網絡接入安全管理平臺

產品概述

????????東為IP網絡接入安全管控系統(NACS,Network ?Access ?Control ? System),是新一代的高端網絡安全防護產品,也是構建安全、高效、規范局域網所必須的內控系統化裝備,同時也是一個智能自動化的運維工具。 東為NACS基IP資源管理(IPAM)、網絡接入管理(NAC)、自動化運維管理(AOM)于一體的多維度安全管控整體解決方案。
????????東為IP網絡接入安全管控平臺中網絡準入管理(NAC),是根據《信息安全技術-信息系統安全等級?;せ疽蟆罰℅B/T 22239-2008)文檔中針對網絡安全要求及邊界完整性檢查要求,自主開發的一款網絡接入安全管理平臺。平臺能夠幫助政府機關、企業的信息化部門實現網絡接入系統性管控,評估現有網絡接入狀態,自動感知、告警、定位、阻斷、審計、溯源非法終端設備的接入、仿冒行為、合法終端的外聯,同時通過訪問控制??槎院誦那蚪醒細竦姆夢士刂?,從而達到保障網絡邊界安全可信的要求。
?????????同時,東為IP網絡接入安全管控平臺集成了IP地址可視化管理及網絡自動化運維功能,在保障網絡邊界安全可信的同時,對網內的設備進行合規性檢查,并可以實現IP地址可視化管理,自動識別、統計IT設備資產、網絡設備圖形化管理、網絡設備自動化配置管理、網絡設備自動化巡檢等多項運維功能,幫助政府機關、企業提升運維質量、效率。

今晚福建22选5开奖结果:產品功能
?
產品優勢

福建22选5走势图大星彩票网 www.srlri.icu 1.1?易用性

1.1.1?秒級部署
????????傳統網絡準入系統存在更改網絡拓撲、更改原有路由結構、大幅增加核心設備網絡配置等問題, NACS設備可根據現有網絡的部署方式,實現勿需更改現有的網絡拓撲,無任何路由改動的旁路部署。

????????在此基礎上,NACS支持網絡環境自動發現和基礎配置自動生成功能,能有效的提高部署效率,實現真正意義上的秒級設備部署。NACS系統對于目標網絡環境具有極強的適應性,可智能支持各種網絡類型,在Trunk模式部署情況下,NACS會自動學習連接網絡的VLAN信息,并自動生成VLAN、子網配置,極大的簡化了部署時間和成本,如下圖:
?

1.1.2?無客戶端方案

????????傳統的網絡準入需要安裝客戶端才能進行,有的是需要安裝并常駐內存的所謂的“重型客戶端”,有的是號稱輕型客戶端的ActiveX控件模式(有的廠商也將ActiveX模式成為無客戶端模式),這兩種模式都有各自的弊端。首先重型客戶端需要進行下載、安裝,造成實施困難,并且會占用客戶機運行資源,而且容易產生抵觸情緒;而ActiveX方式客戶端并沒有多大的存在意義,因為它是依賴于IE瀏覽器而存在,只支持IE瀏覽器,并且當關閉瀏覽器后也會結束運行,所以基于ActiveX形式的檢查只是象征意義,沒有實用價值。
????????東為NACS提出的無客戶端準入方案,向用戶提供一種更為快捷、易用新準入方式,在某些需求和環境中可是使用此方案,此方案不使用任何形式的客戶端,部署快速,維護簡單,也能夠實現基本的準入需求。無客戶端模式下終端通過使用WEB頁面就能完成終端準入的全過程,為用戶提供一種新的入網體驗。

1.1.3?統一準入策略
????????NACS系統入網策略的建立,基于統一的NACSPL(Network Access Control Policy List),準入策略庫。整個NACS系統的所有底層技術通過統一的策略庫實現對管理員的透明化。讓管理員擺脫了傳統模式中技術與技術之間復雜的邏輯聯系,簡化管理員對于所有底層技術的管理,提供管理員對于整個網絡的管理效率。
?

1.1.4?Portal引導準入

????????一個好的網絡準入產品,必須有很好的引導頁面,讓用戶能夠根據引導頁面順利接入網絡。NACS為企業員工、外來訪客等設計好友好的引導頁面,來協助其方便的登陸網絡,引導頁面如下圖所示:
?
?
?

