下载文档原格式
网络安全准入系统网络安全准入系统(Network Security Access Control System)是指通过一系列的技术手段,来对网络的访问者进行身份验证和访问控制的一种系统。
其主要目的是保护网络资源免受未经授权的访问、攻击或滥用。
网络安全准入系统的主要功能包括身份验证、权限控制和安全监控。
首先,网络安全准入系统通过用户身份验证来保证网络只有合法的用户能够访问。
这一步骤通常包括使用用户名和密码、双因素认证或者生物特征识别等方式来验证用户身份。
只有通过身份认证的用户才能进入系统,这样可以有效防止黑客利用有效的账号密码进行攻击。
另外,网络安全准入系统还可以与企业现有的用户管理系统进行集成,实现账号的自动创建和禁用。
其次,网络安全准入系统可以根据用户的身份和角色来进行权限控制。
通过设置不同级别的权限,可以确保每个用户只能访问其拥有权限的资源,并且限制对敏感数据的访问。
例如,只有具有管理员权限的用户才能修改系统设置和访问敏感数据,普通用户只能访问其需要的数据和功能,从而提高系统的安全性。
最后,网络安全准入系统可以实时监控网络流量,检测并阻止异常的访问行为。
通过持续监测网络流量、分析用户行为和异常日志,可以及时发现并响应潜在的安全威胁。
准入系统可以自动阻止来自未知IP地址或存在异常行为的用户的访问请求,从而提高网络的安全性。
除了以上的功能,网络安全准入系统还可以提供企业级防火墙、入侵检测与防御、加密通信等其他安全功能。
此外,准入系统还可以集成其他网络安全设备和系统,如防病毒系统、入侵防御系统等,实现全面的网络安全保护。
总之,网络安全准入系统是一种重要的网络安全保护手段,通过身份验证、权限控制和安全监控等功能,可以保护企业网络免受未经授权的访问、攻击或滥用。
通过使用网络安全准入系统,企业可以提高网络的安全性,减少潜在的数据泄露和网络攻击的风险。
360NAC快速安装手册作者刘光辉赵娜日期2014-12-30修订保密级别:低目录1. 360NAC应用准入解决方案 (4)1.1应用准入部署拓扑 (4)2.应用准入基本原理 (5)2.1 360NAC应用准入工作流程图 (5)2.2360NAC应用准入工作流程图详述 (5)3. 360NAC应用准入部署配置 (6)3.1 NAC默认设置 (6)3.2 天擎服务器配置 (7)3.3 交换端口镜像机配置 (7)3.4 NAC服务器配置 (8)4. 360NAC应用准入流程选择 (10)4.1 360NAC应用准入流程一部署 (10)4.2 360NAC应用准入流程二部署 (11)4.3 360NAC应用准入流程三部署 (13)5.360NAC 1X准入解决方案 (15)6.360NAC 1X准入服务器配置 (15)7. 802.1x交换机配置 (17)7.1 思科交换机1x配置 (17)7.1.1 版本描述 (17)7.1.2配置信息 (19)7.2 H3C交换机配置 (19)7.2.1 版本描述 (19)7.2.2配置信息 (20)7.2.3 版本描述 (21)7.2.4配置信息 (21)7.2.5 交换机密码清空 (22)7.3 华为交换机 1x配置 (22)7.3.1 版本描述 (22)7.2.2配置信息 (23)7.4 锐捷交换机 1x配置 (23)7.4.1 版本描述 (23)7.4.2配置信息 (24)8.360NAC 1X准入山东济宁邹城实施案例 (24)8.1 用户拓扑 (24)8.2 现场问题及解决办法 (25)FAQ (25)1.已安装天擎依然无法上网。
(25)2. 镜像口配置是否正确。
(26)3. 有违规日志但是没有被重定向。
(27)4. 非80端口的网页可以通过IE打开但是无法被正常重定向。
(27)5. 不被重定向或阻断的原因。
(27)修订记录1. 360NAC 应用准入解决方案1.1应用准入部署拓扑当前解决方案是着眼于国税项目,使用阻断方式来干扰终端正常网络访问,来达到准入功能。
360网络安全准入系统技术白皮书奇虎360科技有限公司二O一四年十一月360网络安全准入系统技术白皮书目录第一章前言................................................................ 第二章产品概述...............................................................2.1产品构成 ..............................................................2.2设计依据 .............................................................. 