ClearPass终端接入管理平台

合集下载

iMC EIA终端智能接入系列产品介绍V0.3(可编辑版本)

iMC EIA终端智能接入系列产品介绍V0.3(可编辑版本)

灵活的页面推送
基于SSID、接入位置的页面推送>>
基于不同的SSID和接入区域 (设备端口、VLAN等)或不同 终端类型(PC、手机、平板) 推送不同的认证页面,用户上 网时,将会看到有针对性的特 色页面。 通过认证后,基于用户身份信 息推送不同的通知、促销广告
基于终端类型的页面推送
页面 ,十分适合进行品牌定向
Amigopod
ECS(Endpoint Compliance System ) ClearPass
EAD
EIA
iMC BYOD总体解决方案
EIA、EIP、EAD组件License概述
EIA(End user Intelligent Access)终端智能接入组件,是在原有iMC UAM用户接入管理组件的基础上,整
原有授权控制模式,但不可扩容;
EAD升级:EAD组件升级到新版本EAD后,原有EAD组件赠送的UAM授权将转换为相同数 量的EIA授权,同时原有单独采购的UAM组件及授权作废。
目录
EIA三剑客 企业用户的认证与授权
适应各种组网环境
局域网接入
Windows AD
网关接入
广域网接入
Intranet
园区网
证书服务器
核心
远程VPN接入
邮件服务器
Internet
无线接入
OA办公服务器
全面的接入认证服务
• 802.1X 认证
– – – 支持PAP、CHAP、EAP-MD5、EAP-TLS、EAP-PEAP、EAP-GTC、EAP-TTLS。 iNode客户端支持Windows、Linux、MAC OS。智能终端采用系统原生客户端。 针对采用终端原生客户端做1X认证,可采用EIP智能部署方案。 支持纯Web、可溶解客户端、iNode客户端等多种方式认证 支持IPV6,支持NAT环境下的Portal认证 支持Web可视化页面定制,基于位置的页面推送 支持哑终端(网络打印机、IP电话)认证 支持哑终端账户预配置 支持L2TP、IPSec VPN认证(需iNode客户端,额外报价) 支持SSL VPN认证

Aruba创新接入管理系统ClearPass助力企业BYOD

Aruba创新接入管理系统ClearPass助力企业BYOD

Aruba创新接入管理系统ClearPass助力企业BYOD鲁义轩【摘要】Aruba Networks日前在中国推出了针对企业BYOD(Bring Your Own Device,个人设备用于工作场合)的接入管理系统"ClearPass".作为Aruba推出的首个能兼容iOS、Android、Mac OS×和Windows 7等操作系统的移动设备安全配置,该系统可以在任何企业网络上自动为移动设备进行安全的网络配置并简化过程,不仅能帮助IT部门降低移动服务管理成本,还能迅速满足被员工带到工作场合的个人设备对网络的需求.【期刊名称】《通信世界》【年(卷),期】2012(000)014【总页数】1页(P26)【作者】鲁义轩【作者单位】【正文语种】中文Aruba Networks日前在中国推出了针对企业BYOD(Bring Your Own Device,个人设备用于工作场合)的接入管理系统“ClearPass”。

作为Aruba推出的首个能兼容iOS、Android、Mac OS X和Windows 7等操作系统的移动设备安全配置,该系统可以在任何企业网络上自动为移动设备进行安全的网络配置并简化过程,不仅能帮助IT部门降低移动服务管理成本,还能迅速满足被员工带到工作场合的个人设备对网络的需求。

应对BYOD带来的网络挑战据Aruba亚太及日本地区副总裁Gary Jackson称,目前在中国,BYOD的应用被越来越多的企业所接受。

今年2月份Aruba针对BYOD在中国的发展情况面向两百多位来自各个行业的企业高管和IT负责人进行的一项调查显示,目前在中国已经有78.9%的企业允许员工使用个人设备工作,这比亚太区整体还高出了8个百分点。

但与此同时,BYOD也给企业带来了更大的网络技术挑战,其中调查者普遍认为网络安全和管理便捷是BYOD的两大应用挑战,分别占受访者的58.2%和43.4%。

各种拓扑图

各种拓扑图
汇聚交换机
POE交换机 无线AP
POE交换机 无线AP
ClearPass策略管理平台
DHCP 服务器
POE交换机 无线AP
PAD
智能手机
笔记本
PAD
智能手机
笔记本
无线控制器
Internet
流量控制 上网行为管理
办公楼内网
POE交换机 无线AP
汇聚交换机 POE交换机
无线AP
POE交换机 无线AP
PAD
汇聚交换机

