盈高-网络准入控制解决方案
盈高科技网络准入控制在云环境下的应用
盈高科技网络准入控制在云环境下的应用桌面云概述在云计算架构中,“桌面云”是一种实现计算、存储、网络等资源的集中化、共享化的平台方案,能够将单台PC的处理能力(包括CPU和硬盘)集中到数据中心,办公个人终端变成TC(terminal client),从而不需要强的处理能力和存储能力就能够搭建好整个业务平台,并兼具计算高效性和数据保密安全性。
处于后台的云数据中心将负责给每个办公终端提供虚拟化的“计算机”实现,每个终端所使用的资源都是共享的,通过云数据中心的统一调度和管理,实现对资源的“按需分配”管理。
桌面云的建设目标就在于实现高效能的计算和集中化管理的数据安全,在“云”中,用户能够充分享受到传统分散式桌面计算所无法保证的高度的数据安全性。
网络准入控制NAC与“云”的联姻在“云”安全中,还有关键的一环,就是接入“云”用户的身份认证。
传统的“云”认证一般都是采用windows AD域或加装第三方LDAP服务器的方式来实现的,但许多用户反映要建设一个具有整体性且功能完善的AD域十分复杂,实现及维护工作量巨大,而AD域最大的缺陷在于,对于需要对员工进行入网规范的企业客户来说,当员工逃避管理,不访问“云”资源的时候,则完全可以逃避AD域的约束。
此时管理者将面临两难的局面:在辛辛苦苦建设好AD域后,突然发现真正需要与“云”安全结合的其实是一套对“云”用户及所有入网用户结合为一体来进行身份认证和安全控制的盈高科技准入控制系统;而在AD域的建设上又投入了大量的时间、精力和成本,最终可用性不高。
这样的重复投资和重复性维护工作对于投资者将是一个极大的难题。
在传统“云”安全中使用的LDAP服务器则由于安全控制功能太弱,只能完全沦为一个纯身份信息数据库的单一化节点,定位为对已有强安全系统的一个便利型的补充。
而在没有强入网控制系统的情况下,这没有任何意义。
对于“云”的建设者而言,“云”架构本身的安全性就在于应用(本质是数据)安全,属于控制层次较高的安全范畴,这对于用户的业务型安全需求是基本符合的。
ASM入网规范管理系统_准入控制技术快速配置手册
ASM盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
盈高入网规范管理系统介绍
完全支持
总拥有成本
对接入层网络设备无要求,只 要核心交换支持策略路由功能, 运维和部署相对简单 系统故障后,用户网络接入自 动“逃生”
准入系统冗余
部署条件
需要Radius、802.1x交换机、 安装客户端、配置计算机参数 等,部署条件相互牵制
如果要实现引导介面,资金成 本和技术成本很高,并且用户 体验不会有本质性的改善 接入方法复杂、无法通过技术 手段进行接入审批,很难为管 理手段提供技术支撑 交换机接口、企业级无线SSID 能防止非授权计算机访问任何 网络资源
产品特点——用户收益
全方位终端安全管理,解决CIO关注的问题
入 网 规 范 管 理 系 统
1
保护终端安全更保护业务系统的安全 确保网络安全管理制度的落实
2
3
强化内部工作人员安全意识
„ 变被动为主动,提高工作效率
4
5
一体化解决方案简化终端维护工作
„
终 端 可 控 安 全 高 效
产品资质
22
产品荣誉
盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点 ASM相关案例
2
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端,采用Agentless模式 • 经过优化的安全操作系统平台,电信级硬件产品 • “违规不入网、入网必合规”
支持 支持 支持 支持 不支持
不影响 支持
上行数据 支持
不影响 支持②
不影响 支持
盈高入网规范管理系统介绍
•降低带宽消耗
采用P2P技术进行补丁分发 补丁包就近下载 补丁包压缩传输 支持断点续传
智能补丁检 查更新
制定补丁策略
管理平台
部署方式——逻辑示意图
实现机制—支持多种Enforcement强制技术
DNS Proxy Multivendor Virtual 策略路由 Gateway PBR Bridge
策略路由
支持 支持 支持 支持 不支持 上行数据 支持
802.1X
不支持① 支持 支持 不支持 支持 不影响 支持②
Cisco EOU
支持 支持 支持 支持 支持 不影响 支持
Portal
支持 支持 支持 不支持 不支持 不影响 支持
DHCP 强制
支持 支持 支持 在分配IP 之前支持 支持 不影响 支持
主动 加固 修复
二、安全策略检查——变被动响应为主动防御
终端安全接入
› 安全:禁止不安全终端 进入网络 › 合规:强制实施安全策 略 › 受控:自动化漏洞修复, 主动保障终端安全受控
•业界最完善丰富的安全策略,屏蔽不安全设备和 人员接入,根本上保证内网终端“健康” • 动态策略管理,基于网络环境和需求选择策略 模板,可订制、可扩展 •灵活策略配置,基于用户角色的策略控制 •强制实施企业安全策略,提供全面主动式防御 - 保证网络安全策略统一执行,主动发现终端 漏洞,消除终端安全缺口带来的已知和未知威 胁 •满足IT法规遵从性 - 提供合规性模版,客户可以通过使用模版来 满足政府合规性的要求 •自动化修复终端漏洞 - 发现违规项,能够及时通知和协助终端 用户实施修复,主动消除已知和未知威胁
3
强化内部工作人员安全意识
… 变被动为主动,提高工作效率
盈高入网规范管理系统策略路由快速配置手册
盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:图4. 创建部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:图5. 批量导入部门2.3用户管理创建本地用户名、密码,用户单位人员入网的身份认证。
准入控制ASM盈高入网规范管理系统
非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用 非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新 重要性的补丁未打 终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎,支持安全规 则的不断更新,确保安全检查的健壮性
拥有丰富的系统缺省检查规则库,并支持自定义和 系统规则库的升级,便于应对层出不穷的安全隐患
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
根据状态评估结果 采取措施,隔离设 备,并使其符合策 略
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
如果没有 它...
