华三通信为海航集团启动IT系统终端安全建设
海南航空股份有限公司(以下简称海航)是中国第四大航空公司,也是国内首家荣获四星级航空服务的航空公司,拥有波音737、767系列和空客330、340系列为主的年轻豪华机队,员工达30000多人。1993年至今,海南航空在以海口为主的基础上,先后建立了、西安等多个分公司,航线网络遍布中国,覆盖亚洲,辐射欧洲、美洲、非洲,开通了国内外航线近500条。海航集团下包括航空运输、机场集团、海航置业、海航旅业、海航实业、海航商业、海航物流等七大业务板块。营运作为海航集团在海南之外最重要的营运节点,不仅作为海航的网络核心之一,与海口一起形成一个航空IT网络,同时还承载着集团的主要业务系统,担负着海航一半以上的国内航线和国际航线的IT运维工作,其作用不可忽视。
用户需求
为了海航营运信息系统的正常运行,海航集团启动了IT系统的终端安全建设,建立全方位的安全性能力,以防止外部入侵、黑客、病毒和网络嗅探,在局域网中客户的隔离,防止外部人员的非法侵入以及操作人员的越级操作,网络使用者的利益。从2008年开始,海航经过长达一年的多次交流考察和产品测试后,最终选择H3C作为终端安全解决方案的供应商。
海航集团营运目前的网络状况以数据中心为重点,主要业务系统和机房位于服务中心楼内,通过广域网与海口中心和集团分支机构进行互联。园区根据日常业务、办公、生活设置的分部和职能部门,分化成多个功能区域。在不同功能区域间,来往人员比较复杂,临时出差用户、外来访客等人员众多,因此海航对防止非法接入功能的实现需求较高。同时海航的用户数众多,可以访问的资源并不一致,需要实现灵活的用户权限控制。使用nternet的用户也存在网络的行为。此外,为满足移动办公的需要,在办公大楼内部、停机坪等区域部署WLAN进行无线覆盖。海航现有网络结构如下:
核心:以服务中心楼为主体,高性能核心交换机组成10G 核心,性能和高可靠,为整个网络系统的管理提供支撑;
接入层:采用楼道交换机和汇聚交换机两层结构,部署3台24换机、38台48换机,具有终端接入控制、ARP防等特性,同时具有高密度千兆线速端口和万兆上行接口,消除网络性能瓶颈;
无线接入层:部署3台无线控制器AC和120台双频FitAP,作为无线业务的终结点,可以为用户提供认证、安全和带宽控制等服务。
海南航空营运为了能够系统地解决目前网络安全、优化、运营中存在的问题,避免传统网络事前无认证、事中无控制、事后无审计的三无现象,针对海南航空的网络现状和终端管理情为了海航营运信息系统的正常运行,海航集团启动了IT系统的终端安全建设,建立全方位的安全性能力,以防止外部入侵、黑客、病毒和网络嗅探,在局域网中客户的隔离,防止外部人员的非法侵入以及操作人员的越级操作,网络使用者的利益。从2008年开始,海航经过长达一年的多次交流考察和产品测试后,最终选择H3C作为终端安全解决方案的供应商。
海航集团营运目前的网络状况以数据中心为重点,主要业务系统和机房位于服务中心楼内,通过广域网与海口中心和集团分支机构进行互联。园区根据日常业务、办公、生活设置的分部和职能部门,分化成多个功能区域。在不同功能区域间,来往人员比较复杂,临时出差用户、外来访客等人员众多,因此海航对防止非法接入功能的实现需求较高。同时海航的用户数众多,可以访问的资源并不一致,需要实现灵活的用户权限控制。使用Internet的用户也存在网络的行为。
此外,为满足移动办公的需要,在办公大楼内部、停机坪等区域部署WLAN进行无线覆盖。海航现有网络结构如下:
核心:以服务中心楼为主体,高性能核心交换机组成10G 核心,性能和高可靠,为整个网络系统的管理提供支撑;
接入层:采用楼道交换机和汇聚交换机两层结构,部署3台24换机、38台48换机,具有终端接入控制、ARP防等特性,同时具有高密度千兆线速端口和万兆上行接口,消除网络性能瓶颈;
无线接入层:部署3台无线控制器AC和120台双频Fit AP,作为无线业务的终结点,可以为用户提供认证、安全和带宽控制等服务。
海航集团营运
为了能够系统地解决目前网络安全、优化、运营中存在的问题,避免传统网络事前无认证、事中无控制、事后无审计的三无现象,针对海南航空的网络现状和终端管理情况,H3C采用了iMC EAD终端准入控制解决方案,提出了解决措施,其网络拓扑示意图所示:
首先,在园区网接入层交换机上启用802.1X认证,直接在接入层与EAD解决方案配合,终端接入必须经过身份认证,并根据用户身份动态授权,终端无毒、用户、行为可控。
其次,在EAD服务器上根据用户的身份信息划分权限,在认证通过后向二层交换机作动态的VLAN ID下发配置,不同的用户具有不同的资源访问权限。
最后,在无线控制器AC上启用Portal EAD认证方式,配合EAD系统,完成对用户的无线一体化管理,实现接入认证和安全策略的下发。详细应用如下: