准入控制解决方案
内网综合管理和准入控制解决方案简介
内网综合管理和准入控制解决方案简介随着网络信息化建设不断深入发展,重要机关单位均部署了内部局域网(简称内网),以实现资源共享,从而进一步提高工作效率。
内网已经成为了单位内部工作交流、信息数据传递的主要渠道,成为工作环境中不可或缺的的一部分。
因此,使内网保持在安全、可靠的环境下运行,辅助机关单位规范管理各类业务,从内部源头方面提高重要信息的保护力度,已经成为内网安全管理中的焦点问题。
内网综合管理和准入控制方案,是针对内网和计算机终端综合安全防护的安全管理解决方案,由网络准入授权管理系统解决方案和终端信息安全综合管理系统解决方案构成。
网络准入授权管理系统是一套基于先进的第三代准入控制技术的硬件网络准入控制系统,为您解决网络的合规性要求,达到“违规不入网,入网必合规”的管理规范。
终端信息安全管理系统采用底层驱动、Hook等技术以及分布式部署方式,通过完善的控制、监控和审计策略,对终端设备的各项操作,USB移动介质的操作管理进行必要的安全防护,并提供详细的审计日志,从而提供一个全网严密可控的安全防护体系。
风险分析☆接入用户与设备的实名制☆人机对应管理☆快速发现隐患及智能修复☆网络结构复杂、设备兼容问题☆内网角色安全域控问题☆安全日志审计问题☆终端安全管理问题☆终端行文审计及告警处理产品设计目标内网综合管理系统实现目标☆全网风险管理与控制☆实名接入控制☆多方式安全监测☆智能化补丁修复☆审计产品功能模块构成内网综合管理系统技术架构内网综合管理系统终端入网流程内网综合管理系统特点及优势☆采用双实名制,解决入网人员与设备的合法性问题☆多样化的身份认证方式,解决人员的实名制认证问题☆综合入网控制,检查引擎及规范执行审计,有效解决网络安全规范落实问题☆提供用户与终端“人机对应”的责任管理☆制定特色的安全检查规范库,符合行业特点☆“一键式”智能安全修复技术,大幅降低工作量☆保持定期更新的安全引擎规则库,提供持续性服务☆集成多种入网强制管理技术,具备良好的兼容性☆基于角色的动态权限管理,解决内网部署及访问控制问题☆灵活的特殊规则处理,确保内网建设快速推进☆来宾访客管理,保护企业内网资源☆单点与网络集中管理相结合,解决分散式管理的弊端☆实名制日志审计报表,可实现内网实施监控☆实时的告警响应,随时掌握网络边界的安全动态。
网络准入、准入控制系统解决方案
捍卫者内网准入控制系统内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。
内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。
因此内网安全的重点就在于终端的管理.管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理:一、非法接入内网问题公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。
二、非法外联问题通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。
但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪.而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。
还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。
➢ 基于安全准入技术的入网规范管理产品➢ 基于非法外联接入的入网规范管理系统➢ 基于可信域认证的内网管理系统➢ 计算机终端接入内外网的身份认证系统➢ 软件及硬件单独或相互联动的多重管理方式接入身份验证合法安全合规性检查合规分配权限入网是是拒绝接入否修复否产品功能●可信域终端接入管理●未通过认证终端接入访问受限●支持USB KEY作为可信凭据●完整的准入审计记录●可与AD域服务器或LDAP服务器相结合认证●黑白名单两种方式进行终端访问管理●支持级联模式部署。
内网安全准入控制解决方案
亿仕内网准入与监控系统内网安全准入控制解决方案应用背景分析 随着信息化安全建设的开展与普及,目前大部分企业内部网络都使用了防火墙,防毒网 关等网络安全设备对于网络出口进行安全防护,对于内网纵深往往却疏于防范,给了蠕虫病 毒传播,黑客木马程序,内网渗透攻击可乘之机,尤其是无线网络的广泛应用更加降低了对 内网采取攻击的门槛.因此,广大企业用户亟需一种御敌于内网之外的安全防护解决方案, 网络准入控制技术应运而生,其宗旨是防止蠕虫,木马,间谍软件等新型黑客技术对企业网 络造成危害. 