一、產(chǎn)品概述
如今,為應(yīng)對(duì)來自內(nèi)外部的網(wǎng)絡(luò)與數(shù)據(jù)安全威脅,數(shù)據(jù)防泄密、補(bǔ)丁管理、終端安全、接入認(rèn)證、基線管理、資產(chǎn)管理等各種安全管理系統(tǒng)在大型機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中不斷部署,這些分散的、不斷增多的安全系統(tǒng)加重了管理負(fù)擔(dān),且因缺乏統(tǒng)一的架構(gòu),數(shù)據(jù)難以集中,系統(tǒng)間缺乏協(xié)同,使得安全效果有限。聯(lián)軟科技認(rèn)為將網(wǎng)絡(luò)、終端、應(yīng)用、信息割裂開來的分別予以治理的方式存在很大局限性。解決信息安全管理問題,必須從頂層設(shè)計(jì)入手,將終端、應(yīng)用、信息,乃至包括人員的管理都納入解決方案中,才能有效的解決問題。
二、網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)
2.1.準(zhǔn)入控制系統(tǒng)簡介
LeagView網(wǎng)絡(luò)準(zhǔn)入控制是LeagView終端安全管理系統(tǒng)的一個(gè)管理組件。借助LeagView網(wǎng)絡(luò)準(zhǔn)入控制技術(shù),可以對(duì)接入網(wǎng)絡(luò)的客戶機(jī)設(shè)備進(jìn)行控制,只有合法身份和滿足安全要求的客戶機(jī)才允許接入網(wǎng)絡(luò)。
LeagView網(wǎng)絡(luò)準(zhǔn)入控制可以幫助用戶很好地解決如下問題:
l 防止非法的外來電腦接入網(wǎng)絡(luò),影響內(nèi)部網(wǎng)絡(luò)的安全;
l 防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò),影響網(wǎng)絡(luò)的正常運(yùn)行;
l 確保接入網(wǎng)絡(luò)的客戶機(jī)符合安全管理要求。
l 幫助安全管理員解決內(nèi)部用戶私自接HUB、無線AP等不安全行為。
LeagView網(wǎng)絡(luò)準(zhǔn)入控制杜絕非法外來電腦接入內(nèi)部網(wǎng)絡(luò);同時(shí)將有問題的客戶機(jī)隔離或限制其訪問,直到這些有問題的客戶機(jī)修復(fù)為止,這樣,一方面可以防止這些客戶機(jī)成為蠕蟲和病毒攻擊的目標(biāo),還可以防止這些主機(jī)成為傳播病毒的源頭。
2.2.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)
在聯(lián)軟網(wǎng)絡(luò)準(zhǔn)入控制解決方案中,管理員可以將網(wǎng)絡(luò)資源劃分為不同的區(qū)域以便不同的終端訪問不同區(qū)域的網(wǎng)絡(luò)資源:訪客區(qū)、修復(fù)區(qū)和正常工作區(qū)。劃分方式是基于IP/MAC的訪問控制列表或VLAN。
網(wǎng)絡(luò)準(zhǔn)入控制原理
一般來說,訪客區(qū)的網(wǎng)絡(luò)資源是可以被任何用戶的終端訪問的,如Internet資源。一般外來用戶的終端設(shè)備被限制只能訪問訪客區(qū)的網(wǎng)絡(luò)資源。修復(fù)區(qū)網(wǎng)絡(luò)資源是用來修復(fù)安全漏洞的,如補(bǔ)丁服務(wù)器、防病毒服務(wù)器、軟件安裝包服務(wù)器等,不符合組織安全策略要求的終端被限制在修復(fù)區(qū)中,強(qiáng)制它們進(jìn)行安全修復(fù)。
當(dāng)終端設(shè)備被接入網(wǎng)絡(luò)時(shí),會(huì)被要求進(jìn)行身份認(rèn)證和安全策略檢查。如果是來自外部的PC機(jī)試圖接入網(wǎng)絡(luò),LeagView將采取如下措施:
1. 拒絕外部終端設(shè)備接入網(wǎng)絡(luò);
2. 將外部終端設(shè)備設(shè)置到訪客區(qū)中;
如果是來自內(nèi)部合法終端設(shè)備接入網(wǎng)絡(luò),LeagView將采取如下控制措施:
1. 檢查用戶輸入的用戶名和口令是否合法;檢查終端是否滿足安全策略要求。
2. 只有合法身份的用戶以及滿足組織安全規(guī)范的終端設(shè)備才能接入到網(wǎng)絡(luò)中,否則系統(tǒng)會(huì)將此終端設(shè)備自動(dòng)切換到修復(fù)區(qū)中,終端設(shè)備在此修復(fù)區(qū)中訪問修復(fù)安全漏洞必須的網(wǎng)絡(luò)資源;
3.合法身份的用戶以及滿足組織安全規(guī)范的終端設(shè)備接入到網(wǎng)絡(luò)時(shí),系統(tǒng)會(huì)根據(jù)用戶身份自動(dòng)將終端設(shè)備切換到屬于該用戶的工作區(qū)中,從而實(shí)現(xiàn)不同權(quán)限的人可以訪問不同的網(wǎng)絡(luò)資源。
LeagView可以將用戶和終端設(shè)備進(jìn)行綁定,即某個(gè)用戶只能通過某臺(tái)終端設(shè)備接入到網(wǎng)絡(luò)中,這樣可以禁止內(nèi)部員工私自將家里終端計(jì)算機(jī)接入到網(wǎng)絡(luò)中。
