准入控制ASM盈高入网规范管理系统课件.pptx

《准入控制ASM盈高入网规范管理系统课件.pptx》由会员分享，可在线阅读，更多相关《准入控制ASM盈高入网规范管理系统课件.pptx（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 理解准入控制理解准入控制-NAC关于盈高关于盈高 盈高科技（INFOGO TECHNOLOGY CO.,LTD）成立于2006年，是国内网络安全准入控制与终端安全管理领域的专业厂商。公司总部设在杭州，在北京、湖南、广东、江西、江苏、湖北、上海设有分支机构；国内领先的网络准入控制系统解决方案提供商和产品供应商；国内最早成立安全准入控制试验室的厂商之一；凝聚了一批具备CISP/CISSP等多项安全技术资质 的安全研发团队；与国际知名厂商微软、CISCO、趋势、Symantec等建立长期的战略合作关系；浙江省网络与信息安全信息通报中心技术支持合作单位；产品自主研发，获得国家创新型项目基金；杭州市科

2、技创新基金；内网变成了威胁和攻击的温床 终端整体安全直接关系到 整个网络$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000病毒病毒内部人员网络的滥用内部人员网络的滥用内部网络的破坏内部网络的破坏网络内部的攻击和泄密网络内部的攻击和泄密维护设备的损失维护设备的损失计算机通信内容被截取计算机通信内容被截取黑客攻击黑客攻击2009年调查源自计算机犯罪与安全调查报告来自网络内部的破坏攻来自网络内部的破坏攻 击是信息安全最大威胁击是信息安全最大威胁!l内部缺乏访问控制，高达13l登录密码太简单等安全配置不符要求，造成损失达

3、到19l因为软件漏洞，病毒蔓延造成的损失高达66终端软件漏洞终端安全配置终端准入控制2009年网络安全调查非法设备连入内网非法设备连入内网u 外来人员终端(来宾,上级检查,第三方维护人员)u 内部员工私人电脑或内外网终端混用u 非法设备联入内网的黑客行为等.内部合法电脑存在风险和漏洞内部合法电脑存在风险和漏洞,安全性偏低安全性偏低,感染率高感染率高 u 未安装杀毒软件或病毒库未更新u 重要性的补丁未打u 终 端 其 他 安 全 设 置 问 题(g u e s t用户,密 码 等)u 无 法 提 供 很 好 的 全 网 终 端 修 复 手 段没有一套将上述要求真正落实到没有一套将上述要求真正落实

4、到 每台终端的体系每台终端的体系建立终端入网统一的安全体系每个入终端都获得安全规范的管理每台终端安全加固=获得健康安全的内网对内网实施安全准入NAC终端身份识别(不同身份、不同访问权限)NAC（Network Admission Control）网络准入控制网络准入控制的功能在于验证内网设备的身份身份和安全性安全性。纯软件方式的准入与网络设备联动的准入Software-based NAC单台设备实现的准入Infrastructure-based NACAppliance-based NACARP欺骗、微软NAP802.1x、EOU、portal串联方式、旁路方式接入用户及设备的实名制问题？安全

5、管理规范如何落实的问题？如何快速发现隐患设备并且如何智能修复？需要的是一套符合自身行业特色的安全规范内网分角色分区域访问控制的问题？实名日志审计问题及级联部署、集中管理平台的问题大量客户端需要安装终端用户对客户端的反感维护不易用户端资源占用高购买更多的网络设备网络拓扑的大量改造影响网络正常性能无法充分利用现有网络资源要求：对现有网络改造越少越好现状：用户网络越来越复杂，多种接入方式并存目前国外比较新兴的是采用Appliance-based的架构，特点是采用无客户端Agentless做为解决方案的关键第二代Infrastructure-based准入是市场上的主流技术，方案多，架构大多比较成熟，

6、稳定性及性能有保证第一代软件准入中的ARP方式属于廉价解决方案，不适合成熟用户使用；微软NAP则对操作系统要求较高，并且需要AD域802.1X就能解决？EOU?PORTAL?。没有统一标准，多种解决方案并存！所有人的电脑接入都掌握在我这里，稳定性不好，这个责任我承担不起每天刚上班这段时间最烦了，电脑老是接不上网网络中心主任终端用户稳定性如何保证？并发连接能力如何保证？身份认证身份认证身份认证身份认证一个强大的准入控制系统必须拥有上述一个强大的准入控制系统必须拥有上述所有功能所有功能。它的意义它的意义如果没有如果没有它它.独特地识别用户和独特地识别用户和设备，并在这两者设备，并在这两者间建立关联

