NAC解决方案说明
NAC解决方案说明
NAC解决方案说明TippingPoint 2008公司简介TippingPoint Technology,Inc是一家总部在美国的高科技企业。
2002年初,在当时连IDS都罕为人知的时期,TippingPoint公司在全球RSA安全峰会上退出了全球第一款基于硬件NP+FPGA(ASIC)架构的IPS产品,令当时的与会者叹为观止。
2002 TippingPoint公司成功的在美国纳斯达克上市,2005年被3COM收购。
目前TippingPoint作为3Com公司的一个子公司,是为合作公司、政府机构、服务提供商以及学术机构提供基于网络的入侵防御系统的主要提供商。
由于它在2002年建立了第一个基于网络的入侵防御系统而成为了IPS市场的先驱,并且它通过第一个将创新的IPS特征比如间谍软件防护和多路千兆吞吐量市场化来继续领导着这个领域。
TippingPoint是唯一提供VoIP安全、带宽管理、层对层保护以及以在安装之后无需调整的默认的“推荐配置”来准确地阻隔恶意流量等这些所有功能的入侵防御系统。
TippingPoint 公司于2007年推出了基于接入控制的安全补充方案NAC,作为IPS的合理有效的补充。
NAC的推出解决了边界网关IPS无法防御内部异常流量和网络安全的盲点,除此以外NAC可以很好的和TippingPoint IPS联动做到真正的实时异常行为的隔离。
部署说明NAC技术简介网络准入控制(NAC) 进行了专门设计,可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护,以防御网络安全威胁。
作为著名防攻击、安全性和管理产品制造商TippingPoint参与的市场领先的计划,NAC引起了媒体、分析公司及各规模机构的广泛关注。
NAC的优势据2005 CSI/FBI安全报告称,虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元,但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。
NAC解决方案测试
NAC解决方案测试NAC(Network Access Control)是一种网络访问控制解决方案,旨在确保网络安全和合规性。
本文将详细介绍NAC解决方案的测试标准和步骤,以确保其功能和性能的稳定性和可靠性。
1. 功能测试NAC解决方案的功能测试旨在验证其各项功能是否按照设计要求正常工作。
以下是一些常见的NAC功能测试项目:1.1 用户认证测试用户认证功能,包括用户名和密码的验证、单点登录等功能。
通过模拟不同的用户登录情景,验证NAC解决方案是否能够正确识别和验证用户身份。
1.2 访问控制测试访问控制功能,包括基于用户、角色、设备和网络位置等条件的访问控制策略是否有效。
通过模拟不同的访问请求,验证NAC解决方案是否能够正确判断和控制用户的访问权限。
1.3 安全策略测试安全策略功能,包括入侵检测、防火墙、反病毒等安全功能的有效性。
通过模拟各种安全攻击和恶意行为,验证NAC解决方案是否能够及时检测和阻止潜在的安全威胁。
1.4 客户端安全测试客户端安全功能,包括操作系统补丁管理、防病毒软件、防火墙等客户端安全措施的有效性。
通过模拟不同的客户端环境,验证NAC解决方案是否能够检测和修复客户端安全漏洞。
2. 性能测试NAC解决方案的性能测试旨在评估其在高负载和大规模环境下的性能表现。
以下是一些常见的NAC性能测试项目:2.1 用户并发测试NAC解决方案在高并发用户访问情况下的性能表现。
通过模拟大量用户同时访问网络,验证NAC解决方案是否能够稳定处理并发请求,保证用户正常的网络体验。
2.2 认证延迟测试NAC解决方案在用户认证过程中的延迟情况。
通过模拟大量用户同时认证,测量认证过程的延迟时间,验证NAC解决方案是否能够在短时间内完成认证过程。
2.3 数据吞吐量测试NAC解决方案的数据吞吐量,即其在处理大量数据流量时的性能表现。
通过模拟大规模数据传输,测量NAC解决方案的处理能力和带宽利用率,保证其在高负载情况下的稳定性。
NAC解决方案测试
NAC解决方案测试一、引言网络访问控制(Network Access Control,NAC)解决方案是一种用于保护企业网络安全的技术。
为了确保NAC解决方案的可靠性和有效性,本文将对NAC解决方案进行测试,并提供详细的测试报告。
二、测试目的本次测试的目的是验证NAC解决方案的功能和性能,包括但不限于以下几个方面:1. 验证NAC解决方案是否能够准确识别和验证网络用户的身份;2. 验证NAC解决方案是否能够按照预设的策略对网络用户进行访问控制;3. 验证NAC解决方案对网络流量的监控和审计功能;4. 验证NAC解决方案在高负载情况下是否能够保持稳定性和性能。
三、测试环境1. 硬件环境:- 服务器:Intel Xeon E5-2680 v4 2.4GHz,64GB内存,1TB硬盘- 网络设备:Cisco Catalyst 3850交换机,带有NAC功能- 客户端设备:Windows 10台式机,MacBook Pro笔记本电脑,Android手机2. 软件环境:- 操作系统:Windows Server 2022,Windows 10,macOS Mojave,Android 9.0- NAC解决方案:ABC NAC Solution 2.0四、测试步骤与结果1. 用户身份验证测试:a) 使用不同的用户身份(管理员、员工、访客)登录网络;b) 验证NAC解决方案是否能够准确识别用户身份;c) 记录测试结果,包括登录成功率、识别准确率等。