第三章功能简介...............................................................3.1 网络准入..............................................................3.2认证管理 ..............................................................3.2.1保护服务器管理 ...................................................3.2.2 例外终端管理.....................................................3.2.3重定向设置 .......................................................3.2.3 认证服务器配置...................................................3.2.4 入网流程管理.....................................................3.2.5 访问控制列表.....................................................3.2.6 ARP准入.........................................................3.2.7 802.1x............................................................3.2.8 设备管理.........................................................3.3用户管理 ..............................................................3.3.1认证用户管理 .....................................................3.3.2注册用户管理 .....................................................3.3.3在线用户管理 .....................................................3.3.4用户终端扫描 .....................................................新3.4 策略管理............................................................3.4.1 策略配置.........................................................3.5系统管理 ..............................................................3.5.1系统配置 .........................................................3.5.2接口管理 .........................................................3.5.3 路由管理.........................................................3.5.4 服务管理.........................................................3.5.5 软件升级.........................................................3.5.6 天擎联动.........................................................3.6系统日志 ..............................................................3.6.1违规访问 .........................................................3.6.2心跳日志 .........................................................3.6.3 认证日志.........................................................3.6.4 802.1x认证日志 ................................................... 第四章产品优势与特点......................................................... 第五章产品性能指标...........................................................5.1测试简介...............................................................5.2被测设备硬件配置.......................................................5.3 360NAC抓包性能指标................................................... 第六章产品应用部署...........................................................6.1 360NAC解决方案.......................................................6.1.1部署拓扑 .........................................................6.2.