内网安全乱世安邦之体验篇之二三

体验二：围魏救赵 枯木逢春

受访者：某国有银行某省分行信息主管

我们是国有银行C行的某省分行，2007年初，正被新型的ARP欺骗病毒困扰着。原本我们自认为终端安全管理做得已经很到位了：早几年就购买了部署了MacAfee的企业防病毒软件、趋势的防毒墙、Landesk的桌面管理;内部管理也很严格，然而一旦威胁来临，内网依旧非常的脆弱，我们心急如焚…

偶然机会，我们了解到Z航应用天珣的情况，顿感一线希望，马上联系厂家进行产品演示，天珣的功能让我们非常惊讶：我们想到的，天珣都想到了，我们没想到的，天珣也想到了……

经过进一步调研，分行决定选用天珣，并确定全行范围内逐步在接入层交换机实施基于802.1x协议的网络准入，但因交换机无法支持长字节的客户端信息认证，从而令802.1x准入认证失败。经与这家网络设备公司交涉，他们认定只有升级硬件才能解决，那意味着我们将被迫更换超过百台的交换机!怎么办，难道为此放弃准入了不成?

幸好这个问题没有难倒天珣厂商，经过仔细研究，他们找到了问题解决的法门。由于天珣的准入控制，无论客户端、Radius认证服务器等网络准入关键组件，都是由该企业自主研发的，交换机只是起到了一个“大门”和“传达室”的作用，只需要很巧妙将所有需要的认证信息，先分拆成小字节的认证包，分多次让交换机“传达”给自己的Radius服务器，Radius只需要简单组成一个完整的802.1x认证包，网络准入控制认证完全通畅了。

解决了这个问题后，不仅满足了我行所有的网络准入控制需求，还帮我们保护了设备投资，因此我们很快就做了购买天珣产品的决定。而从第一次接触到产品采购，仅仅只有3个月的时间…再后来，在1年时间内，我行将网络准入推广到全省各分支银行，覆盖对超过10000台终端执行网络准入控制管理。

点评：又从天珣学了一招：如何通过技术的灵活拆解，解决规则的瓶颈。

体验三：抽丝剥茧 真相大白

受访者：某电信运营商网维中心主管

2010年，我们网维中心部署了天珣客户端，并且启用基于802.1x的网络准入控制，当时所用的接入交换机基本是清一色的Q网络厂商的交换机。可是，就在启用了基于GUID的网络准入认证并正常运行过程中，用于2台互备的Radius认证服务器的其中一台的网络链路意外断开了，天珣所承诺的冗余功能并未体现，Q的交换机是大品牌，性能应该相当稳定，于是我们理所当然认定是天珣的问题。没想到接下来的检查颠覆了我们既往的看法。

天珣的技术人员到场后，反复检查了天珣网络准入相关组件运行状况和运行日志，均没有发现任何异常。但在现场测试过程中，还是发现了问题所在：这个故障又跟Q公司特定型号的交换机有关。当时，网维中心使用Q公司作为接入层交换机的型号有两款，测试中发现，启用了网络准入控制的A交换机，如果出现类似的故障，备份的Radius可以实现正常切换，但是B交换机却怎么都不行。而且当时发生Radius链路故障时，只影响到B交换机下接的客户端认证，A的客户端认证都正常切换到备份Radius上。

结果，当天珣技术人员将抓到的相关数据包发给Q公司研发人员，他们研究后，确认这个是B交换机的一个bug，随后Q公司修复了这个bug，打上补丁，问题解决!

点评： 潮水退去后，才知道谁在裸泳，许多问题的实质往往深埋在背后：网络感冒的肇事者原来另有他人。幸而通过技术人员的抽丝剥茧，才得以还原真相。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友