接入交换机
POE交换机
室外无线AP
室内无线AP
无线网管系统
深澜AAA认证 服务器 DHCP服务器
长安校区AC
雁塔校区AC


长安校区核心 长安校区核心
大学生活动中心
POE 无线汇聚 楼宇汇聚 AP
行政楼
POE 无线汇聚 楼宇汇聚 AP
逸夫科技信息楼
POE 无线汇聚 楼宇汇聚 AP
研究生教育综合楼
POE交换机

POE交换机
室外无线AP PAD
室内无线AP
智能手机
笔记本
ClearPass 认证服务器
AirWave 无线网管系统
DHCP服务器
丽人丽妆 有线网拓扑
Internet
阿尔卡特朗讯 核心交换机 OS6860E-U28
阿尔卡特朗讯 接入交换机 OS6250-48
阿尔卡特朗讯 接入交换机 OS6250-24
认证计费系统
Aruba 7010 无线控制器
西工大校园网
Internet
DHCP
电信4G路由器
电信4G路由器
Aruba RAP-109

ARUBA CLEARPASS 策略管理器说明书

ARUBA CLEARPASS 策略管理器说明书

数据表ARUBA CLEARPASS策略管理器现有最先进的安全NAC(网络准入控制)平台作为Aruba 360 Secure Fabric的组成部分,Aruba ClearPass策略管理器为物联网、自带设备(BYOD)、企业设备以及任何多供应商有线、无线和VPN基础设施的员工、承包商和访客提供基于角色和设备的安全网络准入控制。

通过内置的基于具体环境的策略引擎,RADIUS、非 RADIUS(使用OnConnect)和TACACS+强制策略、以及终端识别、健康评估和访客接入选项,ClearPass为任何规模的组织机构提供无与伦比的网络安全基础。

对于采用防火墙、EMM/MDM和其他安全产品的全面安全集成解决方案,ClearPass支持Aruba 360 Security Exchange计划,从而可以与第三方安全供应商和IT系统集成,实现自动化的威胁检测和响应工作流,这在以前往往需要IT的人工干预。

另外,ClearPass支持自助服务功能,使终端用户更加容易接入网络。

在管理策略控制之下,用户可以安全地配置他们用于企业的自带设备或互联网接入。

Aruba无线客户尤其能够利用独特的集成功能(例如AirGroup)以及Aruba单点登录(ASO)。

ASO 使用户的网络身份验证能够自动传递到他们的企业移动应用,以便他们能够自动通过认证,立即开展工作。

结果是IT可以获得连接到企业的所有有线和无线设备的详细可见性,简化和自动化设备身份验证、强化网络授权控制,以及通过和第三方合作伙伴生态系统的集成提供更快和更好的事件分析和响应。

这样一个全面和可升级的策略管理平台,超越了传统的AAA解决方案,能够为IT和自带设备(BYOD)提供广泛的安全实施能力。

关键特性•跨多个供应商无线、有线和VPN网络,基于角色的统一网络接入;•直观的策略配置模板和可视化故障排除工具;•支持多种身份验证/授权来源(AD、LDAP、SQL dB);•自助服务设备登录,具备适用于BYOD的内置证书颁发机构(CA);•访客接入功能,具备广泛的定制、品牌化和基于发起人的审批;•与主流EMM/MDM解决方案集成,提供深入的设备评估能力;•与Aruba 360 Security Exchange计划全面集成;•单点登录(SSO)支持用于Ping、Okta和其他身份管理工具,为基于SAML 2.0的应用程序提升客户体验。

clearpass配置实验

clearpass配置实验

实验网络说明实验目的本实验完成了一个公司内部员工BYOD在公司无线网络中应用的场景。

公司内部员工可以使用公司拥有的加入域的Windows电脑,又可以在公司的无线网络中使用IPad或Iphone,Android手机或基于Android的Pad,也可以使用自己的没有加入公司域的Windows笔记本电脑。

没有加入公司域的无线设备在使用前必须通过BYOD Provision的过程。

通过BYOD Provision成功的无线终端,会分配一个BYOD终端的网络访问角色。

实验网络设备本实验中使用到的网络设备包括:ClearPass 6.0Aruba Access ControllerAruba APWindows 2008 R2 (With Active Directory and DNS)2500交换机Windows笔记本电脑 2台IPad/IphoneAndroid Pad/Phone实验网络拓扑Windows 2008R2上安装Active Directory1.打开 S erver M anager2.点击“Roles”,点击“Add Roles”,出现下面的界面3.点击“Next”进入下面的界面4.选择“Active Directory Domain Services”,系统提示安装.NET FrameworkFeatures,直接点击“Add Required Features”进入安装5.系统出现下面的提示后,直接点击“Next”6.在下面的界面中直接点击“Install”7.安装完成后,出现下面的界面Windows 2008R2上安装DNS ServerDNS S ever的安装方法和Active D irectory一样,下面是安装DNS配置完成后的界面。