2. 访问控制测试:a) 设定不同的访问策略,如允许访问特定网站、禁止访问特定应用程序等;b) 使用不同的用户身份尝试访问受限资源;c) 验证NAC解决方案是否能够按照预设策略进行访问控制;d) 记录测试结果,包括访问成功率、访问受限率等。
3. 流量监控和审计测试:a) 监控网络流量,记录用户访问行为;b) 验证NAC解决方案是否能够准确记录用户的访问日志;c) 分析访问日志,判断NAC解决方案的监控和审计功能是否正常;d) 记录测试结果,包括日志记录准确率、监控效果等。
信息安全-20190501-360网神网络安全准入系统-NACV7.0-强制合规(NAC)产品解决方案-V1.0
360网神网络安全准入系统NACV7.0解决方案协同联动,合规入网目录一.“网络堡垒”往往是从内部攻破 (1)二.我们面临的挑战 (2)三.天擎NAC解决方案 (3)3.1概述 (3)3.2方案组成 (4)四.解决方案应用 (6)4.1天擎协同,应用合规入网 (6)4.1.1方案应用 (6)4.1.2优势特点 (7)4.2基于W EB P ORTAL认证 (7)4.2.1方案应用 (8)4.2.2访客入网管理 (8)4.3基于网络接入层认证 (9)4.3.1802.1x认证 (9)4.3.2MAB Mac认证 (9)4.3.3优势特点 (10)4.4终端安检合规入网 (10)4.4.1强制检查流程 (11)4.4.2多种强制检查条件 (11)4.4.3“一站式”流程管理 (12)4.5其他应用特性 (13)4.5.1第三方认证源联动认证 (13)4.5.2安全管理与接入访问控制 (13)4.5.3认证绑定管理 (14)4.5.4动态在线连接及强制下线 (14)4.5.5用户管理 (15)4.5.6设备例外管理 (15)4.5.7强制隔离手段 (15)4.5.8主机快速认证 (15)4.5.9入网和安检日志报表 (16)五.优势特点 (17)5.1分布式部署,集中管理 (17)5.2协同联动,构建“篱笆墙” (18)5.3网络环境适应性强 (19)5.4软硬一体化设备 (19)5.5支持高可用和逃生方式 (20)5.6多种入网认证因子 (20)5.7入网检查、隔离、修复一站流程 (20)5.8细粒化的访问控制 (20)5.9统一授权管理 (21)六.产品核心价值 (21)七.方案部署 (22)7.1小规模集中式部署 (22)7.2大型网络分布式部署,统一管理 (23)7.3天擎多级架构下的部署 (25)八.高可用及逃生方案 (26)8.1HA双机热备 (26)8.2双机冗余逃生方式 (27)8.3双机HA+软B YPASS逃生方式 (28)一.“网络堡垒”往往是从内部攻破目前大多数企事业单位构建的还是开放式的网络,过去在Interner接入安全和服务器安全领域投入了大量的资金,虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备,但是网络安全事件依然层出不穷;虽然在终端上安装了杀毒软件,但病毒感染还是泛滥成灾;为什么?企业内部网络采用开放式的网络架构,这种开放网络给企业业务开展确实能够带来便捷,但也有严重的安全风险,随着IT技术的快速发展,各种网络应用的日益增多,病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源,使得企业网络的安全边界迅速缩小,开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全,因此需要构建新一代的内部终端准入安全防御体系。
NAC解决方案测试
NAC解决方案测试一、背景介绍网络接入控制(Network Access Control,NAC)是一种网络安全技术,用于保护企业网络免受未经授权的访问和恶意软件的侵害。
NAC解决方案是一种综合性的网络安全解决方案,可以对网络中的用户、设备和应用程序进行身份验证和授权,以确保网络的安全性和合规性。
为了验证NAC解决方案的有效性和稳定性,我们进行了一系列的测试。
二、测试目的本次测试的目的是评估NAC解决方案在以下方面的性能和功能:1. 身份验证和授权:测试NAC解决方案是否能够准确识别和验证用户的身份,并根据其权限级别授权其访问网络资源。
2. 设备合规性检查:测试NAC解决方案是否能够对接入网络的设备进行合规性检查,包括操作系统版本、安全补丁、防病毒软件等。
3. 安全策略执行:测试NAC解决方案是否能够根据预设的安全策略,对接入网络的设备进行访问控制和安全隔离。
4. 异常行为检测:测试NAC解决方案是否能够检测和阻止异常行为,如网络攻击、恶意软件传播等。
5. 可扩展性和性能:测试NAC解决方案在大规模网络环境下的可扩展性和性能表现。
三、测试方法1. 构建测试环境:搭建一个模拟企业网络环境,包括NAC服务器、网络交换机、终端设备等。
