准入控制ASM盈高入网规范管理系统
ASM入网规范管理系统_准入控制技术快速配置手册
ASM盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
ASM盈高入网规范管理系统操作手册
ASM盈高入网规范管理系统INFOGO A ccess S tandard M anagement System操作手册Version版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录1.说明 ------------------------------------------- 错误!未定义书签。
2.ASM设备外观图解-------------------------------- 错误!未定义书签。
3.登录方式---------------------------------------- 错误!未定义书签。
4.操作界面说明------------------------------------ 错误!未定义书签。
首页----------------------------------------------错误!未定义书签。
模块界面------------------------------------------错误!未定义书签。
5.用户首次配置------------------------------------ 错误!未定义书签。
启用旁路模式--------------------------------------错误!未定义书签。
启用串联模式--------------------------------------错误!未定义书签。
系统基本设置--------------------------------------错误!未定义书签。
邮件提醒------------------------------------------错误!未定义书签。
盈高入网规范管理系统介绍
完全支持
总拥有成本
对接入层网络设备无要求,只 要核心交换支持策略路由功能, 运维和部署相对简单 系统故障后,用户网络接入自 动“逃生”
准入系统冗余
部署条件
需要Radius、802.1x交换机、 安装客户端、配置计算机参数 等,部署条件相互牵制
如果要实现引导介面,资金成 本和技术成本很高,并且用户 体验不会有本质性的改善 接入方法复杂、无法通过技术 手段进行接入审批,很难为管 理手段提供技术支撑 交换机接口、企业级无线SSID 能防止非授权计算机访问任何 网络资源
产品特点——用户收益
全方位终端安全管理,解决CIO关注的问题
入 网 规 范 管 理 系 统
1
保护终端安全更保护业务系统的安全 确保网络安全管理制度的落实
2
3
强化内部工作人员安全意识
„ 变被动为主动,提高工作效率
4
5
一体化解决方案简化终端维护工作
„
终 端 可 控 安 全 高 效
产品资质
22
产品荣誉
盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点 ASM相关案例
2
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端,采用Agentless模式 • 经过优化的安全操作系统平台,电信级硬件产品 • “违规不入网、入网必合规”
支持 支持 支持 支持 不支持
不影响 支持
上行数据 支持
不影响 支持②
不影响 支持
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
网络准入控制系统功能简介
网络准入控制系统(ASM入网规范管理系统)特点概述ASM(Admission Standard Management入网规范管理系统),是盈高科技自主知识产权的集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM入网规范的功能特点主要有以下几点:1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
使用户从设备和人员两方面进行网络边界的划定。
2、广泛的网络适应ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。
采用先进的设备特征采集技术,能够自动识别多种设备,有效的对设备进行标示和固定。
自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。
3、安检策略丰富完善ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。
根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。
这就使用户能够快速进行安全规范应用。
4、安全定位灵活多样ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。
可以进一步向下细化定位,直至每台终端设备。
也可以通过终端设备向上检索,找到其连接的网络设备。
终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持.方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based—Routing)、MVG的各种实现方案.系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
盈高入网规范管理系统ASM产品说明V
盈高入网规范管理系统ASM6000平台产品说明V1.1 INFOGO A ccess S tandard M anagement System声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录1产品概述 (1)1.1“亚安全”带来的挑战 (1)1.2安全准入的技术选择 (2)1.2.1良好的网络及终端适应性 (2)1.2.2先进的网络准入控制框架 (2)1.2.3系统可靠性高 (3)1.2.4专业的服务团队 (3)1.3系统简介 (4)1.4技术架构 (4)2产品主要功能 (6)2.1边界控制管理 (6)2.2人员认证管理 (6)2.3设备规范管理 (8)2.4操作行为管理 (11)2.5视角报表管理 (12)2.6分布部署管理 (13)3产品技术特点 (14)3.1安全高效的系统平台 (14)3.2弹性系统设计 (14)3.3设备采集智能化 (15)3.4卫星式安全定位 (15)3.5丰富的实名认证方式 (16)3.6灵活全面的授权管理 (17)3.7支持复杂大网络 (17)3.8运行高可靠性 (17)4部署方案 (19)4.1典型部署 (19)4.2高可用性部署 (20)4.3复杂环境部署 (21)5特别声明 (22)1产品概述1.1 “亚安全”带来的挑战在大部分的用户网络中,对外部网络边界进行防护的安全设备如防火墙、UTM、流控、IDS等都已经部署到位,但是内部网络的安全层次却很低,往往很容易就可以进入到单位内部的信息系统中。
在这样的安全状况下,不用说黑客,就是普通员工也会有意无意地干出一些惊天动地的事情。
某上市公司,由于生产车间离运维部门比较远,有人私接hub入网,在无意中将hub的2个端口用网线连接后导致整个生产网络中断。
Hub的存在是小事,但引发全网断网就是大事。
ASM盈高入网规范管理系统介绍
ASM的 主要功 能
3.1 什么是ASM
ASM是盈高科技精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 集成多种准入强制技术、提供多样化的身份认证 不断升级的安全检查引擎及规则库、“一键式”智能修复 基于角色的动态授权访问控制及实名日志审计 重点突出“违规不入网、入网必合规” ASM是一套集成第三代准入控制技术的纯硬件系统
1.3-1 终端安全防护及准入控制市场巨大
据Gartner 《MarketScope For NAC,2009》统计,整个NAC市场在 08年出现近100%的增长,总收入达5亿美元,09年全球终端接入控制投入增 长70%,总销售额超8亿美元,预计2010年全球市场可超14亿美元。
预增72% 14 12 10 单位:8 亿美元6 4 2 增涨70% 增涨 100%
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
4.1 ASM给客户带去的价值
消除办公网络中存在的各种安全隐患
减轻网络管理员的工作负担及压力 创造一个绿色的网络运维环境,提高网络使用 效率 等保考评中的重要砝码
1.建设网络准入控制系统的必要性
终端安防 问题多、 危害大
法令、法 规明确要 求
网络准入 控制市场 巨大
传统终端 防护产品 诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点 ,解决传统产品不足的新一代网络准入控制产品
1.2 法令、法规对终端防护有明确要求
《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。 《涉及国家秘密的信息系统分级保护管理 规范》 《萨班斯SOX法案》
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用 非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新 重要性的补丁未打 终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎,支持安全规 则的不断更新,确保安全检查的健壮性
拥有丰富的系统缺省检查规则库,并支持自定义和 系统规则库的升级,便于应对层出不穷的安全隐患
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
根据状态评估结果 采取措施,隔离设 备,并使其符合策 略
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
如果没有 它...