基本原理..............................................................6.2.1 360NAC工作流程图................................................6.2.2 360NAC工作流程图详述............................................流程一部署............................................................流程二部署............................................................流程三部署............................................................第一章前言网络信息化的飞速发展为用户内网管理带来新的问题和挑战,主要体现在以下几方面:1)外来终端随意地访问网络,不设防;2)内网中的用户可以随意地访问核心网络,下载核心文件;3)不合规终端也可以接入到公司核心服务,对整个网络安全带来隐患;针对以上问题以及诸多安全隐患,360互联网安全中心凭借多年信息安全领域的技术积淀,推出了基于终端应用的准入系统(简称360NAC)。
"NAC" 是Network Access Control(网络访问控制)的缩写,是一种用于确保只有经过授权和合规的设备和用户能够访问企业网络资源的安全技术。
NAC 应用准入原理涉及到在网络上实施一系列措施,以保证网络的安全性和合规性。
以下是NAC 应用准入原理的基本概念和步骤:
身份认证:用户或设备在访问网络前需要进行身份认证,确保他们有权访问企业网络资源。
这可以通过用户名密码、证书、双因素认证等方式实现。
设备健康检查:在设备连接到网络后,NAC 系统会进行设备健康检查,以确保设备的操作系统、防火墙、杀毒软件等安全措施是最新且有效的。
如果设备未能通过健康检查,可能会被引导到一个受限制的网络区域,以进行修复。
合规性检查:针对特定行业的合规性要求,NAC 可能会检查设备是否满足相关规定,如安全政策、数据保护法规等。
不满足合规性要求的设备可能会被阻止访问敏感数据或资源。
授权访问:一旦设备通过身份认证、健康检查和合规性检查,NAC 系统会为其分配适当的网络访问权限。
这可能包括访问特定资源、应用程序、子网等。
网络隔离:对于未通过健康检查或合规性检查的设备,NAC 系统可能会将其隔离到一个受限制的网络区域,以防止其影响整个网络的安全性。
监控和日志记录:NAC 系统会持续监控网络上连接的设备,记录其活动并生成日志。
这有助于及时发现异常行为和安全事件。
NAC 应用准入原理的目标是确保只有合法、合规和安全的设备和用户能够访问网络,以减少潜在的安全威胁和数据泄露风险。
它在企业和组织中广泛应用,特别是在需要高度敏感信息保护的行业,如金融、医疗保健等。
360网神终端安全管理系统解决方案V1.0.........................................................................................................................................1.1安全趋势 (8)1.2项目背景 (9)1.3面临挑战 (10)1.3.1原有终端安全建设集成度弱 (10)1.3.2缺乏防御各类型威胁的能力 (11)1.3.3缺少统一安全运维处置能力 (13)1.3.4无法对身份资产外设全管理 (14)1.3.5欠缺对高级威胁的有效识别 (15)1.3.6整体安全决策力未形成闭环 (16)...............................................................................................................................2.1安全技术需求分析 (17)2.1.1一体化的集中安全管理需求 (17)2.1.2大量恶意威胁积极防护需求 (18)2.1.3统一终端安全运维合规需求 (19)2.1.4身份准入资产设备管理需求 (21)2.1.5高级可持续性威胁处置需求 (23)2.1.6实时安全数据分析决策需求 (23)2.2安全运营需求分析 (24)2.2.1掌握信息资产需求 (24)2.2.2日常安全运营需求 (24)2.2.3重要时期安全保障需求 (25)2.2.4专家安全运营支撑需求 (25)..................................................................................................................3.1方案设计依据 (26)3.2方案设计原则 (27)3.2.1整体性原则 (27)3.2.2统一性原则 (27)3.2.3一致性原则 (27)3.2.4适应性原则 (28)3.3方案设计思路 (28)3.3.1风险分析与合规要求相结合 (28)3.3.2统一体系化的安全保障框架 (29)3.3.3以积极防御为主的设计思路 (29)......................................................................................................4.1总体设计架构 (32)4.2安全技术体系 (33)4.3安全管理体系 (34)4.4安全运营体系 (34)......................................................................................................................5.1一体化集中安全管理平台 (35)5.1.1针对高级威胁有效防护 (35)5.1.2全网终端安全态势监控 (35)5.1.3建立终端立体防护体系 (35)5.1.4终端安全,统一管理 (36)5.2终端病毒与恶意代码防范 (36)5.2.1防病毒功能架构与组成 (36)5.2.2双擎双库的病毒特征检测 (37)5.2.3奇安信云查杀检测引擎 (38)5.2.4恶意URL检测引擎 (39)5.2.6样本黑白名单管理 (42)5.2.7私有云平台(隔离网环境) (42)5.2.8特点与优势 (43)5.3终端综合评估系统 (45)5.3.1配置脆弱评估 (45)5.3.2数据价值评估 (45)5.3.3沦陷迹象评估 (46)5.4业务服务器安全加固 (46)5.5XP系统遁甲安全加固 (48)5.5.1系统加固 (49)5.5.2热补丁修复 (49)5.5.3危险应用隔离 (50)5.5.4“非白即黑”策略 (51)5.6全网终端漏洞统一管理 (51)5.6.1国内高速补丁下载源 (52)5.6.2安全的补丁回退机制 (52)5.6.3补丁安装智能化 (52)5.6.4补丁强制安装 (52)5.6.5特点与优势 (53)5.7软件供应链合规管理 (55)5.7.1软件生命周期管理 (55)5.7.2软件安全鉴定 (55)5.7.3云中心软件管理 (56)5.7.4软件应用分发 (56)5.7.5系统架构与组成 (57)5.8终端安全管控措施 (59)5.8.1流量监控 (59)5.8.2违规外联 (60)5.8.3应用程序安全 (60)5.8.4网络安全 (60)5.8.5远程控制 (60)5.8.6外设管理 (61)5.8.7桌面加固 (61)5.8.8屏幕水印 (63)5.8.9客户端强制自保护 (63)5.9终端信息审计管理 (63)5.9.1安全策略审计 (64)5.9.2文件操作审计 (64)5.9.3文件打印审计 (64)5.9.4外设使用审计 (65)5.9.5邮件记录审计 (65)5.9.6账号使用审计 (65)5.9.7安全U盘审计 (65)5.9.8文件追踪审计(受控) (65)5.10身份认证合规准入 (66)5.10.1系统架构组成 (66)5.10.2主机身份识别 (67)5.10.3802.1x接入认证 (67)5.10.4Web Portal认证 (68)5.10.5入网合规检查 (68)5.11多网切换隔离管控 (74)5.12软硬件资产登记管理 (75)5.12.1软硬件信息收集 (75)5.12.2自助登记 (75)5.12.3Ldap联动 (76)5.12.4特点与优势 (76)5.13移动存储介质管理 (76)5.13.1移动存储介质注册 (77)5.13.2设备授权 (77)5.13.3挂失管理 (78)5.13.4外出管理 (78)5.13.5U盘漫游 (78)5.13.6设备例外 (79)5.13.7安全U盘(硬件) (79)5.13.8特点与优势 (79)5.14终端威胁检测与响应系统 (80)5.14.1终端大数据采集 (80)5.14.2主动式威胁检测 (81)5.14.3终端威胁追踪 (81)5.14.4威胁应急响应 (81)5.14.5安全状况全面评估 (81)5.14.6特点与优势 (81)5.15可视化安全数据分析与决策 (82)5.15.1系统架构与组成 (83)5.15.2安全可视化系统功能 (84)5.16一体化平台典型部署 (88)5.16.1互联网络部署 (88)5.16.2隔离网络部署 (89)5.16.3大型网级联部署 (90)5.16.4强制合规(NAC)旁路部署 (92)5.16.5强制合规(NAC)802.1x部署 (93)5.17终端安全风险治理思路 (95)......................................................................................................6.1安全运营总体思路 (96)6.2安全运营服务内容 (96)6.2.1终端安全运营服务(基础版)—工作内容 (97)6.2.2终端安全运营服务(基础版)—交付物 (99).................................................................................................................... 7.1售后服务组织机构—客户服务中心 (100)7.2售后服务内容 (102)7.3售后服务手段 (102)7.4售后服务流程 (103)7.5顾客档案管理—服务管理系统 (106)7.6服务响应时间 (107)............................................................................................................................ 