7、间建立关联难以将用户与设备难以将用户与设备关联起来，执行何关联起来，执行何种策略，防止设备种策略，防止设备欺骗。欺骗。访问控制访问控制访问控制访问控制与策略管理与策略管理与策略管理与策略管理创建和使用过于复创建和使用过于复杂或过难的策略将杂或过难的策略将导致整个项目的废导致整个项目的废止。止。轻松创建能快速应轻松创建能快速应用于用户组和角色用于用户组和角色的全面、精确的策的全面、精确的策略略隔离和修复隔离和修复隔离和修复隔离和修复仅知道某一设备不仅知道某一设备不符合安全策略是不符合安全策略是不够的够的必须有人修必须有人修复它。复它。根据状态评估结果根据状态评估结果采取措施，隔离设采取措施，隔离

8、设备，并使其符合策备，并使其符合策略略URL-REDIRECTURL-REDIRECTURL-REDIRECTURL-REDIRECT，人性化人性化人性化人性化友好安检友好安检友好安检友好安检从无限使用网络到从无限使用网络到受限使用，必然会受限使用，必然会带来抵触情绪。带来抵触情绪。加快用户了解和适加快用户了解和适应的过程应的过程ASM最重要的功能在于把网络中已有的安全系统（杀毒软件、补丁系统、桌面管理）有机地联系为一个整体，从而实现一体化的管理。概况地说，ASM是一个安全架构，具体的内容和血肉依赖于各种安全产品。回回 顾顾 与与 讨讨 论论盈高盈高ASM入网规范管理系统介绍入网规范管理系统介

9、绍什么是ASMASM的体系架构ASM的主要功能ASM的技术特色p ASM是盈高精心打造的一款专业的网络安全准入控制产品p ASM是Access Standard Management的缩写p 重点突出“违规不入网、入网必合规”p 经过优化的安全操作系统平台，电信级硬件产品p 是经过国内领先的大规模无客户端模式 部署案例实践的系统 p 支持各种网络环境下的准入强制技术，充分适应各种复杂网络p 提供多样化身份认证方式，与第三方身份认证系统联动p 双实名认证+一键式智能修复，大大减轻管理工作量p 基于角色的动态授权访问控制，可以很方便做到内网的访问布控p 不断升级的安全检查引擎及规则库p 详实的实名

10、制日志审计p 级联部署，集中管理，形成统一管理报警平台 严重违规设备立即隔离严重违规设备立即隔离 多种修复手段支持多种修复手段支持 安全域划分安全域划分 角色绑定安全域角色绑定安全域入网时间控制入网时间控制基于规则匹配模式的的安全检查引擎，支持安全规则的不断更新，确保安全检查的健壮性拥有丰富的系统缺省检查规则库，并支持自定义和系统规则库的升级，便于应对层出不穷的安全隐患独创的Agentless安全检查模式，既可以方便部署又可以满足安全要求友好的引导式检查和修复界面，符合用户的日常使用习惯，减少安全管理部门的日常维护工作ASMVirtual Gateway802.1XDHCP强制Firewall

11、VPN策略路由BridgeCISCO EOUH3C Portal/Portal+DNS ProxyASM支持多种Enforcement强制技术，最大限度的适应企业的网路实际环境准入技术准入技术DHCP强强制制虚拟网关虚拟网关策略路策略路由由802.1XCisco EOUPortal串联串联重定向支持 支持支持不支持支持支持支持身份验证支持支持支持支持支持支持支持安全检查支持支持支持支持支持支持支持权限分配在分配IP之前支持不支持支持不支持支持不支持支持边界安全支持支持不支持支持支持不支持不支持数据流量影响 不影响不影响有 部 分影响不影响不影响不影响影响单点故障避免支持支持支持支持支持支持支持

12、最适合用户网路环境的NAC产品基于Appliance-based的NAC产品采用多种强制技术确保适合企业实际情况部署最方便快捷的NAC产品支持Agentless方式进行部署对企业的网路改动最小不仅仅是准入，还提供强大的安全检查规则库高效的安全检查引擎丰富并且不断更新的安全检查规则库完备的自我修复环境支持，提供一体化的友好修复支撑自主的补丁分析和修复企业可定制的自我其它修复一、完备的安全状态评估，可以与第三方产品广泛集成一、完备的安全状态评估，可以与第三方产品广泛集成二二、基于第三代准入控制技术，集成多种准入控制架构、基于第三代准入控制技术，集成多种准入控制架构三、基于角色和安全状态的三、基于角色和安全状态的网络访问授权网络访问授权四四、定期更新升级的安全检查引擎和检查规范库、定期更新升级的安全检查引擎和检查规范库五五、支持、支持AgentLess模式，灵活模式，灵活、方便的部署与、方便的部署与维护维护六、支持分级部署，集中管理平台，提供实名制日志审计六、支持分级部署，集中管理平台，提供实名制日志审计入网设备共约2500台，分布在下属的采用策略路由方式进行准入控制结合ukey实现人员与设备的双认证国内第一个大规模无客户端模式部署的项目4、对网络边界的严格管控对网络边界的严格管控保护同一交换机下的其他终端保护同一交换机下的其他终端保护核心后的资源保护核心后的资源谢谢谢谢