用户需求及使用环境防火墙 接入 交换机 三层核心 交换机接入 交换机VLAN1(192.168.1.0/24)VLAN6(192.168.6.0/24) 接入 交换机 接入 交换机 内部 防火墙 接入 交换机VLAN2(192.168.2.0/24)接入 交换机 VLAN5(192.168.5.0/24)VLAN3(192.168.3.0/24) VLAN4(192.168.4.0/24)上图描述了典型的中型企业内网的拓扑结构,内网划分为多个 VLAN,各 VLAN 的终端主机 通过接入交换机接入网络,各 VLAN 之间通过三层交换机互联,同时,用户内网通过防火墙与 广域网互联,实现外网与内网的逻辑隔离与访问控制.这样典型的网络结构虽然具有一定程 度的安全性,但对于来自于内网的威胁没有很好的防范措施. 针对以上典型网络,安全准入控制解决方案可以解决用户的如下需求: 1. 发现并限制非法外来主机接入内部网络,以免对内部网络造成危害; 2. 合法主机的注册与审批入网,加强内网接入设备的管理,提供审批流程; 3. 内网 IP 地址管理,IP 与 MAC 地址的绑定,以及防止地址冲突,网络扫描,ARP 欺骗 等攻击对内网的危害; 4. 对合法主机的身份认证,以及接入后的访问控制,防止对网络资源的非授权访问和滥 用;1亿仕内网准入与监控系统5. 对合法主机安全状态实时检测,如果发现主机存在安全风险或者用户进行了违规操 作,可以隔离违规主机; 6. 对被存在风险的被隔离主机提供修复指导和必要的加固措施,如补丁加固,病毒扫描 等. 总体而言,内网安全准入控制作为内网网络边界的第一道防线,为构建可信,安全,高 效的内部网络环境提供了必要的基础支撑. 解决方案 针对以上典型用户内网,网络准入控制系统可以有三种部署形式,以针对不同的用户环 境,下面将分别就三种不同的情况进行详细的对比与说明:一,基于 802.1X 的网络准入控制 优点:安全性最强,功能最全面的准入控制机制,目前主流网络设备厂商都提供的解决方案,其支持 的标准也最为普遍,包括思科的 NAC,微软的 NAP 以及国际可信计算组织的 TNC. 缺点:需要安装代理,需要接入交换机支持 802.1X 接入认证协议,配置管理较为复杂,如果认证服 务器瘫痪容易引发单点故障,因此一般需要进行热备,成本较高. 部署:GUEST VLANVLAN 1VLAN 2上图描述了基于 802.1X 准入控制系统的部署,整个内部网络被划分为 Guest VLAN 和工作 VLAN (含 VLAN 1 与 VLAN 2)两大部分,没有通过认证的计算机被隔离于 Guest VLAN 中. "安全管控服务器"的接口 1 需要连接交换机的 Guest VLAN 口,通过接口 1 ,Guest VLAN 中的 主机可以访问"管控服务器"提供的重定向服务并完成身份注册. "安全管控服务器"管理口需要连接交换机的工作 VLAN 口(VLAN1 或者 VLAN2) ,通过管理口"管 控服务器"为工作 VLAN 中的合法主机提供各种安全管控服务. 其他功能:入网注册与审批,合规性检测,资产管理,介质管理,软件管理(进程管理) ,网络控制2亿仕内网准入与监控系统(分布式防火墙) ,安全审计. 二,基于 ARP 管理的网络准入控制 优点:无需安装代理,易用,部署简单. 缺点:由于没有代理,只是提供网络安全防护,没有提供主机安全防护功能,而且安全性没有 802.1X 方式高. 部署:上图描述了基于 ARP 准入控制系统的部署, 802.1X 的 GuestVlan 区不同, 与 ARP 隔离区和工作区 在同一个 VLAN 中,通过 ARP 屏蔽隔离区主机和正常主机之间的数据通讯.管控服务器通过合法主机 检测和网络风险检测对与接入主机进行干扰. "安全管控服务器"的接口接入方式有两种,一种是服务器配置多个网卡,每个网卡接入一个 Vlan;另外一种是交换机配置 Truck 口,服务器的管理口和 Truck 口连接.第一种部署简单,无需配 置交换机,但是对于 Vlan 比较多的情况不太适合;第二种适合 VLAN 个数多于服务器接口数的情况, 需要为交换配置一个 Truck 口,并把需要管控的 VLAN 都与该 Truck 口绑定. 其它功能:入网注册和审批,网络主机扫描,IP 冲突检测,主机网络安全检查,合法主机保护,受攻 击网络通讯的恢复等. 三,基于可信网络通信隔离的网络准入控制 优点:简单,实用,不依赖与其他设备或者系统 缺点:安全性较弱,对不安装代理的计算机(非可信设备)之间的网络通信不做控制. 部署:3亿仕内网准入与监控系统如图所示,网络通信隔离作为一种简单实用的接入控制机制,由亿仕的网络访问控制组件(主机 防火墙)实现,在部署安全代理的受控主机上,主机防火墙的网络驱动程序会为主机发出的每一个网 络数据包封装可信标识.当主机接收到网络数据包时,网络驱动程序会验证其可信标识的有效性,丢 弃不可信的网络数据包.以上机制最终到达的效果是:只有可信的主机,即安装代理并受控的主机, 才能相互通信. 其他功能:合规性检测,资产管理,介质管理,软件管理(进程管理) ,网络控制(分布式防火墙) , 安全审计.4。
准入控制解决方案