难以将用户与设备 关联起来,执行何 种策略,防止设备 欺骗。
从无限使用网络到 受限使用,必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
回 顾与讨 论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的 体系架
构
ASM的 主要功
能
ASM的 技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台,电信级硬件产品 是经过国内领先的大规模无客户端模式
第二代Infrastructure-based准入是市场上的主流技术,方案多,架构大多 比较成熟,稳定性及性能有保证
目前国外比较新兴的是采用Appliance-based的架构,特点是采用无客户 端Agentless做为解决方案的关键
PORTAL? 。。。
EOU?
。。。
802.1X就 能解决?
没有统一标准,多种解决方案并存!
网络中心主任
所有人的电脑 接入都掌握在 我这里,稳定 性不好,这个 责任我承担不
起
终端用户
每天刚上班这 段时间最烦了, 电脑老是接不
上网
稳定性如何保 证?
并发连接能力 如何保证?
身份认证
它的意义
独特地识别用户和 设备,并在这两者 间建立关联
URL-REDIRECT, 人性化友好安检
隔离和修复
加快用户了解和适 应的过程
创建和使用过于复 杂或过难的策略将 导致整个项目的废 止。
一个强大的准入控制系统必须拥有上述 所有功能。
ASM最重要的功能在于 把网络中已有的安全系 统(杀毒软件、补丁系 统、桌面管理)有机地 联系为一个整体,从而 实现一体化的管理。概 况地说,ASM是一个安 全架构,具体的内容和 血肉依赖于各种安全产 品。
内网变成了威胁和攻击的温床
终端整体安全直接关系到 整个网络
$
$10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000
网络内部的攻击和泄密
内部网络的破坏 病毒
内部人员网络的滥用 黑客攻击
计算机通信内容被截取 维护设备的损失
建立终端入网统一的安全体系
终端身份识别(不同身份、不同访问权限) 每个入终端都获得安全规范的管理
每台终端安全加固=获得健康安全的内网
对内网实施安全准入NAC
NAC (Network Admission Control) 网络准入控制的功能在于验证内网设备的身份和安全性。
Software-based NAC
台的问题
大量客户端需 要安装
•用户端资源 占用高
•终端用户对客 户端的反感
•维护不易
•无法充分利用现 有网络资源
•购买更多的网 络设备 •网络拓扑的大 量改造 •影响网络正 常性能
现状:用户网络越来越复杂,多种接入方式并存 要求:对现有网络改造越少越好
第一代软件准入中的ARP方式属于廉价解决方案,不适合成熟用户使用; 微软NAP则对操作系统要求较高,并且需要AD域
• 国内最早成立安全准入控制试验室的厂商之一; • 凝聚了一批具备CISP/CISSP等多项安全技术资质 的安全
研发团队; • 与国际知名厂商微软、CISCO、趋势、Symantec等建立
长期的战略合作关系; • 浙江省网络与信息安全信息通报中心技术支持合作单位; • 产品自主研发,获得国家创新型项目基金; • 杭州市科技创新基金;
部署案例实践的系统
支持各种网络环境下的准入强制技术,充分适应各种复杂 网络 提供多样化身份认证方式,与第三方身份认证系统联动 双实名认证+一键式智能修复,大大减轻管理工作量 基于角色的动态授权访问控制,可以很方便做到内网的访 问布控 不断升级的安全检查引擎及规则库 详实的实名制日志审计 级联部署,集中管理,形成统一管理报警平台
理解准入控制---NAC
关于盈高
• 盈高科技(INFOGO TECHNOLOGY CO.,LTD)成立于 2006年,是国内网络安全准入控制与终端安全管理领域的 专业厂商。公司总部设在杭州,在北京、湖南、广东、江 西、江苏、湖北、上海设有分支机构;
• 国内领先的网络准入控制系统解决方案提供商和产品供应 商;
来自网络内部的破坏攻 击是信息安全最大威胁!
2009年CSI/FBI调查 源自《计算机犯罪与安全调查报告》
2009年网络安全调查
因为软件漏洞,病毒蔓延造成的损失 高达66%
登录密码太简单等安全配置不符要求, 造成损失达到19%
终端软件漏洞 终端安全配置
内部缺乏访问控制,高达13%
终端准入控制
• 纯软件方式的准入
ARP欺骗、微软NAP
Infrastructurebased NAC
• 与网络设备联动的准入
802.1x 、EOU、portal
Appliance-based NAC
• 单台设备实现的准入
串联方式、旁路方式
接入用户及设备的实名制问题? 安全管理规范如何落实的问题? 如何快速发现隐患设备并且如何智能修复? 需要的是一套符合自身行业特色的安全规范 内网分角色分区域访问控制的问题? 实名日志审计问题及级联部署、集中管理平