1.2?智能化

????????在系統結構上,NACS有一個Brain大腦???,這個??榛嶧慵釁淥?樘嶠簧俠吹氖萁蟹治?,就跟人的大腦一樣,根據自己的知識庫綜合得出分析結果,然后再通知其它??槎醞韁斬俗齔魷嚶Φ耐綞?。

1.2.1?智能識別

????????NACS一大亮點就是在旁路部署的情況下,自動發現在線終端,自動發現終端的IP地址、MAC地址、主機名等,然后對這些信息進行分析,智能識別終端的終端類型、操作系統等,如下圖:

?

1.2.2?智能修復

????????對于不符合企業安全規范的終端,NACS提供智能修復功能,在用戶無感知的情況下對安全隱患進行彌補,減少員工人為參與工作,同時也大大降低了管理員維護網絡的工作量,NACS智能修復主要體現在:

1.2.3?智能運維

????????東為NACS 平臺智能運維管理包括網絡智能巡檢管理、網絡設備配置基線管理、網絡安全加固管理、設備運行分析管理、網絡設備日志分析管理。東為NACS 智能巡檢管理包括巡檢模版管理、自動化巡檢管理、巡檢報告管理、資產采集管理。網絡設備配置基線管理實現對網絡設備配置的統一管理,包括:配置版本管理、配置收集比對、IP+MAC+端口綁定等功能,減輕網管人員運維人員壓力。設備運行分析管理實現設備狀態管理、設備端口管理、設備流量管理、設備CPU/內存監控、設備接入終端管理、MAC/PORT綁定。

1.3?可視化

????????NACS底層支持多種復雜的網絡準入技術,每一種技術可以獲取一些網絡信息,從而形成數據結構存儲在系統數據庫中,這些數據之間具有復雜的關聯關系,NACS設計了“大腦”???,將這些復雜的數據進行融合,并使用通俗易懂的方式展示給管理員進行管理,從而看不到晦澀難懂的網絡技術,看到的都是現實世界中存在的元素,這就是NACS所謂的“網絡可視化”:
?
1.4?靈活性

1.4.1?混合準入技術

????????NACS支持多種準入控制技術,比如支持DHCP準入控制技術、802.1X準入控制技術、ARP準入控制技術、SNMP準入控制技術、無線Portal準 入控制技術等,并且支持多種準入技術的混合部署方案。

如上圖所示:

  • 一臺NACS服務器同時管理了本地準入和遠程分支機構的準入;

  • 本地使用了DHCP準入和靜態IP地址準入兩種方案;

  • 本地使用了有客戶端和無客戶端兩種方案;

  • 同時支持有線和無線準入;

  • 本地可以使用ARP、SNMP、DAI/IPSG等方式進行非法終端阻斷,遠程可以使用SNMP進行非法終端阻斷;

1.4.2?無限維度管理

????????傳統安全技術依賴傳統的安全控制規則,傳統模式下安全規則結構僵化、邏輯復雜,對于日常維護管理產生極大的難度。東為NACS采用特有的對象標簽技術,在終端、用戶等對象上貼標簽,原則上可以進行無限維度的管理,一個對象上貼多個標簽,實現對象對規則的多維靈活調度。東為特有的對象標簽技術擺脫了過于單一化的目標定義方式,通過實現對象標簽化管理,使NACS的入網策略設置更為靈活,邏輯更為清晰。擺脫了過去傳統安全規則單方向、單作用的單維管理模式,使用戶的規則管理水平進入到多維化管理的時代。

????如上圖所示,管理員可以根據自己環境需要自定義標簽【新機器】、【保密】、【領導】,然后根據這些標簽來定義不同的安全準入策略。

1.5?功能豐富

????????在充分了解用戶需求的基礎上,NACS除了提供準入方面的功能外,還為網絡管理員以及企業用戶提供了大量的高附加值功能,某些功能可能會為企業節省單獨購買一套產品的投入,并且能夠很大程度上提高了網絡管理員的運維工作效率,NACS高附加值功能主要包括以下內容:

典型案例

1.1 DHCP準入方案

1.1.1?面臨問題

?電子口岸終端全部采用DHCP獲取IP方式,在核心交換機上啟用DHCP服務器,通過命令行配置管理,在網絡管理中遇到以下問題:

  • IP地址管理效率低下:通過交換機命令行進行配置DHCP服務器,然后使用Excel表來記錄IP分配情況,當查找空閑IP,或在線IP的時候十分繁瑣,造成IP維護效率低下;