8.1终端安全一体化.. (108)8.2病毒防御多维化 (108)8.3安全管控智能化 (108)8.4全面满足合规要求 (109)..................................................................................................................... 9.1完善的终端安全防御体系. (110)9.2强大的终端安全管理能力 (111)9.3良好的用户体验与易用性 (111)1.概述1.1安全趋势当前全球网络安全形势严峻,网络安全面临着各种新的挑战,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化。
360网神终端安全响应系统V7.0产品白皮书目录..........................................................................................................................................................................................................................................................................2.1产品概述 (2)2.2产品理念 (2)2.3产品组成与架构 (3)2.3.1终端Agent (4)2.3.2大数据分析平台(硬件) (4)2.3.3威胁情报 (4)2.3.4控制中心 (5).................................................................................................................................3.1终端大数据采集 (5)3.2主动式威胁检测 (6)3.3终端威胁追踪 (6)3.4威胁应急响应 (6)3.5安全状况全面评估 (6).................................................................................................................................4.1威胁情报驱动的积极防御能力 (7)4.2持续不间断的数据采集监测能力 (7)4.3大数据支撑的快速检索定位能力 (7)4.4自动化安全响应能力 (7)4.5一体化终端安全解决方案 (8)4.6多产品安全联动能力 (8).................................................................................................................................5.1提高威胁追踪能力,实现威胁可视化 (8)5.2强化威胁对抗能力,升维打击高级威胁 (8)5.3健全调查机制,提高应急响应效率 (8).................................................................................................................................6.1典型部署 (9)6.2部署清单 (10)1引言随着网络和信息技术的快速发展和普及应用,我国政府和企业的信息基础设施及各种新型业态蓬勃发展,与此同时安全防护系统也经历了一个从无到有、从弱到强的发展过程。
网络安全准入系统
网络安全准入系统的重要性
随着互联网的普及和快速发展,网络安全问题也日益突出。
网络安全准入系统作为一种保护网络安全的重要手段,开始在各个领域得到广泛应用。
它的主要作用是对网络用户进行身份认证,确保只有合法用户才能进入系统,为网络安全提供一定的保障。
首先,网络安全准入系统可以对用户进行身份验证。
只有经过身份验证的用户才能获得系统的访问权限。
这样可以防止非法用户进入系统,减少了系统被黑客攻击的风险。
同时,用户的身份验证还可以追踪用户的行为,一旦发现异常操作,可以及时采取相应的安全措施。
其次,网络安全准入系统还可以对用户的设备进行安全检测。
通过对用户设备的安全检测,可以确保用户设备没有被恶意软件感染,从而防止恶意软件对系统的攻击和侵害。
同时,网络安全准入系统还可以检测用户设备的安全设置是否完善,提醒用户及时更新操作系统和安全软件,加强设备的安全性。
此外,网络安全准入系统还可以对用户进行访问控制。
通过对用户的权限进行管理和控制,可以确保用户只能访问到自己有权限的数据和资源。
这样可以防止敏感数据被未授权的用户窃取或篡改,保护企业和个人的隐私信息安全。
总之,网络安全准入系统在网络安全保护中起到了重要的作用。
它通过对用户身份的验证、对设备的安全检测和对访问权限的控制,加强了对系统的保护,降低了系统被攻击的风险,保护了用户的隐私和数据安全。
鉴于网络安全的重要性,各个领域不应忽视网络安全准入系统的部署和使用,以确保网络安全的稳定与可靠性。