只要能保证DNS能够解析出Active Directory服务器的地址即可。

这里是10.64.7.11ClearPass中配置证书(如果不想使用自己的证书,此步骤可以省略)1.点击“Dashboard”>>“ClearPass Guest”,进入ClearPass Guest配置页面2.导航到“Onboard”>>“Certificate Authority Setting”证书管理页面3.输入下图中的必要项,点击“Create Root Certificate”来产生一个证书4.回到“ClearPass Policy Manager”,导航到“Administration”>>“Certificates”>>“Server Certificate”,点击“Create Self-Signed Certificate”来创建一个新的服务器证书。

智慧移动医疗解决方案及案例分享

智慧移动医疗解决方案及案例分享

802.11ac 无线
设备和应用程序感知 QoS 实时 RF 监控工具 预测性 UX 监视
零接触远程 AP 预配
为医院量身订做的组网架构
网管数据 无线控制 (Master) 控制器 (Active) 控制器 (Standby) 认证数据 HIS (Oracle) 终端接入管理 ClearPass
网络管理 AirWave
• 集成平台
Vmware云计算平台
• 基础架构平台
信息化建设的趋势
(2)医疗闭环,确保质量
医护患者全员追踪 医疗过程全程追溯 准确统计分析,可个体化纠正
检查闭环
检验闭环
检查/检验 闭环
药物闭环
医疗质量 闭环管理
自动包药机 口服药闭环
智能药柜 基数药闭环
手术闭环 治疗闭环
手术/治疗 闭环
信息化建设的趋势
电子病历(DB2)
有线内网
总院
Internet
IPSec VPN
住院
留院
输液
内部专线
3G/4G
3G/4G,ADSL
ADSL 控制器
有线内网 有线内网
控制器
客户端
RAP
IAP(虚拟AC)
院领导、专家
远程诊疗
分门诊
分院
分院
案例:中山大学附属肿瘤医院,组网架构
基于医护人员“角色”的接入管理
基于角色管理控制 安全策略
同一套无线网络承载内外网业务
Internet 医院 内网
无线接入点
数据中心
DMZ
外网
无线控制器
物理隔离
控制器 (GRE终结)
案例:中山大学附属肿瘤医院,无线外网应用
认证系统

amigopod(clearpass guest)高级培训

amigopod(clearpass guest)高级培训

CONFIDENTIAL
© Copyright 2011. Aruba Networks, Inc.
29
All rights reserved
服务器的控制
CONFIDENTIAL
© Copyright 2011. Aruba Networks, Inc.
30
All rights reserved
创建角色
7
All rights reserved
设备硬件及网络架构
• 10/100/1000 LAN and MGT Ports
• Radius and Operators on MGT port
• User captive portals and self registration pages on LAN port
CONFIDENTIAL © Copyright 2011. Aruba Networks, Inc. All rights reserved
Amigopod是什么?
• Amigopod是一款非常灵活、功能强大的访客帐号管理软件 • Amigopod是能够实现客户化设计的Web Portal外置服务器 • Amigopod是能够与各种网络设备配合的Radius认证服务器 • Amigopod是支持网页、邮件和短信等媒介的广告发布平台 • Amigopod是理想的访客信息和兴趣收集、统计和分析系统 • Amigopod是实现移动终端接入控制的证书和配置分发系统
不同的角色用户如何选择不同的自注册页面?
CONFIDENTIAL
© Copyright 2011. Aruba Networks, Inc.
31
All rights reserved
创建角色及属性

