ClearPass技术交流.ppt

CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass技术交流技术交流People move.Networks must follow.CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved网络接入需求在企业环境的发展趋势网络接入需求在企业环境的发展趋势CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedThe iPad 地震地震80 million iPad users worldwideSource:iPad for Business Survey 2012;IDC CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved 终端结构的裂变终端结构的裂变30年来第一次年来第一次少于少于50%的终端的终端是基于是基于Windows/Intel100%财富财富500强已经认可强已经认可iOSiPad 销售销售:年增长年增长111%(2012 年第一季度已销售伍百四万年第一季度已销售伍百四万个个IPAD)*Apple Q1 ResultsCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedIT的大众消费化的大众消费化By:Dimensional Research 2011CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved中国客户调研中国客户调研78.9%允许员工自带设备允许员工自带设备 57.8%允许外来访客入网允许外来访客入网58.2%认为安全是最大的挑战认为安全是最大的挑战43.4%希望网络便于维护管理希望网络便于维护管理CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved企业网络接入需求的变化趋势企业网络接入需求的变化趋势终端类型接入方式用户身份BYOD 2011ANY DEVICEANY NETWORKBYOD 2012+EmployeeiOSEVERYONEVPNVPNCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedBYOD带来的企业接入新挑战带来的企业接入新挑战ANY NETWORKBYOD 2012+VPNVPNiOS Android UltrabooksANY USER如何才能持续保护如何才能持续保护企业网络和用户终企业网络和用户终端安全？端安全？如何才能使员工和如何才能使员工和访客接入拥有更加访客接入拥有更加可靠和直观的体验可靠和直观的体验？如何才能减少如何才能减少IT和和帮助台人员的工作帮助台人员的工作负担？负担？CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedARUBA帮助您开启帮助您开启BYOD网络服务网络服务ClearPass提供用户帐号的管理、以及基于用户身份、终端类型和接入位置的识别和策略分发Mobility Controller配合各种类型的“瘦”接入点对用户流量进行策略控制AirWave实现网络和用户历史信息的统计和追踪新型移动企业架构新型移动企业架构AirWave NetworkManagement数据中心数据中心Mobility Controller+各种类型的“瘦”接入点WIRELESSWIREDVPNREMOTEOFFICEOUTDOOR各种终端设备ClearPass Access Management+CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedARUBA ClearPass方案介绍方案介绍CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass Policy Manager:中心化的身份认证和策略决策另外提供以下功能组件：vClearPass Onboard:访客和员工移动终端的自助配置和部署vClearPass Profile:多因素终端识别，提供策略决策的依据vClearPass OnGuard:终端设备的健康性检查和自动修复vClearPass Guest:访客接入的帐号自助注册和集中管理ClearPass QuickConnect:基于云端的802.1X快速部署服务Aruba ClearPass 产品简介产品简介实现企业实现企业实现企业实现企业BYODBYOD的开放式架构的开放式架构的开放式架构的开放式架构CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass实现移动终端的安全接入实现移动终端的安全接入终端部署策略决策策略实施CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved自动化的员工终端部署（自动化的员工终端部署（Onboarding）1.访问终端部署页面访问终端部署页面接入网络接入网络2.VPNVPNClearPass 策略服务器策略服务器配置终端的配置终端的802.1X、VPN和和e-mail参数，并部署终参数，并部署终端证书或密钥端证书或密钥CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass QuickConnect简化简化802.1X部署部署CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass QuickConnect简化简化802.1X部署部署CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved自动化的访客终端部署（自动化的访客终端部署（Onboarding）1.3.接入网络接入网络2.联系人对访客帐号进联系人对访客帐号进行确认行确认ClearPass 策略服务器策略服务器访客帐号通过访客帐号通过web、email或短信进行分发或短信进行分发填写访客信息填写访客信息新来访客新来访客联系人联系人CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass访客管理（访客管理（Guest）Centos 5.5 Linux OS2.6.18 kernelFreeRadiusFast,feature rich and scalablePostgreSQL DatabaseANSI-SQL:2008Apache Web serverRuns over 100 million websites54%of internet websites(Feb 2010)CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass Guest部署架构部署架构ClearPassGuestCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved基于基于Role的访客管理员权限的访客管理员权限基于基于Role的访客管理员权限的访客管理员权限每个访客管理员具有各自的管理界面每个访客管理员具有各自的管理界面每个访客管理员只能访问各自的页面和表单每个访客管理员只能访问各自的页面和表单每个访客管理员只能创建和查看各自指定的访客帐号每个访客管理员只能创建和查看各自指定的访客帐号ClearPassGuestCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved访客帐号管理访客帐号管理集中管理模式集中管理模式CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved访客帐号管理访客帐号管理自助注册模式自助注册模式访客帐号创建访客帐号创建可以与访客手机帐号绑定可以与访客手机帐号绑定支持联系人支持联系人email确认机制确认机制支持支持LDAP预认证机制预认证机制访客帐号的分发访客帐号的分发Web页面页面Email发送发送打印访客凭条打印访客凭条手机短信发送手机短信发送CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved定制个性化企业风格页面定制个性化企业风格页面 CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved基于访客信息的智能广告服务基于访客信息的智能广告服务 