难以将用户与设备 关联起来,执行何 种策略,防止设备 欺骗。
从无限使用网络到 受限使用,必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
回 顾与讨 论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的 体系架
构
ASM的 主要功
能
ASM的 技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台,电信级硬件产品 是经过国内领先的大规模无客户端模式
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
ASM盈高入网规范管理系统介绍
ASM的 主要功 能
3.1 什么是ASM
ASM是盈高科技精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 集成多种准入强制技术、提供多样化的身份认证 不断升级的安全检查引擎及规则库、“一键式”智能修复 基于角色的动态授权访问控制及实名日志审计 重点突出“违规不入网、入网必合规” ASM是一套集成第三代准入控制技术的纯硬件系统
1.3-1 终端安全防护及准入控制市场巨大
据Gartner 《MarketScope For NAC,2009》统计,整个NAC市场在 08年出现近100%的增长,总收入达5亿美元,09年全球终端接入控制投入增 长70%,总销售额超8亿美元,预计2010年全球市场可超14亿美元。
预增72% 14 12 10 单位:8 亿美元6 4 2 增涨70% 增涨 100%
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
4.1 ASM给客户带去的价值
消除办公网络中存在的各种安全隐患
减轻网络管理员的工作负担及压力 创造一个绿色的网络运维环境,提高网络使用 效率 等保考评中的重要砝码
1.建设网络准入控制系统的必要性
终端安防 问题多、 危害大
法令、法 规明确要 求
网络准入 控制市场 巨大
传统终端 防护产品 诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ,解决传统产品不足的新一代网络准入控制产品
1.2 法令、法规对终端防护有明确要求
《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。 《涉及国家秘密的信息系统分级保护管理 规范》 《萨班斯SOX法案》
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络准入控制解决方案
ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:
基础架构生成shaping infrastructure
ASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevation
ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implement
ASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & management
ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势
1、清晰的边界划分
ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
使用户从设备和人员两方面进行网络边界的划定。
2、广泛的网络适应
ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。
采用先进的设备特征采集技术,能够自动识别多种设
备,有效的对设备进行标示和固定。
自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。
3、安检策略丰富完善
ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。
根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。
这就使用户能够快速进行安全规范应用。
4、安全定位灵活多样
ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。
可以进一步向下细化定位,直至每台终端设备。
也可以通过终端设备向上检索,找到其连接的网络设备。
终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。
可以从宏观和微观两方面进行考量。
5、安全功能持续扩展
ASM6000提供了弹性化的系统设计。
支持多种扩展模块进行热插拔。
用户可以根据自身管理需要选择。
同时盈高科技也在不断开发各种安全功能模块以满足用户不断增长的安全需求。
6、弹性化客户端
ASM6000提供客户端弹性化,以满足不同用户的需求。
支持的种类包括:零客户端、自消融客户端、完全客户端。
甚至可以根据用户的规则进行设定,在同一个信息系统中进行三种客户端的混合部署。
7、支持分布式部署
ASM6000提供了控制器(ASC)产品,可以在网络规模特别大,网络结构特别复杂的情况下,将控制器部署在网络的不同区域,由中心设备统一对控制器进行管理,很好的适应巨系统的部署。
8、高可靠的自身安全性
ASM6000采用了专用安全操作系统(INFOGOOS)和专用的硬件平台。
避免了通用系统的一系列不安全因素。
在可用性方面采用了监控平台、自逃生、双机热备(HA)等众多高可用性技术。
系统内置了看门狗(Watch Dog),当系统出现故障或者网线松动的时候, 将自动开启ByPass模式。
9、简单易用的用户操作
ASM6000采用自动安全检查和一键式修复的用户操作界面,不论是PC使用者或是移动终端使用者均可实现入网操作“零培训”。
10、完全支持移动智能终端
ASM6000能够支持包括IOS、Android在内的众多移动智能终端。
面对越来越多的智能手机和平板电脑的使用者,对他们进行管理也不再是难事。
产品性能规格
产品部署
1、典型环境部署
将盈高入网规范管理系统ASM6000通过旁路连接,部署在网络核心交换机上。
启用PBR或MVG等方式,开启网络准入。
根据对终端安全、管理的不同要求,对网络拓扑进行展示,对各种网络设备进行定位、状态管理、故障管理;可以与第三方身份认证系统进行整合,实现单点登录;对接入终端进行安全扫描和修复。
实现基础的安全准入管理功能,完善内网安全。
2、复杂环境部署
对于特别复杂的网络环境,用户在一个网络中使用的网络产品型号繁多,对于不同网络部分控制要求不同,远程的分支机构管理困难。
因此可以采用分布式部署方式,中心部署ASM6000,可以采用双机热备。
分支部署数个控制器(ASC)。
实现网络终端统一安全管理和信息汇总。
产品资质
公安部公共信息网络安全监察局-盈高入网规范管理系统《销售许可证》
国家保密局-盈高网络接入控制系统《涉密信息系统产品检测证书》中国信息安全认证中心-盈高入网规范管理系统《中国国家信息安全产品认证证书》
中国人民解放军-盈高入网规范管理系统《军用信息安全产品认证证书》
中华人民共和国国家版权局-ASM入网规范管理系统《计算机软件著作权登记证书》
浙江省经济和信息化委员会-盈高入网规范管理系统《软件产品登记证书》。