  • 經常手設IP地址:有很多員工不使用DHCP獲取IP,而私自設置靜態IP地址接入網絡,有時候會造成IP沖突,有時候會獲取非授權網絡資源,且對此很難利用有效手段禁止;

  • 私人終端接入企業網絡:很多員工將私有設備,比如筆記本、手機、無線路由器等接入網絡,從而造成企業網絡漏洞風險,如何防止非企業終端接入企業網絡是當務之急;

  • 終端定位和問責困難:當發現非法終端的時候,只能通過交換機命令行一層層查找,效率很低,管理員希望利用可視化的高效手段來定位非法終端位置和責任人;

1.1.2?解決方案

網絡拓撲圖如下:

NACS很好的解決了用戶關心的網絡問題,主要如下:

  • IP地址分配

  • IP/MAC綁定:NACS支持IP/MAC/主機名/操作系統等多元素檢查,只有合法終端才會分配IP地址,并支持終端自動發現、識別、分組、注冊等;

  • IP地址可視化管理:NACS對終端和IP地址進行可視化管理,很大程度上提高管理效率;

  • 訪客接入管理:針對于訪客接入,NACS直接將訪客終端分入訪客網,非企業員工需要使用企業網絡訪問互聯網資源,比如接受和發送Email等,企業需要為他們提供網絡的數據通道,但是又不能將企業內部資源暴露給他們進行訪問,所以需要在提供網絡數據通信的同時對這些第三方人員進行權限控制,NACS可以提供訪客網解決方案,完美的解決非企業人員使用企業網絡的問題;

  • 非法終端接入管理:NACS使用ARP和SNMP阻斷技術從二層和物理層上對非法終端進行阻斷,防止非法終端私自接入網絡;

1.2?靜態IP準入方案

1.2.1?面臨問題

????????根據相關規定,某軍事學院的網絡中的所有終端均采用手設固定IP地址的形式,教師及學員使用終端電腦可以訪問學院內部網絡及解放軍軍網。在網絡管理中,有以下幾個問題:

  • 網絡邊界的?;?,網絡邊界的接入設備類型較多,各種類型的交換機、HUB及未知的無線AP等,需要加強對接入設備的管理,所有網絡終端接入都需要進行認證,未經認證的終端不允許接入到網絡中。

  • 為了加強終端安全,學院按總裝要求購買了殺毒軟件、標簽系統及水印系統,但是始終有部分終端未按要求安裝,如何保證未按要求安裝軟件的終端的安全性?如何保證接入終端的病毒庫已經更新到要求的版本?

  • 學院所有電腦的硬盤均經過保密部門核實并記錄在案,如何保證未經過保密部門核實及記錄的硬盤被隨意使用,如何保證廢棄硬盤被及時交回保密部門。

  • 加強的網址管理,網絡中各種訪問策略大都是根據IP地址進行設置的,因此,IP地址的使用和分配情況極為重要,通過按部門、按人員、按角色劃分權限,要求每個IP對應一個使用人,禁止終端私自更改IP;

  • 提高故障排查效率,各種業務系統需要保證其運行順暢,如出現影響網絡的主機,需及時有效的定位,確定主機的位置,及時的進行處理,保證網絡數據傳輸的順暢;

1.2.2?解決方案

網絡拓撲圖如下:
?網絡邊界的?;ぃ杭嬡莞髦紙尤肷璞?,終端通過任意交換機、HUB、無線AP等接入都需強制認證,未通過認證的終端將其隔離,不允許訪問網絡中的資源,未許可的終端試圖接入網絡,將進行報警并及時自動對其阻斷;

  • 軟件黑白名單的檢查:檢查終端已安裝軟件是否符合管理員要求,如果符合則正常入網,如果不符合則根據管理員設置要求其安裝軟件或者進行病毒庫更新。

  • IP、MAC、硬盤綁定:根據需要自由組合IP、MAC、硬盤及使用人綁定,發現異常則報警或者根據配置自動對其阻斷。

  • 網址的管理:制定根據部門、用戶、角色下發IP地址,指定某人使用哪個IP,各IP的分配均由管理員統一分配,用戶私改IP后對其報警并阻斷。IP地址的使用情況管理員可方便查詢,提高了管理員對IP地址的管理工作??衫┱拱蠖秤沒е荒蓯褂媚母鮒斬私尤?,防止其私帶個人終端接入到網絡中。

  • 準確定位主機位置:通過與交換機的結合,能清楚的確定主機的位置。如網絡中某臺病毒機不斷向網絡中發送數據影響網絡的正常使用,管理員發現該機的物理地址,通過該地址可在接入交換機中找出是從哪個交換機的哪個端口上接入的,而后采取相關的處理動作。

  • ?