360网神网络安全准入系统NACV7.0解决方案协同联动,合规入网目录一.“网络堡垒”往往是从内部攻破 (1)二.我们面临的挑战 (2)三.天擎NAC解决方案 (3)3.1概述 (3)3.2方案组成 (4)四.解决方案应用 (6)4.1天擎协同,应用合规入网 (6)4.1.1方案应用 (6)4.1.2优势特点 (7)4.2基于W EB P ORTAL认证 (7)4.2.1方案应用 (8)4.2.2访客入网管理 (8)4.3基于网络接入层认证 (9)4.3.1802.1x认证 (9)4.3.2MAB Mac认证 (9)4.3.3优势特点 (10)4.4终端安检合规入网 (10)4.4.1强制检查流程 (11)4.4.2多种强制检查条件 (11)4.4.3“一站式”流程管理 (12)4.5其他应用特性 (13)4.5.1第三方认证源联动认证 (13)4.5.2安全管理与接入访问控制 (13)4.5.3认证绑定管理 (14)4.5.4动态在线连接及强制下线 (14)4.5.5用户管理 (15)4.5.6设备例外管理 (15)4.5.7强制隔离手段 (15)4.5.8主机快速认证 (15)4.5.9入网和安检日志报表 (16)五.优势特点 (17)5.1分布式部署,集中管理 (17)5.2协同联动,构建“篱笆墙” (18)5.3网络环境适应性强 (19)5.4软硬一体化设备 (19)5.5支持高可用和逃生方式 (20)5.6多种入网认证因子 (20)5.7入网检查、隔离、修复一站流程 (20)5.8细粒化的访问控制 (20)5.9统一授权管理 (21)六.产品核心价值 (21)七.方案部署 (22)7.1小规模集中式部署 (22)7.2大型网络分布式部署,统一管理 (23)7.3天擎多级架构下的部署 (25)八.高可用及逃生方案 (26)8.1HA双机热备 (26)8.2双机冗余逃生方式 (27)8.3双机HA+软B YPASS逃生方式 (28)一.“网络堡垒”往往是从内部攻破目前大多数企事业单位构建的还是开放式的网络,过去在Interner接入安全和服务器安全领域投入了大量的资金,虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备,但是网络安全事件依然层出不穷;虽然在终端上安装了杀毒软件,但病毒感染还是泛滥成灾;为什么?企业内部网络采用开放式的网络架构,这种开放网络给企业业务开展确实能够带来便捷,但也有严重的安全风险,随着IT技术的快速发展,各种网络应用的日益增多,病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源,使得企业网络的安全边界迅速缩小,开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全,因此需要构建新一代的内部终端准入安全防御体系。
权威调查数据表明“网络堡垒”往往是从内部攻破,开放式的网络使得企业内部任何一个人都能够通过便携设备随意接入企业核心业务网络,能够访问企业的各种网络资源,获取他们感兴趣的数据。
开放式的网络犹如企业没有门卫一样,任何人都可以随便进出,随意访问,不受到任何检查和限制。
可以想象这样的开放式网络为恶意访问提供了入侵的便利条件,采用非常简单的攻击技术便可造成巨大的破坏,从而不但给企业带来巨大的经济损失,更有可能对企业造成法律上的风险。
还有企业网络内部计算机如果安全状况没有一个标准的基准线,对不安全设备如果不能采取有效的隔离和修复措施,漏洞病毒的防护应对往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,数据安全无法保证,工作也无法正常进行,终端入网安全状况的不统一,也弄的维护人员筋疲力尽,工作效率得不到提高。
二.我们面临的挑战目前,企事业单位终端接入现存具体场景主要有以下几个特点,但不限于此: 网络出口处部署了大量的网络安全设备,如:防火墙、IPS、防病毒服务器等安全设备,出口严防,但内部终端接入还是开放、透明的网络,如何防止从内部的非法接入访问?当你在关注企业网络边界准入控制时,是否关注到了我们的核心业务的访问安全,你的核心数据、重要业务系统(如ERP、OA)访问等,访问身份和权限是否安全?访问的终端是否合规可信?如何保证数据泄密?安全防护的一切要素在于安全监管客户端的存在,如果没有安全客户端将变成裸奔状态,非可信状态,存在重大的安全隐患,等于脱离管理,如何快速、大面积部署安全防护点?确保安全客户端的安装率和去化率,保障时刻有效管理。
企业存在大量的终端分散在企业的各处通过边界信息口接入网络,但如何保证这些通过边界接入的终端是合法的呢?这些终端入网安全基线是否合规?企业有很多外包人员或访客,如何确保这些人的合法接入呢?资源的访问权限如何控制?智能手持设备、无线设备的接入,如何进行有效的接人管理?企业存在大量的哑终端设备,如:网络打印机、视频会议系统、IP网络电话等设备,如何保证接入是否合法?如何进行接入的有效控制?大量终端接入网络行为,如何定位追踪?如何进行有效的接入安全分析和审计?……三.天擎NAC解决方案3.1概述天擎.强制合规NAC主要为企事业单位解决入网安全合规性要求,核心业务的访问控制、用户和终端的实名制认证管理、终端边界接入的安全防护、终端入网的追溯分析等接入管理问题。