2. 设计测试用例:根据测试目的,设计一系列的测试用例,包括身份验证、设备合规性检查、安全策略执行和异常行为检测等方面。
3. 执行测试用例:按照设计的测试用例,对NAC解决方案进行功能和性能测试。
测试过程中记录测试数据和结果。
4. 数据分析和评估:对测试数据进行分析和评估,评估NAC解决方案在各项指标上的性能和功能表现。
5. 编写测试报告:根据测试结果,编写详细的测试报告,包括测试目的、测试方法、测试结果和评估结论等。
四、测试结果经过测试,我们得出以下结论:1. NAC解决方案能够准确识别和验证用户的身份,并根据其权限级别授权其访问网络资源。
2. NAC解决方案能够对接入网络的设备进行合规性检查,包括操作系统版本、安全补丁、防病毒软件等。
网络准入控制(NAC)
网络准入控制(NAC)1. 网络准入控制(NAC)的需求与挑战思科网络准入控制(NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。
但是,识别用户的身份仅仅是问题的一部分。
尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。
利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。
在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。
可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
IBNS 的作用是验证用户的身份,而NAC 的作用是检查设备的“状态”。
交换平台上的NAC 可以与思科信任代理(CTA) 共同构成一个系统。
思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。
应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。
思科和NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。
NAC解决方案测试
NAC解决方案测试根据公安部最近公布的调查数据显示,内网安全、计算机安全仍旧是企业安全的关键。
两年前,思科、微软等业界领先公司相继提出了端点安全控制的技术体系架构,多种手段相互配合,自动应对多种安全威胁。
但是部署端点安全控制方案会不会带来新的问题呢?《网络世界》评测实验室有机会对端点安全控制技术始作俑者之一的思科公司的NAC解决方案的NAC Framework部分进行了实测。
NAC系统不仅很好地实现了端点安全控制的设计初衷。
同时思科NAC解决方案在细微之处周到的考虑,使得系统在兼容企业已有应用、提供全面安全控制、系统可扩展性和易维护性上都有着优异的表现。
(请到下载详细测试报告)细节决定成败细节一:多种验证手段确保NAC实施NAC提供了NAC over 802.1x和L2-IP两种验证架构,以适应不同的企业应用环境。
NAC over 802.1x全面的安全保障NAC over 802.1x可以提供一个全面的安全解决方案,一方面NAC借助802.1x可以根据计算机的健康状态决定是否允许其进入网络,同时还可以利用802.1x协议进行计算机和客户的身份识别、认证和授权。
NAC over 802.1x的工作原理见下图。
测试中,我们在模拟的环境中部署了ACS(ACS - Cisco Secure Access Control Server 思科安全访问控制服务器)、微软的活动目录(AD)控制器、CSA(CSA - Cisco Security Agent,思科安全代理)的MC(CSA MC - CSA Management Center CSA管理中心)、趋势科技的Office Scan 杀毒软件策略服务器的服务器群,使用Catalyst 3750和6509交换机作为接入交换机,两台笔记本电脑模拟接入PC。
PC机按照ACS的要求,启动了Office Scan杀毒软件,打齐了所有的操作系统补丁,并且在计算机上部署了登录域所需要的数字证书。
江苏地税NAC解决方案
网络环境:
网络准入控制的应用
本次准入控制部署的方案
网络准入控制组件功能介绍
一.CAS: Cisco Clean Access Server 评估设备并基于终端的策略符合条件 并给予网络权限。 并给予网络权限。
汇聚层交换机4506 汇聚层交换机4506
IP:192.168.2.1
接入层交换机
interface GigabitEthernet0/23 switchport access vlan 47 switchport mode access ! interface GigabitEthernet0/24 description This is NAC CONTROL switchport access vlan 10 switchport mode access snmp trap mac-notification added spanning-tree portfast ! interface GigabitEthernet0/25 switchport access vlan 47 switchport mode access !
