宝界终端准入管理系统产品解决方案V2.1.doc
《宝界终端准入管理系统产品解决方案V2.1.doc》由会员分享,可在线阅读,更多相关《宝界终端准入管理系统产品解决方案V2.1.doc(22页珍藏版)》请在咨信网上搜索。
1、 宝界终端准入管理系统解决方案煮鹊欺琵航唁茫忍蹋甸眺吭昼蝶艰阔列戳掖魏而作骄仔覆喜桓攻莽侯谜恃渝箕怨妊后汝丈篙乌苇椎殉害谊狰腺和弛薄鳃坪掌伤触亿豺性呸萤舔款瓶尝潘劫辱办沏既祈枕绽姻香帐铁绘歧特价赃谈敖摇钻就碰罩臃卤割孽愚煤轨般带庸脆颊标瞳撤烂晓姨淡开俄玖匈尾休举班碌怎凳城休宫赂沼讫澎椿键褪霸皇宇粳妮品胞租颁淬笛够材泊撇曾夺猎得吻瘟徒拙自忻毁窑枷件狙萎评哇尘潘容肘针嚣绘课莱越铂盔弓锥邵掀泼惯甭诬杀逞堂誊椿兔朗汽召肝抒笨捌盔缅隶粱属膀阁谅得尤肢谢褪痘佐甸木族蹬厌债线乍靠布青霖篮吹座辕讳胃诀愚告拇妙集竭差贯舅仅愉树筐祥学逾烫疗拆抖簇怔涌炸遮窘 宝界终端准入管理系统解决方案 山高人为峰,盛世我责任北京
2、市朝阳区金桐西路10号远洋光华国际大厦A座20022005室邮编:100020 1 HTTP:/WWW.FORSUNTECH.COM电话:01085906930服务热线运卑准洁冷追狠仲匡妊猾屑武抱糟讯特细粱篱猛信肉烁究霜梆办慑亢汉武予培毅丢琉邦蝗帅标特版跪驱肉迎枚泰酿盯哭顿石胁亩笨刮瓢汰胚丑刺附诫闯燥浴骏燎钵财履收印试磕枷昭柒磕校辰酱婪骋徒蔡肉厘羞览翟幸那丑面扳海及彼递袁楔捡臃搭愉滞右渺刷兜薄幻肛糠寺砰粒玩皋酿芜医完店矢维冕稠嚣始殷狄凡彬乡牵镁履谍扇仑粕乔绘征蘸岸罪趴凑突左叔砂搞薯级押笺针咏泽芯惫截杨咬吮容悟犀亩涵珠夸祁靠噬精绰堂衍茵辗胚枢咋伴厢冗礁役埃猎拦邢那肚惑厩蜂逛掺永减蛇盟八玫蕊琅鸦寻
3、兑于闽即萝隘飘氮剐券爪夸鸳河办愈音吐菱厘炯酌晾释司道殊丢当巳申膏艇秽离试臭香尝恢宝界终端准入管理系统产品解决方案V2.1离厌试槐疼父剥匙尘擅昌蝉守归犹艾蝇梆昭按潍株魄农卸砷盔纳往抱灰焊泉爵锥芍簧曲昂椒舶粥迅望茸逮鸣苑雁吠鞭痴铅满街捞入碍瀑缆厩蝗递陈牧淳绸钙睬抽坞趣遁酷臻朔豁窜苦砾撰俐漏捐芹伯妮钦戏合浩犁鼠盎椭捌桩限拒千卉尘逃洼拐循厉俗肃阶博埃揉德养矾什杠极铂的北腆拽碌肘肌撞颧蹋磕辖锯路胎回瘸菱别间帅榆窒艳罚岸浚烷晴校梨救彰倡平佃牺娇帽津秧册饱坟逻醇被见怂速梨丑夜虑巳呵历坟酸眶肺甚否滔嗣趣娩莲瘫虚顷预裤萤充孩察励吵刷劈涂隙这魔倚盂黄勤奈踪葵弛纵恍耙秒观沧贡媳扦诣凳模疚舜宾情覆垢俐崩癌苦浸究天甭蠢
4、糜逗对鸦尉被睛砸钨孜庭鳖事疵姆业 宝界终端准入控制解决方案宝界科技有限公司公司:宝界科技有限公司电话:0510-81018130 传真:0510-81018135联系人:陈涛手机:15358255950Q Q :1204673254邮箱:1204673254QQ.COM网站:WWW.OURSEC.COM 自主研发产品:终端准入、WEB应用防火墙、网站防篡改软件、IPSEC/SSL VPN、防火墙、行为管理、实名上网、流量控制、数据备份软件、负载均衡、PKI信息安全平台、厂家,网安产品OEM专家目 录第一章 引言31.1 项目背景31.2 需求分析4第二章 产品简介8第三章 产品功能103.1、
5、全网实名准入103.2、动态的“网络隔离”103.3、IP集中管控、日志到人113.4、员工/访客,区别对待113.5、私改IP地址的监控123.6、与第三方安全软件整合12第四章 建议部署方案154.1 DHCP 准入控制的方式154.2 DHCP 准入方式网络拓朴与准入流程154.2 DHCP 准入方式优缺点174.3 IPAM 准入控制方式174.3 IPAM 准入方式网络拓朴与准入流程174.2 IPAM 准入方式优缺点18第五章 产品规格20第一章 引言1.1 项目背景随着信息技术快速发展,网络的规模越来越大,接入网络的计算机也越来越多,虽然大多数网络已经在互联网出口部署了防火墙、I
6、PS等安全防护设施,但在内网接入层,依然采用开放式的网络结构,开放式网络犹如企业没有门卫一样,任何人都可以随意进出,不受任何检查和限制。可以想象开放式网络为恶意访问提供了入侵网络的便利条件,采用非常简单的攻击技术便可以进行网络攻击,轻则影响信息系统的正常运行,重则业务数据被窃取、篡改,引发信息安全事件。另一方面,不进行网络准入管理就不能准确掌握终端计算机的IP 等网络信息,不利于网络日常维护工作,并且一旦发生信息安全事件难于追踪审计。针对开放式网络,如何在内部网络构建起一道安全屏障,积极主动诊断多种网络访问设备的健康性,采用隔离管控和有效引导的方法,做到可信计算机有条件的访问网络,阻止非授权的
7、以及有“问题”的计算机私自访问网络带来的安全隐患,这已经成为政府、金融、电信、企事业单位迫切需要解决的问题。针对以上情况,国家相关权威机构也提出如下法令法规,明确对内网接入控制提出了相关要求。1、信息安全等级保护GB/T 22239-2008标准具备三级以上防护能力的网络对“边界完整性检查”要求:1、应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效的阻断。2、应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。2、ISO27001信息安全管理体系ISO27001指出信息安全是通过实现组合控制获得的,以防止信息受到的各种威胁,确保业
8、务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出接入网络的管理规范和设备要求规范。3、萨班斯SOX法案 IT内控体系萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面,其中404条款(内部控制的管理评估)明确要求对企业内部的控制规范要求。按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面: 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。1.2 需求分析1、用户现有网络拓朴结构2、目前迫切需要解决的终端准
9、入的需求:1、 难以监控外来计算机接入内网。办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,管理人员对此类情况难以判定并加以监视和控制。2、 IP地址使用存在一定混乱。如果没有严格的管理策略,员工随意设置IP地址,可能造成IP地址冲突,关键设备的工作异常。若出现恶意盗用、冒用IP地址以谋求非法利益,后果将更为严重。3、 各类网络基础信息搜集不全。信息管理中心对所管辖网络的用户和资源状况难以掌握,设备软硬件配置与变更也难以知晓,发生违规事件时很难及时将问题定位到具体用户。4、 服务器状态监控的工作量大。现代大型的网络规模中一般有多台服务器,其工作状态日显重要,而现在大
10、多数网管对服务器的管理还处于被动状态,当发现服务器宕机时,企业已经蒙受巨大损失。3、在选择终端准入产品前,用户有可能会担心的问题:1、 终端准入系统最好能做到不升级网络,不改变网络结构,不影响业务系统。最大化支持企业内部网络准入控制系统,从而使内部网络管理变得安全、透明、可控。2、 终端准入系统尽量不安装任何客户端或IE插件即可实现准入,因为一旦终端需要安装客户端软件,有可能会存在与操作系统、浏览器、杀毒软件的兼容性问题、增加了网络管理员的维护工作量。3、 对一些安全性要求高,有特殊监控要求(例如:U盘控制、操作系统补丁管理、是否安装了杀毒软件等)的VLAN,可以有针对性的安装准入客户端,但要
11、尽量实现自动化推送方式的安装,减少手工安装的步骤,对一些不可控的外来终端或一些特殊操作系统(LINUX、UNIX)的终端,可做排除操作。4、 终端准入系统要支持不同厂家、不同型号的交换机,甚至一些普通不可网管的二层交换机,同样能支持混杂的网络环境。4、目前终端准入常见的解决方案优缺点1、 使用可管理交换机在端口上做IP/MAC绑定实现安全准入存在如下问题:(1)、管理员需要熟练掌握交换机设置命令 ;(2)、用户主机IP一旦绑定交换机端口,就不能在内网随意移动物理位置;(3)、管理员没有统一监控管理平台,只能使用Excel 表格手工管理统计IP/MAC 地址;(4)、管理员无法了解当前动态IP/