用于防止企业网络资源不受非法终端接入所引起的各种威胁,在有效管理用户和终端接入行为的同时,也保障了终端入网的安全可信,同时达到了规范化地管理计算机终端的目的,从而使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
NAC引擎设备基于天擎集中统一管理,可在天擎“一体化”平台对引擎设备进行策略下发、批量升级、统一监测、分权分域管理等集中管理操作,业务和数据联动共享,协同联动,这种灵活管理方式可满足大型网络架构下的、一体化、分布式部署,集中管理要求,解决了传统单机管理方式下各自独立管理,散兵模式的弊端;针对大型用户有多台甚至百台NAC设备时,这种方式给管理和部署提供了便利,也确保了策略的快速响应和集中监管,符合大型架构下统一管理、统一认证的管理要求。
产品具备从发现、访客申请、内部认证授权、合规性检查、访问控制、隔离修复、入网追溯等“一站式”的入网管理规范流程,并支持多种准入控制技术及认证方式,混合技术方式部署等,实现核心区域的访问控制,接入层边界的访问控制,终端层面的访问控制,满足不同网络场景下轻、中、高强度的准入控制需求,适应不同复杂网络环境下的接入控制管理和安全合规性要求;NAC设备支持HA方式部署,并支持多种逃生方式,保障业务的稳定运行;产品也具备和多种标准第三方源联动,支持AD、LDAP、Email、Http多种认证源联动认证,确保实名制统一认证管理。
3.2方案组成NAC引擎设备:NAC引擎是组成的核心,机架式软硬一体设备,系统采用Linux架构,硬件为全内置封闭结构,采用旁路部署,提供认证和策略执行服务、基于天擎控制中心集中式管理。
控制中心:控制中心采用B/S架构,NAC的控制中心基于天擎控制台同台管理,管理员可以随时随地的通过浏览器打开访问,对NAC引擎下发策略,配置操作和监测运维。
主要有认证配置管理、漫游配置管理、认证用户管理、认证源及安全配置、会话管理、入网安检策略、设备集中管理、日志报表等。
系统提供接入认证日志报表、安检日志报表、安全检查统计分析等多维度接入安全信息数据的查询审计,管理员可通过数据全方位的追溯和分析终端接入和安全状态,并通过报表分析,掌握入网和安全威胁状况。
认证客户端:客户端部署在需要入网认证或安全检查的终端上,可提供打点认证、802.1x认证拨号、入网强制合规检查、隔离修复、认证客户端交互配置等,并与服务器通信,接收控制中心管理所需入网策略配置和上报入网日志数据等信息。
如果是WEB Portal认证方式可无需安装客户端,可通过WEB方式进行核心保护区域的访问认证,也可采用天擎客户端联动方式的应用准入,哑终端可通过MAB MAC方式或IP方式加入白名单来控制接入管理。
第三方服务器:第三方联动认证服务器,如:AD/LDAP或被隔离时的修复服务器,如:FTP服务器、病毒服务器等,当用户安全检查失败时,将被隔离到隔离区,此时用户只能访问隔离区中的修复服务器,通过修复服务器进行必要的自身修复,直到满足安全策略要求。
联动设备:联动设备是指网络中的接入或核心交换机设备,需联动NAC设备实现网络准入控制,可根据不同的应用场景,可分别实现不同控制方式,如:802.1x、应用准入和Portal 等终端准入控制,也可以根据联动不同区域设备实现灵活混合部署模式。
四.解决方案应用4.1天擎协同,应用合规入网★协同联动,合规入网,防止非法终端访问核心业务资源,保障入网访问终端的安全可信,满足入网合规性要求。
4.1.1方案应用应用准入是一种网关准入防护技术,目的是防止非法终端访问企业核心区域资源,规范终端入网流程,保障入网终端的安全可信,结合终端的合规检查,可满足企业入网的合规性管理要求。
终端的安全防护的一切要素在于安全监测客户端的存在,如果没有安全客户端等于脱离管理,存在重大的安全隐患,终端变成裸奔状态,非可信状态。
NAC和天擎终端协同联动,检测入网访问的终端是否安装终端防护点,以达到入网遵从条件。
并可快速、高效、批量部署客户端,提高部署效率,实时监测天擎的卸载和去化率过高,保障入网终端是在安全可控范围内,防止无保护,存在安全隐患的终端访问企业的内部资源,配合入网安全检查策略也可实现更加细粒度的安全入网合规要求。
强制合规(NAC)设备引擎采用旁路部署,通过流监听来发现和评估哪些终端是非法终端,判断哪些终端是否允许安全访问企业核心资源,不符合会被自动拦截要求认证或安装客户端才能进行访问,并可配置入网安全检查策略,不符合进行自动隔离和修复,修复成功后才能进入工作区,这种方式的优点在于无需和接入层交换机进行联动,避免交换机管理和配置的复杂性,终端私拉乱接带来的绕过可能性。
此种准入控制方案,部署简单,上线快,对环境依赖较小,风险和故障点相对也较小。
4.1.2优势特点客户端批量部署方便简单,提供自动式客户端引导部署流程,使大面积部署天擎变的高效和快速保证天擎的安装覆盖率和去化率,保障入网终端是在安全可控范围内,规范终端安全保护核心服务器的访问安全,需认证和安检才能访问规范终端入网流程,入网安全可信,满足企业入网的合规性管理要求旁路部署简单,轻量级的准入方案,部署简单,上线快,对环境依赖较小,风险和故障点相对较小。
4.2基于Web Portal认证Web Portal认证方案是保护网络核心区域不受外部非法访问的认证技术方案,采用旁路部署,通过监听保护区域的网络数据流,并做连接会话跟踪,对企业内网数据流进行合法性检测并对非法连接进行阻断和控制,保护核心区域访问的安全。