广告媒体格式：广告媒体格式：-文字-图片(jpg,png,gif)-Flash文件(swf)-在线视频-SMS/MMS广告投放算法：广告投放算法：-固定投放-轮流投放-加权投放-智能分析CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved多厂商无线网络设备整合多厂商无线网络设备整合CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved终端接入的策略决策终端接入的策略决策EmployeesContractorsGuestsStudentsFacultyHQBranchHomeRemoteTimeof dayDataVideoVoiceHealthDevice TypePersonalCorporatePolicyVPNVPNMediaVirtualDesktopCloud允许员工个人终端访问受限的网络资源BYOD Policy为企业高级经理人员提供更高的优先级Executive Class Policy实现协同办公系统（Lync）的服务质量优化Multimedia Policy阻止非授权的用户接入Unauthorized Use Policy撤销丢失终端的接入授权Device Revocation Policy隔离并修复不符合企业安全准则的终端设备Device Quarantine PolicyCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedClearPass终端识别（终端识别（Profiling）ClearPass Policy Manager 5.1自动识别所有终端设备自动识别所有终端设备智能手机智能手机,平板电脑平板电脑,打印机打印机,笔记本电脑笔记本电脑实施基于终端类别的精细策略实施基于终端类别的精细策略仪表盘实时显示终端分类统计仪表盘实时显示终端分类统计CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved终端设备的精确分类终端设备的精确分类5级终端分类级终端分类数据采集器数据采集器MACDHCPHTTP企业基础设施企业基础设施ActiveSyncIF-MAPADClearPass策略服务器移动控制器移动控制器OnGuardCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved网络安全准入控制（网络安全准入控制（OnGuard）收集终端设备信息收集终端设备信息检测终端是否健康检测终端是否健康阻止不安全终端对企业网络资源的访问阻止不安全终端对企业网络资源的访问修复不安全终端修复不安全终端将网络安全隐患限制到最低程度将网络安全隐患限制到最低程度接入网络接入网络ClearPass 策略服务器策略服务器CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved在网络中实施差异化策略在网络中实施差异化策略ClearPass策略服务器策略服务器负责终端策略决策负责终端策略决策终端策略实施终端策略实施PermitDenyWhitelistBlacklistRedirectNATBandwidth MgmtOptimize MultimediaCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved无线用户的关联历史审计无线用户的关联历史审计用户时间IP地址位置Bingo!导出关联记录导出关联记录CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved简化移动终端设备的部署的连接简化移动终端设备的部署的连接ARUBA ClearPass的价值的价值重新获得对网络安全的控制能力重新获得对网络安全的控制能力在多样化的企业网络中启用在多样化的企业网络中启用BYODCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved案例介绍案例介绍沙特石油公司沙特石油公司解决方案解决方案作为Radius服务器提供802.1X认证服务未授权用户和非健康终端控制器BYOD终端自助注册和部署服务ClearPass Policy Manager,OnGuard 和QuickConnect选择选择ARUBA的原因的原因支持多厂商网络设备和多终端终端操作系统支持服务器N+1 集群和扩展完整的AAA,NAC 和 策略管理功能快速的802.1X终端自助部署能力项目背景项目背景在3年内增长到18,5000个终端设备网络设备:Aruba,HP,Juniper,HP,Alcatel-Lucent,Cisco,ADCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved案例介绍案例介绍国内某证券公司国内某证券公司用户需求用户需求l将用户区分为临时访客、长期访客和内部员工l认证和接入控制机制：-临时访客：Web Portal认证-长期访客：802.1X认证+网络安全准入-内部员工：802.1X认证+结合企业ADl要求采用自助注册和部署机制l统一Portal引导页面系统部署ARUBA无线控制器+802.11n无线接入点ARUBA ClearPass Policy Manager+Guest+OnGuard+QuickConnect CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved案例介绍案例介绍国内某证券公司（国内某证券公司（ARUBA实现方式）实现方式）Guest临时访客临时访客联系人联系人注册审核注册审核长期访客长期访客内部员工内部员工Dot1XClearPass GuestClearPass 策略服务器策略服务器Active Directory企业网互联网unhealthyhealthyCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved连云港用户测试案例介绍连云港用户测试案例介绍CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved用户需求用户需求1.在客户侧实现外网（chinanet）和内网无线覆盖；2.在客户的无线覆盖区域，只允许特定客户可以使用无线网络；3.客户在登录外网或内网是均采用“一次一密”；4.由于某公司主要用电信的天翼手机，密码的获取方式采用手机获取；5.在客户侧接入的客户分为三类：一、只能上外网，二、只能上内网，三、既能上内网，又能上外网。CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved网络拓扑结构网络拓扑结构CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved客户自助注册的实现方式客户自助注册的实现方式手机号码查询ARUBA控制器ClearPassGuestActiveDirectoryCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved基于内容的策略控制基于内容的策略控制EmployeesContractorsGuestsStudentsFacultyHQBranchHomeRemoteTimeof dayDataVideoVoiceHealthDevice TypePersonalCorporatePolicyVPNVPNMediaVirtualDesktopCloudCONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reservedARUBA实现方案的特点实现方案的特点1.基于手机号码预检测的一次一密2.实现帐号与SSID和位置的绑定3.支持web、手机短信等多种帐号分发机制1.支持用户认证页面、自助注册页面的客户化2.提供基于用户身份、终端类型和接入位置的访问权限控制1.采用手机号码作为用户名，便于日后的网络安全审计2.AirWave支持最长550天的无线用户关联记录，包括用户名（手机号）、MAC、IP等1.支持智能广告投放业务，能够在认证页面、自助注册页面、欢迎页面等位置智能投放包括文字、图片、Flash、视频等在内的多媒体广告CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved谢谢谢谢