Aruba产品与解决方案

Aruba产品与解决方案

移动控制层面
CLEARPASS POLICY MANAGER ARUBAOS
AirWave 管理
NAC + MDM + MAM In One
(单一策略定义点)
基于环境感知的防火墙
(无需 VLAN、SSID、ACL 配置)
多供应商管理
监视设备和应用程序体验
6
CONFIDENTIAL © Copyright 2011. Aruba Networks, Inc. All rights reserved
擦除/锁定 机密应用程序 延迟敏感 UCC 应用程序
2.
3.
网络拥堵
限制 iCloud 备份 关闭内部摄 像头
锁定敏感应 用程序
4.
9
处于保密位置 中的设备
CONFIDENTIAL © Copyright 2011. Aruba Networks, Inc. All rights reserved
AirWave:管理网络操作
ClearPass:单策略管理
用户 内容 时间
位置
方法
网络接入 管理
设备接入 和管理
移动应用程序 管理
在任何网络上
更快的设备部署
海量应用程序 生态系统
硬件或虚拟设备
CONFIDENTIAL © Copyright 2011. Aruba Networks, Inc. All rights reserved
医疗 中心
零售商
园区
大型场馆、 活动中心
11
CONFIDENTIAL © Copyright 2011. Aruba Networks, Inc. All rights reserved
工作原理
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ClearPass终端接入管理平台
Aruba ClearPass Access Management System™(接入管理系统)可以为管理和确保有线、无线和VPN基础架构上的网络安全提供无可比拟的简洁性。

ClearPass确保您可以安全地使用任何设备接入任何网络。

作为实现BYOD预配置和侦测的理想选择,ClearPass确保公司提供的和个人拥有的移动设备安全连接任意网络。

通过对整个网络的接入策略进行集中控制,ClearPass自动进行用户和设备接入区分、策略管理以及设备预配置,以实现安全网络接入和状态评估。

这就确保了每个用户都能够基于自己的身份以及使用哪种设备获得正确的接入优先权。

当下有越来越多的消费类设备采用Windows、Mac OS X、iOS、Android、Linux 等操作系统连网络,而且用户类型也多种多样,从员工、访客、客户到承包商,在此情况下,ClearPass的作用举足轻重。

•第一款也是唯一一款适用于所有网络的BYOD预配置和侦测框架。

•自动实现Windows、Mac OS X、iOS和Android设备侦测。

•通过端点可视性、情境相关设备配置文件信息提高了策略决定的正确性。

•可升级、使用方便的访客管理系统可以实现访客安全接入。

除了基本的网络访问控制(NAC)能力,还提供了企业级端点状态和健康检查功能。

Aruba ClearPass终端接入管理系统由以下组建组成:
Aruba ClearPass Policy Manager
ClearPass系统的基本组件
Aruba ClearPass Policy Manager平台可以在任何有线、无线和VPN基础架构上实现基于身份和设备的网络接入控制功能。

ClearPass Policy Manager平台的软件模块可以简化和自动实现设备配置、预配置、分析、健康检查和访客接入功能。

Aruba ClearPass Onboard
用于ClearPass Policy Manager的软件模块
ClearPass Onboard可以自动实现Windows、Mac OS X、iOS和Android设备
的侦测流程。

Aruba ClearPass Profile
用于ClearPass Policy Manager的软件模块
ClearPass Profile通过提供端点可视性提高策略决定的正确性,包括情境相关设备配置信息,如操作系统版本、制造商和设备类别等。

Aruba ClearPass Guest
用于ClearPass Policy Manager的软件模块
ClearPass Guest是一种可升级、使用方便的访客管理系统,可以为访客、及其移动设备提供安全的无线网络接入方式。

Aruba ClearPass OnGuard
用于ClearPass Policy Manager的软件模块
ClearPass OnGuard代理可以提供先进的端点状态评估和健康检查功能,确保符合安全法规以及在设备连接前进行网络保护。

1.1. ClearPass Policy Manager
Aruba ClearPass Policy Manager ™平台可以在任何有线、无线和VPN基础架构上实现基于身份和设备的网络接入控制功能。

利用内置的RADIUS、SNMP和TACACS+协议,ClearPass Policy Manager可以通过设备注册、设备分析、端点健康评估,以及全面报告等功能,在设备连接到网络时自动执行用户和端点接入策略。

这样就满足企业对自带设备(BYOD)的需求,实现一致、安全的网络接入。

无论是在本地还是远端,也不管使用何种网络、何种设备或者以何种方式接入网络,ClearPass Policy Manager都可以为遍布各地的用户提供接入支持。

ClearPass Policy Manager平台还配备多种软件模块,提供丰富的功能,包括侦
测、分析、访客接入,状态评估(posture assessment)和健康检查功能。

