瞻博Juniper VPN是员工在外网环境下也能访问企业内部 IT 资源的有力工具。但 VPN 一般所采用的静态密码登录机制可能会因密码设置过于简单或重复使用导致不法分子窃取密码凭证获取企业内网资源的访问权限,产生严重的信息安全风险。
另外从管理角度来看,为保证VPN账号安全,企业通常会强制要求登录密码的定期修改,这就降低了员工的使用体验,也增加了IT人员的运维负担。
宁盾解决方案1.瞻博Juniper VPN双因子身份认证解决方案概述
宁盾身份目录云平台NingDS中的云双因子身份认证工具为瞻博Juniper VPN的静态密码登录机制增加二次认证环节,支持短信令牌、小程序/H5令牌、手机推送认证等多种手机动态口令形式。
宁盾NingDS双因子身份认证服务器负责生成和验证手机动态口令,可同时无缝支持AD/LDAP等本地身份源,在瞻博Juniper VPN中配置第三方Radius认证,指向内置RADIUS 服务器的宁盾NingDS双因子身份认证服务器,接管 VPN 的身份验证环节。员工登录瞻博Juniper VPN时输入用户名和密码完成基础认证后,还需通过手机动态口令验证才能获取权限访问企业IT 资源。
2.宁盾手机动态口令形式
H5令牌将宁盾令牌集成到企业微信/钉钉等APP内形成H5令牌
小程序令牌将宁盾令牌集成到微信小程序内,用户无需额外安装手机APP
APP令牌
宁盾令牌APP每60秒随机生成一个动态验证码,随后由宁盾云双因子身份认证服务器验证动态密码的有效性。
APP推送认证通过一键授权,省略了动态密码输入环节也能实现安全认证
短信令牌
在用户完成瞻博Juniper VPN账号密码认证之后,宁盾NingDS双因子身份认证服务器会随机生成一个一次性密码并通过短信网关发送到用户绑定的手机上,用户输入短信验证码并提交通过后才能完成登录认证。
① 在宁盾NingDS平台上的双因素认证模块中添加瞻博网络Juniper VPN设备。
② 添加用户,可以选择建立用户组,便于识别及日常运维。
③ 配置瞻博网络Juniper VPN防火墙
账号双重保护:宁盾双因子认证在瞻博网络Juniper VPN原有账号密码认证基础之上增加一层动态密码认证,以此提升VPN用户接入认证安全,解决弱身份鉴别可能引发的内网信息泄漏隐患;
多种认证方式:短信令牌、手机令牌、微信小程序令牌、硬件令牌、H5令牌、APP推送认证等多种动态密码认证形式各有优势,客户根据需求自由选择,也可以多种组合;
与现有系统无缝集成:内置Radius认证模块,可与AD、LDAP等标准账号源结合,同时也支持与企业本地应用、私有云应用以及SAAS等的对接,提供深信服VPN的双因子认证服务;
实名追溯:详尽的登录日志,发生安全事件时可定位到个人,做到用户认证可审计,满足了等保要求;
简化管理:减少企业因VPN静态密码定期强制更改,给用户及IT运维人员带来的麻烦,同时节约VPN账号管理成本;
体验优化:通过简化移动安全接入,优化用户体验,在为用户登录瞻博网络Juniper VPN提供安全认证的同时,提升了使用的便捷性,助力企业移动化转型。
,