Cisco 准入控制 准入控制NAC Cisco 安全代理CSA 安全代理
-----解决方案 解决方案 赵俊
保密 未经许可、严禁外传
NAC 0verview
软硬件平台 1.服务器
• NAC Appliance 3310 Manager (CAM) • NAC Appliance 3310 Server (CAS)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NAC解决方案说明TippingPoint 2008公司简介TippingPoint Technology,Inc是一家总部在美国的高科技企业。
2002年初,在当时连IDS都罕为人知的时期,TippingPoint公司在全球RSA安全峰会上退出了全球第一款基于硬件NP+FPGA(ASIC)架构的IPS产品,令当时的与会者叹为观止。
2002 TippingPoint公司成功的在美国纳斯达克上市,2005年被3COM收购。
目前TippingPoint作为3Com公司的一个子公司,是为合作公司、政府机构、服务提供商以及学术机构提供基于网络的入侵防御系统的主要提供商。
由于它在2002年建立了第一个基于网络的入侵防御系统而成为了IPS市场的先驱,并且它通过第一个将创新的IPS特征比如间谍软件防护和多路千兆吞吐量市场化来继续领导着这个领域。
TippingPoint是唯一提供VoIP安全、带宽管理、层对层保护以及以在安装之后无需调整的默认的“推荐配置”来准确地阻隔恶意流量等这些所有功能的入侵防御系统。
TippingPoint 公司于2007年推出了基于接入控制的安全补充方案NAC,作为IPS的合理有效的补充。
NAC的推出解决了边界网关IPS无法防御内部异常流量和网络安全的盲点,除此以外NAC可以很好的和TippingPoint IPS联动做到真正的实时异常行为的隔离。
部署说明NAC技术简介网络准入控制(NAC) 进行了专门设计,可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护,以防御网络安全威胁。
作为著名防攻击、安全性和管理产品制造商TippingPoint参与的市场领先的计划,NAC引起了媒体、分析公司及各规模机构的广泛关注。
NAC的优势据2005 CSI/FBI安全报告称,虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元,但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。
机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
显然,仅凭传统的安全解决方案无法解决这些问题。
TippingPoint公司开发出了将领先的网关安全和管理解决方案结合在一起的全面的安全解决方案,以确保网络环境中的所有设备都符合安全策略。
NAC允许您分析并控制试图访问网络的所有设备。
通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施),机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。
大幅度提高网络安全性虽然大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户并为其分配网络访问权限,但这些对验证用户终端设备的安全状况几乎不起任何作用。
如果不通过准确方法来评估设备‘状况’,即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。
NAC是构建在TippingPoint公司领导的行业计划之上的一系列技术和解决方案。
NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。
实施NAC 的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等) 访问网络,并控制不符合策略或不可管理的设备访问网络。
通过运行NAC,只要终端设备试图连接网络,网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。
随后将这些资料信息与网络安全策略进行比较,并根据设备对这个策略的符合水平来决定如何处理网络访问请求。
网络可以简单地准许或拒绝访问,也可通过将设备重新定向到某个网段来限制网络访问,从而避免暴露给潜在的安全漏洞。
此外,网络还能隔离的设备,它将不符合策略的设备重新定向到修补服务器中,以便通过组件更新使设备达到策略符合水平。
NAC执行的某些安全策略符合检查包括:1.判断设备是否运行操作系统的授权版本。
2.通过检查来查看操作系统是否安装了适当补丁,或完成了最新的热修复。
3.判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。
4.确保已打开并正在运行防病毒技术。
5.判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。
6.检查设备的企业镜像是否已被修改或篡改。
7.NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。
实施NAC解决方案的某些优势包括:1. 帮助确保所有的用户网络设备都符合安全策略,从而大幅度提高网络的安全性,不受规模和复杂性的影响。
通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击,机构可将注意力放在主动防御上(而不是被动响应)。