1.3?國家電網某省公司NACS安全管控平臺案例

1.3.1?面臨問題

  • 網絡設備分布廣泛且數量眾多,省公司分配的IP網段也是不連續的,導致產出出非常多的子網,很混亂無法管理。

  • 多個管理員獨立維護IP地址EXECL表,由于IP狀態信息不同步,重復分配了同一段IP地址,IP沖突影響了業務。人工錄入無法保證數據準確性,IP地址使用情況統計困難,管理費時費力。

  • 終端已部署了桌面管理系統,用戶可私自卸載桌管客戶端,規避管理。同時終端入網沒有認證和授權,無法實現終端的在線防護與安全風險審計。

  • 需要借助自動化設備管理工具,對全省調度骨干網、地調接入網等定期進行故障風險隱患排查,提升主動防御性維護能力。

  • 客戶曾經通過自行編寫腳本工具方式,收集設備運行信息,但信息量太大,面臨巨大的信息分析壓力。

  • 需要對其關心的關鍵業務指標進行自定義監測,自定義輸出相關維護報表

  • 需要定期對全省的網絡設備資產進行盤點,掌握設備的保修狀態信息

  • 需要一款網絡配置與變更管理,可對交換機、路由器、防火墻等網絡設備的配置進行統一集中的管理。

  • 需要自動生成設備運行分析報告。

  • 需要集中采集主機、服務器、網絡設備、安全設備、數據庫以及各種應用服務系統產生的日志和事件;

1.3.2?解決方案

  • 服務方式代替傳統工具模式,用平臺服務代替傳統的Excel管理。釋放人力,客戶可以專注在業務及創新上。

  • 可視圖形化IP地址管理,更直觀的顯示當前IP地址使用情況,可通過圖形化界面,對IP地址進行分配,管理,標記,回收等動作,更容易了解IP地址整體使用情況。

  • 自動審計IP地址變化,自動審計IP地址變化,一鍵生成變化列表;提供IP地址基線功能及對比;提供人工無法達到的IP準確度。

  • 信息內網終端準入系統改變了信息網絡運維人員對終端的管理模式,對終端何時入網何時退網,目前是否在線,從哪臺交換機的哪個端口接入信息內網,這些運行情況一目了然。當終端運行發送異常時,系統自動切斷網絡,排除故障后自動恢復,給網絡運維人員的工作帶來了很大方便,大幅減少運維工作量。該系統的部署,將運維人員的工作由事后補救變為事前控制,既對公司信息安全管理提供較大便捷,又符合安全管理工作“預防為主”的思路。期間,公司共安裝準入系統服務器1臺,調整138臺交換機配置,在準入系統中收集內網設備信息3184條,并對終端資產序列號、出廠編號等信息統一梳理,做到“三帳”(設備臺帳、準入臺帳、桌面管理臺帳)合一的規劃化管理。此項工作的完成加強了公司內網終端桌面終端的安全管控,從技術上杜絕了違規外聯事件的發生,公司內網桌面終端的安全防護水平得到大幅度提升,確保內網終端管理實現可控、能控、在控。

  • 全面的網絡設備配置變更與合規性管理,可對交換機、路由器等網絡設備的配置進行統一集中的管理。支持批量配置海量設備,自動備份配置文件,實時跟蹤配置變更,快速恢復正確配置。避免由錯誤配置引起的網絡故障,防止未授權的配置變更,自動化執行配置管理任務,從而提高網絡管理的效率,有效降低人力成本。

  • 系統及事件日志綜合分析,能夠對全網范圍內的主機、服務器、網絡設備、數據庫以及各種應用服務系統等產生的日志,進行全面收集和細致分析,通過統一的控制臺進行實時可視化的呈現。通過定義日志篩選規則和策略,幫助IT管理員從海量日志數據中精確查找關鍵有用的事件數據,準確定位網絡故障并提前識別安全威脅,從而降低系統宕機時間、提升網絡性能、保障企業網絡安全。

    聯系工程師 獲得服務咨詢和技術支持??0791-8811-9486或400—8362—990