帐号，并且与商场会员卡、积分卡等系统整合，则是IT部门需要深入考虑的问题。当顾客试图连接无线网络时，如何进行帐号的自助注册，以及如何获得注册帐号？顾客上网帐号的创建、修改和删除等操作以及顾客上网时的身份验证操作如何与商场会员系统和手机APP等应用无缝结合？如何对顾客在单位时间内（如一天）的上网时长、流量、次数进行有效控制？如何获得顾客的位置信息，并通过APP或者浏览器推送基于时间、位置的商户广告？,零售客户应用场景,解决方案：通过ClearPass的XML API接口与商场会员系统进行对接，通过基于APP的会员帐号注册、修改、删除操作采用ClearPass认证服务与APP结合，为在线用户提供无感知的后台认证，并基于位置推送相邻商户的动态广告由ClearPass根据用户计费数据对顾客在单位时间内的上网时长、在线流量和认证次数进行统计，并动态分配相应的策略客户价值：具备标准的XML API接口，便于二次开发，与商场会员系统实现对接提供基于位置的认证策略，便于会员系统获取终端位置，实现广告的精确投放支持基于时长、流量的授权更改机制，能够有效控制顾客对网络资源的长时间占用和消耗,Welcome to join us,合作,共进,分享,Thank You！,