关键特性:
•使用带外通讯,不会影响网络性能和扩展能力。

•直观的web界面简化了策略配置和故障排查。

•通过策略模拟和监视功能可以在部署前对策略进行测试。

•支持NAC、NAP以及Trusted Network Connect (TNC)等新兴框架。

•可重复使用的策略标准块可以简化新验证服务的创建过程。

•全复制集群功能可以实现高可用性、冗余能力以及负载平衡特性。

•其它软件模块还可以支持侦测、分析、访客接入以及状态评估和健康检查。

1.2. ClearPass Onboard
Aruba ClearPass Onboard可以自动实现802.1X配置,并预配置好所有有线、无线和VPN连接的BYOD和IT管理设备,无论它们使用的是Windows、Mac OS X、iOS还是Android系统。

利用ClearPass Onboard,访客和员工只需自己简单注册安全网络接入并把自己的设备载入成为Aruba ClearPass BYOD框架的一部分。

从ClearPass Policy Manager平台集中定义和管理,用户首先会被转到访客或设备注册入网门户。

然后ClearPass Onboard会自动检测设备的操作系统以及其它特性,为用户提供合适的配置包。

这样就精简了实施有线、无线和VPN设置的方式,可以轻松管理独一无二的设备凭证提供和撤销的过程。

关键特性:
•自动配置有线和无线端点的网络设置。

•为BYOD和IT管理设备配置独一无二的设备凭证。

•支持Windows、Mac OS X、iOS和Android设备。

•支持撤销具体用户设备上的独有凭证。

•利用ClearPass的分析能力识别出设备类型、制造商和型号。

1.3. ClearPass Profile
Aruba ClearPass Profile可以确定和识别出接入企业网络所有端点的独有特性。

它可以确保端点的特性始终准确,并使用这些信息验证设备的身份,执行接入
优先策略。

通过Aruba独有的5层分析系统可以将所有端点的特性收集归档,该系统可以执
行基线指纹识别、以事件为中心的指纹识别、网络启发分析、以身份为中心的分析和设备预配置。

它可以对收集到的端点特性根据设备类别进行分类,并存储到配置文件里。

而配置文件可以在基于角色的设备策略中使用,通过策略管理和执行合适的网络接入控制。

自动分析功能可以确保正确存储所有网络设备的当前数据,包括笔记本、平板电脑、智能手机、打印机和电话。

通过ClearPass可以统一查看所有设备,监视新连接,以及即时分析新入网的设备。

Aruba ClearPass使用5层分析系统
关键特性:
•自动分析所有BYOD和IT管理的端点。

•为无需验证的端点,如网络打印机、电话和摄像头,创建全面的白名单。

•使用5层分析系统确保接近100%的设备分析准确度。

•在用于执行策略的配置文件里分类存储端点特性。

1.4. ClearPass Guest
ClearPass Guest是一种可升级、使用方便的访客管理解决方案,可以为访客、员工及其移动设备提供安全的无线网络接入方式。

ClearPass Guest直观的用户界面通过精简工作流程大大简化了访客管理,使接待人员、员工以及其它非IT人员能够创建临时账户接入Wi-Fi。

带有移动设备的访客和员工还可以自己注册网络接入。

一旦注册成功,ClearPass Guest会通过短信息或电子邮件向用户提供账户登录凭证。

账户可以设置成在指定小时或指定天数后自动过期。

关键特性:
•创建和修改临时用户账户;删除账户或设置账户自动过期。

•在最大限度地减少IT部门参与的情况下进行扩展,支持数千并发用户
•为每个用户分配独一无二的用户名和密码。

•访客和员工通过可定制的web界面注册网络接入。

•通过短信或电子邮件提供访客账户凭证,简化注册过程。

•换肤技术可以为用户提供个性化的使用体验。

1.5. ClearPass OnGuard
ClearPass OnGuard 通过运行在Windows、Mac OSX或Linux终端设备上的ClearPass OnGuard agents执行全面的终端运行状态和健康评估,实现企业级网络的NAC网络准入控制,确保所有接入网络的终端设备的安全性。

所有的终端设备均依照可客户化的网络安全策略进行健康检查。

任何不符合健康检查条件的终端设备均被自动隔离,执行自动或员工自助修复。

•符合网络(有线或无线)访问策略的所有终端获得成功认证。

•不符合网络安全策略的终端被自动隔离检疫,直至自动或手动修复后方可获得网络接入权限。

•灵活的Internet重定向功能使用户可以便利地更新其设备以支持访客以及BYOD NAC接入策略。

关键特性:
•针对Windows, Mac OS X and Linux操作系统的实时anti-virus, anti-spyware 和firewall检查。

•全面检查P2P应用, USB 存储设备, 虚拟机等等。

•可选择终端友好的永久型或可卸载型Agent,以保证全面的企业网络保护和广泛的终端兼容性。

相关文档
最新文档