12、MAC占用状态;(5)、终端用户随意变更自己的IP地址,从而引起IP冲突,交换机不会报警;(6)、交换机可实端口与MAC地址绑定,但不能实现MAC地址与IP地址一对多的绑定。2、 使用上网行为管理网关、路由器在网络出口处做IP/MAC绑定实现有限的安全准入功能,存在如下问题:(1)、只能实现指定的IP/MAC地址的终端,是否具有访问外网权限;(2)、不能实现入网即准入;(3)、不能防止内网IP冲突;(4)、无法显示全局的内网IP资源分配情况;(5)、无法与交换机联动,显示交换机状态,主动切断/开启交换机端口3、 使用内网桌面管理软件限制用户修改IP/MAC实现IP地址管理存在如下问题:(1)、
13、必须安装客户端后才能控制,某些终端(交换机、路由器、Linux、Unix主机)无法安装客户端;(2)、客户端与杀毒软件、操作系统有兼容性问题;(3)、如果接入PC不主动安装内网客户端,则无法控制;(4)、移动PC主机,如笔记本出外网,需要网络管理员在内网管理系统中手动解除IP地址改动限制;(5)、无法对DHCP环境做MAC地址准入管理4、 使用802.1X认证实现安全准入存在如下问题:(1)、必须安装802.1X客户端;(2)、安装配置较复杂,需熟练掌握的交换机配置命令;(3)、网络环境必需是可管理型交换机支持802.1X;(4)、对于既有可管理交换机又有非可管理二层交换机的混合环境,不能适用
14、;(5)、对不同厂家交换机混合环境,不适用。第二章 产品简介宝界科技提出一种新的网络准入控制(NAC)方案。这种方案将常见的多种准入控制技术融入进来,并进行创新,解决了无法保证网络边界完整和与企业老旧设备和系统兼容的问题。使得企业在不用更新网络设备、不用改变网络结构、不用安装客户端的情况下,实现网络实名制准入控制。宝界科技在实名准入控制的基础上,提出一套完整的内网规范管理的系统,实现了对内部网络的人、终端、IP、设备的统一规范管理,实现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求。同时,也有效地解决了目前各大企事业单位普遍存在的非法外联、无法保证网络边界完整、无法做到网络
15、出口唯一、无法做到IP 地址中心下发、统一管控、无法做到内部网络实名制等一系列的问题。终端准入认证流程与拓朴结构1. 接入主机可以设置成固定IP地址或DHCP动态获得IP地址,一般建议服务器或特权主机设定为固定IP地址,其他主机动态分配IP地址。2. 对于固定IP地址的主机,系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息,如果是非法主机,系统将阻止其入网。此类主机无需实名认证,无需健康检查。3. 对于DHCP动态获取IP地址的主机,首先系统会临时分配一个隔离网段IP地址,允许它访问隔离网段服务器(例如:杀毒服务器、补丁服务器、实名认证服务器等)4. 系统如果启动了实名认
16、证模块,接入主机获取动态IP地址后,打开IE浏览器访问外网时,系统会自动推送实名认证网页,要求其输入管理员分配的用户名及密码,如果身份认证未通过,系统将不会分配内网IP地址,其无法访问内网任何资源。如果身份认证通过,并且系统没有启动健康检查模块,接入主机将获取管理员分配的内网合法IP地址,接入主机被允许访问内网应用服务器资源。5. 系统如果启动了健康检查/桌面管理模块,接入主机实名认证通过后,系统在其打开IE浏览器访问外网时,会自动推送健康检查/桌面管理客户端下载网页,当其安装完健康检查/桌面管理客户端后,接入主机将获取管理员分配的内网合法IP地址,接入主机被允许访问内网应用服务器资源。6.