2. 通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒、安全性和管理软件的价值。
3. 检测并控制试图连接网络的所有设备,不受其访问方法的影响(如路由器、交换机、无线、VPN和拨号等),从而提高企业永续性和可扩展性。
4. 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。
5. 降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。
组件:TippingPoint NAC Policy Server (NPS)TippingPoint NPS是TippingPoint NAC解决方案的中央管理控制台,它容纳主要的NAC数据库、提供与外部后端办公室系统(例如LDAP或Active Directory)的界面、当成一个RADIUS server以处理认证请求、提供逻辑以决定网络政策、以及提供网管使用者界面等。
NAC数据库包含NAC系统所需的所有配置数据,包括与后端办公室系统建立界面所需的数据、802.1X交换器设备列表、驱动网络政策引擎的数据、详细的端点连线记录以及它们的安全状态评估结果。
NPS提供支持802.1X NAC政策执行所需的全部服务。
再者,NPS与安装在企业DHCP服务器的TippingPoint DHCP Plug-in通讯,利用端点的DHCP租约(lease)执行访问政策。
通过DHCP政策执行(DHCP enforcement)功能,可以修改使用者的租约以控制名称服务并设置静态IP路径至修复网站。
TippingPoint NAC Policy Enforcer (NPE)TippingPoint NPE是一种具备即时分析能力的装置(in-line appliance),根据使用者和装置标准提供访问控制。
它允许网络管理者根据使用者身份识别和装置类型设置访问规则,而不会像传统以端口为基础(port-based)的网络区段划分方法受到地点限制。
随着越来越多行动装置连接到网络,以及企业员工流动性的提高,网络周界加速模糊化。
一旦顾问、承包商和访客等外界人员获得内部网络的访问权限,企业即必须部署一套以身份识别为基础的inline政策执行工具,确保唯有合法使用者才能访问其获得授权的资源。
NAC Policy Enforcer和NAC Policy Server协同作业,它会收到有关任何新的网络连接的最新政策,同时也会收到所有有关使用者认证状态以及时间和位置规则的变更信息。
一台单一NAC Policy Enforcer支持约500名使用者,约500 Mb/s的流量,以及802.1Q VLAN 中继(Trunking)。
NAC Police Server (NPS策略服务器):负责定制策略、认证代理(radius,tacacs,ldap)、DHCP服务、WEB门户NAC Police Enforcer (NPE 策略执行器):负责和NPS联动,8021X认证、HTTP重定向服务NAC Client(客户端):移动终端、无线终端和主机部署方式NPE串联在路由器和交换机的中间,而NPS旁路就近连接在二层交换机的内侧。
工作流程如下1.客户端发送接入请求到交换机2.交换机将请求转发到NPE,NPE将请求内容发送NPS进行处理(地理位置、IP、用户信息、MAC地址等)3.NPS将请求通过预先设定的认证方式进行处理,根据返回的A/V对来判断是否用户身份合法4.如果用户身份合法,则让其通过。
反之进行隔离。
部署方式IPS+NAC5.当客户端接入后再次下载了病毒进行网络攻击,IPS可以进行网关拦截6.IPS将源地址进行隔离,并且通过SMS通知NPS7.NPS通过配置交换机,将该客户端隔离出VLAN减少网络安全弱点让未授权使用者和装置远离网络在一个TippingPoint NAC环境内,每一台装置及其使用者都必须接受严格的认证、授权、以及安全状态遵循方面的检查。
未授权使用者不得访问网络,而未通过检查的装置则根据发现的安全弱点而引导其进行修补,然后才能授予其访问权。
这些措施让IT管理人员能够分级管控访问特定网络资源的使用者和装置。
依照任务、装置类别、状态、地点和时段限制访问针对个别使用者、装置或使用者与装置群组定义访问政策。
这些政策让管理者可以依照端点状态、地点和时段实施访问控制。
多重访问控制方法 - 包括802.1X、DHCP和In-Line Blocking一台单一的TippingPoint NAC Policy Server可以利用多种政策执行整个网络的访问管理,包括802.1X和DHCP认证、TippingPoint NAC Policy Enforcer的in-line 政策执行、以及这些方法的任意组合。
连线前与连线后端点监控,降低恶意软件攻击风险TippingPoint NAC解决方案提供连线前与连线后之端点状态监控,预防恶意软件侵入网络。
任何未遵循政策的装置,将根据发现的安全弱点而引导,从而对其进行修补,通过检测后才授予访问权。
IPS整合确保所有数据流与内容都接受连线后检测TippingPoint NAC将与TippingPoint入侵防御系统Intrusion Prevention System IPS)实现互操作,确保阻断每一端点的所有恶意流量,而可疑或未遵循政策的流量将会触发其他政策控制操作,包括阻断、隔离检查、预警或流量管制。
结合NAC与in-line IPS的分层式安全措施,为安全人员提供前所未有的管控能力,能够自动对所有使用者、装置、流量和内容执行网络访问与安全政策管控。
降低NAC配置成本与复杂性弹性部署方案简化配置与扩充程序TippingPoint NAC解决方案提供弹性,协助将网络访问控制部署到各式各样的组态内,因此企业组织可以从小规模部署着手,先简单地部署到高风险区段或者商务关键性较低的区段,然后逐步扩充。