准入控制解决方案准入控制是一种通过限制、管理或筛选一些人员或实体进入特定范围或系统的措施,目的是确保进入者具备必要的条件、能力或权限,及时发现和防止潜在的风险和问题。
准入控制在各个领域都有广泛的应用,比如企业、组织、学校、社交网络等。
下面是一些常见的准入控制解决方案。
1.身份验证2.访问控制访问控制是一种管理用户对系统或资源的访问权限的方式。
它通过设置不同的权限级别和规则,决定用户可以访问哪些功能和信息。
访问控制可以细分为物理访问控制和逻辑访问控制。
物理访问控制主要用于限制人员进入特定的实体空间,如办公室、实验室等;逻辑访问控制主要用于限制人员对计算机系统、数据库等的访问权限。
3.审查和审核准入控制解决方案还可以包括对进入者进行审查和审核的环节。
审查是指对进入者的相关信息和资质进行审核和核实,以确保其符合准入标准。
审核是指对进入者的行为和操作进行监督和检查,以确保其遵守规定和要求。
这些环节可以通过人工审核、自动化审核或两者结合的方式进行。
4.安全培训和教育针对特定范围或系统的准入控制解决方案还可以包括安全培训和教育的环节。
通过向进入者提供必要的安全知识和技能培训,可以增强他们的安全意识、风险意识和对准入规定的理解。
安全培训和教育可以通过在线课程、面对面培训、信息安全政策宣传等方式进行。
5.风险评估和管理准入控制解决方案应当包括风险评估和管理的环节。
风险评估是指对潜在风险进行识别、分析和评估的过程,以确定采取何种措施来控制和预防风险。
风险管理是指根据风险评估的结果,采取相应的管理措施,包括风险避免、风险转移、风险减轻等。
6.监控和报警系统准入控制解决方案还可以包括监控和报警系统的设置。
监控系统可以通过安装摄像头、传感器等设备,实时监测特定范围内的活动,并记录相关信息。
报警系统可以在发生异常或违规行为时发出警报,通过声音、光线、通知等方式提醒有关人员。
这些系统可以及时发现和应对潜在的风险和问题。
总之,准入控制是一种管理进入者的手段,它可以通过身份验证、访问控制、审查和审核、安全培训和教育、风险评估和管理、监控和报警系统等多种方式进行。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
迪普科技公安视频专网IPC准入控制解决方案
1)建立网络地址准入数据库:提取各接入IPC摄像头的IP地址,建立IP地址准入白名单;2)只允许授权IP地址认证通过授权准入的IPC摄像头,当数据流到达认证网关后,如果数据包中的IP地址在准入白名单中,则认为数据为合法视频流,反之则为非法数据流并丢弃。
应用层协议控制
1)通过L4~7协议特征与动态端口号控制流量开启应用感知功能,识别传输数据的L4-7层协议特征与动态端口号,只允许授权的数据流及控制信令进入视频监控系统,禁止其他非法数据接入。2)实现与主流监控厂家平台的对接及联动:应用感知协议库已经包含海康、大华、宇视等主流厂家IPC端发起的协议类型,包含IPC注册、视频流、音频流、服务、告警日志等公有及私有协议。
公安交警视频专网IPC准入控制解决方案
杭州迪普科技股份有限公司
视频专网安全问题分析
视频监控安全问题频发
视频监控安全建设刻不容缓
《意见》要求建立公共安全视频监控系统联网应用的分层安全体系,实现重要视频图像信息不失控,敏感视频图像信息不泄露,加强网络安全传输、严格准入机制等技术手段建设,提升视频监控系统安全防护能力。
视频安全可视化平台
异构监控系统资产统一监测,设备上线、离线、非法私接等实时告警
DAC设备统一配置
策略模板配置
选择DAC进行策略下发
无需登录到每台DAC上进行配置,安全策略由UMC基于配置模板统一下发
平台分级管理
实现省厅、地市、区县公安分级分权限管理,如市公安管全使,区公安管本区
专业的安全评估及服务
DPX8000
DAC-Blade-A
DAC-Blade
LSW工业交换机
LSW商用交换机
案例分享—杭州市交警视频专网
该市交警支队的视频专网需要承载实时监控、实时指挥等业务的关键流量,迪普科技DAC设备在汇聚层双机冗余部署,对前端数千路高清摄像头进行L2~7准入认证及控制,为用户建设了一张安全、合规、可靠的监控专用网络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
终端准入控制解决方案(EAD)目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。
保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。
H3C终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
1.方案概述对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信息等内容的安全检查,根据检查的结果,EAD 对用户网络准入进行授权和控制。