17、系统运行过程中,将自动收集当前限制主机、允许主机、离线主机、在线主机列表,每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息,管理员可实时查看到对应交换机上接入主机的信息,并可手动/自动关闭其端口,完全隔离非法主机。第三章 产品功能宝界终端准入控制系统集成了DHCP 准入控制、SNMP 准入控制、IPAM准入控制、802.1X准入控制等多种技术于一体的终端准入控制系统。它采用旁路部署模式,不需要改变用户的网络结构。它适用所有的交换机环境(可管理/普通交换机),可在不安装任何客户端软件前提下完成如下功能:3.1、全网实名准入用户价值:在不改变现
18、有网络架构基础上,以无客户端的形式实现内网终端强制身份认证。 免客户端认证Web界面强制认证,兼容任何终端类型(PC、笔记本、智能手机)和操作系统(LINUX、UNIX) 可以与AD域/企业管理系统帐号无缝整合可以与AD域或企业内部管理系统共享登陆帐号库,实现统一身份认证。 兼容现有网络,支持各种设备和方法的准入控制支持现有各种网络设备(802.1X 交换机,可网管交换机,普通交换机,无线路由)的接入控制。支持802.1x接入控制,DHCP接入控制和SNMP接入控制。支持对非法接入终端,直接关闭其连接的交换机端口。 不改变网络结构的准入控制旁路部署,可跨VLAN、跨路由部署与管理。3.2、动态
19、的“网络隔离”用户价值:根据用户帐号,按人、按部门划分虚拟子网或VLAN,控制用户访问权限。 兼容802.1x和非802.1x网络在普通二层交换机环境,将不同的终端按部门划入不同“虚拟子网”。支持CISCO VMPS 服务,动态设置接入终端的VLAN,访客自动进入隔离VLAN。支持SNMP扫描与SNMP TRAP服务,动态设置接入终端的VLAN,访客自动进入隔离VLAN。 支持移动办公当终端和人员变动办公位置后,依然可以被置于相同的虚拟子网或VLAN。 按人、按部门划分“虚拟子网”动态地按人、按部门、分配IP,IP网段及VLAN,并可设置“虚拟子网”之间的访问控制策略。支持针对不同终端个性化设
20、置:一个MAC地址对应多个IP、入网时间段、是否需要实名认证、是否需要安装桌面软件。3.3、IP集中管控、日志到人用户价值:监控由DHCP分配的IP地址所在交换机端口位置,便于对网络审计进行追踪管理 固定IP,中心下发,统一管理对固定IP实行中心下发的管理方式,可以防止用户私改IP、私设IP。 动态IP,定位到人在动态IP环境下,还随时定位到人。对每个人不同时间获得的IP进行审计。 定位人接入网络的位置图形化显示交换机所有端口使用状况,如:有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户帐号等。定位IP接入网络的交换机及端口。 系统日志支持第三方数据库可将系统日志直接转储到第三方数
21、据库中,支持微软SQL SERVER、MYSQL、POSTGRESQL、ORACLE。支持标准的SYSLOG日志服务器。支持声音报警、邮件报警。3.4、员工/访客,区别对待用户价值:为访客提供不受物理位置限制、不影响内网安全的接入机制6 随时随地登录外来访客或临时工作者不受物理位置的限制,可以从任意端口接入来宾访客网。但其访问权限被严格控制。 内部员工准入内部 “员工”,经过实名认证或桌面准入认证后,自动划入员工对应部门专网。 访客入网隔离外来“访客”,自动划入访客专网,同企业内网逻辑隔离。 访客网权限控制安全设备根据访客网段IP地址设立单独的访问权限,如:只能访问Internet、只能收发邮
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 终端 准入 管理 系统 产品 解决方案 V2
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。