通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。
EAD解决方案对用户网络准入的整体认证过程如下图所示:2.组网模型如下图所示,EAD组网模型图中包括智能客户端、联动设备、EAD安全策略服务器和第三方服务器。
智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。
联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。
EAD提供了灵活多样的组网方案,联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。
EAD安全策略服务器:它要求和联动设备路由可达。
负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向联动设备发送网络访问的授权指令。
第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。
当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
3.功能特点全方位准入控制EAD解决方案提供完善的接入控制,可以支持局域网、广域网、VPN、无线各种接入方式,支持包括HUB在内的各种复杂网络、思科等异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。
严格的身份认证除基于用户名和密码的身份认证外,EAD还支持支持智能卡、数字证书认证,增强身份认证的安全性。
同时,EAD支持多元素绑定,如帐号、MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口、无线SSID、QinQ等。
完备的安全状态评估根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、代理及拨号配置、多网卡检查、注册表管理、操作系统密码管理等; EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动,同时为了更好的满足客户的需求,也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品的配合使用。
例如已经购买微软的桌面管理工具SMS的用户,EAD可以与SMS配合,由EAD实现终端用户的准入控制,由SMS实现各种Windows环境下用户的桌面管理需求:资产管理、补丁管理、软件分发和安装等。
基于用户的准入控制在用户终端通过病毒、补丁等安全信息检查后,EAD可基于用户的角色,向联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。
终端用户的所属VLAN、ACL访问策略等安全措施均可由管理员统一配置实施,即使是在HUB环境,也可区分不同的用户并执行不同的控制。
灵活方便的执行模式EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式。
用户可以根据自己的实际需要,为VIP客户、内部员工、外来访客等不同人群,定义不同的安全策略执行方式。
全面的ARP攻击防御EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响,同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为。
桌面资产管理EAD解决方案实现了对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理,帮助客户更有效地管理企业的桌面资产。
U盘审计及外设管理EAD解决方案可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。
EAD还提供了对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄密,而且在离线状态下依然生效。
易于部署的无客户端EAD解决方案提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时EAD系统会自动载入客户端,对用户身份和终端安全状态进行检查,用户不需要改变上网习惯的同时,可以享受EAD带来的安全保障。
多种层次的高可用性EAD解决方案提供了双机冷备和双机热备功能,可以避免单台EAD服务器当机引起的认证中断,同时还支持单机故障的逃生方案,临时允许客户端不用认证就可以使用网络,保证了经济敏感用户的利益。
扩展开放的解决方案EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。
EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。
4.典型组网应用局域网安全准入防护在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。
广域网安全准入防护大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。
这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。
为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在分支机构路由器、总部路由器或网关中实施EAD准入控制,保证接入网络的用户终端不会对内部网络造成安全威胁。
VPN安全准入防护一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。
EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。
对于没有安装智能客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。
WLAN无线安全准入防护对于外来访客和企业内部的移动用户,使用WLAN无线网卡接入企业网络的情况越来越多,这带来了许多安全问题,EAD通过与FAT AP、AC无线控制器等无线设备的联动,强制用户在使用无线网络之前,必须先进行身份认证、安全状态检查,在享受便捷的无线网络同时,大大减少了来自空中的安全威胁。
网关安全准入防护通常企业在满足互联互通的要求后,会逐渐意识在内部网络安全控制的必要性,尤其是终端用户的安全问题,这时终端的安全准入控制就显得尤为重要。
而企业网络通常为多厂商设备共存,很难单独使用一家厂商的设备实施网络的准入控制。
这种情况下,视网络规模大小,我们推荐使用一台或多台网关设备作为强制认证控制器,使用基于Portal的认证协议,部署在核心层、数据中心、网络出口等位置,与iNode客户端、安全策略服务器配合完成EAD终端准入控制。
iMC EAD成功应用于酒泉钢铁用户背景酒泉钢铁(集团)有限责任公司(以下简称酒钢)位于万里长城西端、古丝绸之路中段的甘肃省嘉峪关市。
酒钢始建于1958年,是国家“一五”期间重点建设项目之一。
目前有嘉峪关本部、兰州榆中和山西翼城三大钢铁生产基地,集团公司铁、钢、材综合产能达到800万吨水平,技术装备水平进入国内同行业先进行列,资产总额400余亿元,员工总数3.8万人,是西北地区具有较大影响力的钢铁联合企业之一。
2008年收入排中国企业500强第172位,中国制造业500强第88位。
08年初,酒钢决定启动桌面安全系统项目,经过多次交流考察最终选择H3C作为解决方案的供应商。
部署规模共5000个信息点网络现状n 终端时刻受到病毒和蠕虫的威胁,存在安全隐患,更为严重的是由此触发一系列问题扩散全网,导致全网瘫痪、核心数据时刻受到安全威胁,一旦被攻击,将为企业造成无法挽回的损失;n 防护策略赶不上攻击方式的更新,被动式防御已不适应企业的发展,主动式保护的安全战略势在必行;n 随意接入网络、私设代理服务器,有意或无意的盗用IP地址情况严重;n 网络采用分散管理模式,终端难以保证其安全状态符合企业安全策略,例如新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在,无法有效地从网络接入点进行安全防范;n 终端资产流失严重,信息中心经常难以确认终端PC机的桌面资产状况,各个单位的员工私自购换电脑,难以及时了解员工的终端环境,造成桌面资产不断流失。
EAD解决方案实施针对酒泉钢铁的终端管理现状,H3C采用EAD终端准入控制解决方案,提出了解决措施,其网络拓扑示意图所示:酒钢现网网络环境较为复杂,各中心、生产区和翼钢、榆钢多厂商设备共存,且存在大量HUB,因此选择Portal的接入认证方式,即在核心设备上侧挂网关来实现终端准入控制,并且根据接入用户数选择不同型号的网关设备。
在办公区采用802.1x的认证方式,直接在接入层和EAD解决方案进行配合。
EAD应用效果在复杂的组网环境下实现准入控制经过多年的系统运维与建设,酒钢信息化平台已搭建得比较完善,但组网较复杂,多厂商设备共存,还包括远在山西和兰州的翼钢和榆钢两个分厂。
系统上线后,EAD解决方案很好的达到了用户的预期目标,实践证明,通过网关、接入层设备、策略服务器和客户端配合,EAD完全能保证复杂组网环境下终端准入控制,提升网络的安全和管理水平。
立体安全管理在网络中专门划分出隔离区域,趋势防病毒软件服务器、操作系统补丁服务器、EAD服务器均放置在网络隔离区中。
员工在终端身份验证通过后即可访问此区域的服务器,并且根据EAD策略服务器的安全控制要求升级操作系统软件补丁和病毒库版本,既保证了系统补丁、病毒库的及时更新和自动升级,也有效地减轻了管理员的工作量。