LeagView網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)支持高可靠性,避免因?yàn)長eagView服務(wù)宕機(jī)或者網(wǎng)絡(luò)通訊故障導(dǎo)致終端設(shè)備不能接入網(wǎng)絡(luò)的情況。
2.3.網(wǎng)絡(luò)準(zhǔn)入控制的動(dòng)態(tài)授權(quán)
LeagView 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)可以對(duì)接入的終端進(jìn)行動(dòng)態(tài)的授權(quán),主要包括以下幾個(gè)部分:
1. 基于用戶或用戶所在的部門自動(dòng)分發(fā)VLAN進(jìn)行控制;
2. 用戶VLAN的動(dòng)態(tài)下發(fā),根據(jù)接入的身份或部門信息、設(shè)備組、用戶組等自動(dòng)劃分到指定的VLAN;
3. 用戶權(quán)限的實(shí)時(shí)控制,對(duì)接入的終端進(jìn)行實(shí)時(shí)的控制;
4. IP地址獲取策略限制,可以禁用終端對(duì)IP地址的修改;
5. 防止私接路由器、私接HUB、仿冒合法IP/MAC的違規(guī)入網(wǎng)行為;
6. 接入時(shí)段限制;
7. 接入?yún)^(qū)域限制;
8. 多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)限制;
9. 代理服務(wù)器限制;
10. MAC地址修改限制;
根據(jù)設(shè)備組進(jìn)行策略下發(fā)
2.4.準(zhǔn)入控制系統(tǒng)終端接入管理體系
部署準(zhǔn)入控制系統(tǒng)后,改變了電腦終端接入網(wǎng)絡(luò)的行為模式。一般來說,電腦終端接入網(wǎng)絡(luò)需要:
1) 注冊(cè)登記
內(nèi)部終端要訪問網(wǎng)絡(luò)資源之前,需要在網(wǎng)絡(luò)上注冊(cè)登記(用戶賬戶登記、終端ID注冊(cè)等),取得接入網(wǎng)絡(luò)的權(quán)限。
2) 接入檢查
終端在接入網(wǎng)絡(luò)時(shí),準(zhǔn)入控制系統(tǒng)會(huì)檢查其用戶賬戶、安全設(shè)置狀態(tài)、終端硬件合法性等。
3) 安全隔離
如果在接入檢查時(shí),發(fā)現(xiàn)終端不符合安全規(guī)定,需要對(duì)終端進(jìn)行隔離或拒絕其訪問網(wǎng)絡(luò)資源,例如:發(fā)現(xiàn)是外來終端則拒絕接入或進(jìn)入“訪客區(qū)”網(wǎng)段,或者是內(nèi)部不符合安全規(guī)定的終端,則讓其進(jìn)入“修復(fù)區(qū)”。
4) 安全通知
對(duì)被隔離的終端進(jìn)行通知,告知其被隔離的原因。
5) 安全修復(fù)
自動(dòng)引導(dǎo)被隔離的終端,讓其修復(fù)安全設(shè)置或者進(jìn)行注冊(cè)登記,使得其可以正常訪問網(wǎng)絡(luò)資源。
一個(gè)完整的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),應(yīng)該包括以上五個(gè)方面的內(nèi)容,缺少其中一個(gè)或者兩個(gè)方面的內(nèi)容,就不是完善的解決方案,會(huì)給準(zhǔn)入控制系統(tǒng)的部署和推廣帶來問題。
聯(lián)軟科技的LeagView網(wǎng)絡(luò)準(zhǔn)入控制解決方案是一個(gè)完整的準(zhǔn)入控制方案,可以提供以上五個(gè)方面的所有內(nèi)容。
2.5.準(zhǔn)入控制系統(tǒng)管理方案設(shè)計(jì)
(1)設(shè)備通過交換機(jī)直接接入
企業(yè)內(nèi)部傳統(tǒng)通過交換機(jī)直連的設(shè)備使用802.1X方式實(shí)現(xiàn)管控。內(nèi)網(wǎng)辦公環(huán)境使用交換機(jī)啟用802.1x準(zhǔn)入方式,同時(shí),配合guest vlan的端口鏡像準(zhǔn)入,提供訪客申請(qǐng)、流量審計(jì)、在網(wǎng)安全檢查及智能準(zhǔn)入等功能,在保障安全的基礎(chǔ)上使一線辦公員入網(wǎng)更加便捷。
(2)通過Hub集線器接入
如企業(yè)內(nèi)部含有部分職場提供/私接的Hub集線器設(shè)備,導(dǎo)致對(duì)集線器下多臺(tái)設(shè)備對(duì)外提供同一個(gè)MAC地址,給安全管理提供不便性和安全隱患。
聯(lián)軟科技的準(zhǔn)入網(wǎng)關(guān)通過一下方式對(duì)Hub集線器下終端的嚴(yán)格管控:
a. 準(zhǔn)入網(wǎng)關(guān)上線后,首先通過網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)的方式對(duì)企業(yè)內(nèi)部所有Hub集線器進(jìn)行自動(dòng)收集,展示出企業(yè)現(xiàn)有Hub集線器數(shù)量及位置。
b. 在內(nèi)外網(wǎng)環(huán)境下下,上聯(lián)交換機(jī)使用802.1x方式進(jìn)行管理,依據(jù)終端設(shè)備的MAC地址逐個(gè)認(rèn)證。
c. 聯(lián)軟準(zhǔn)入網(wǎng)關(guān)上的設(shè)備mac地址信息依據(jù)終端設(shè)備上已安裝的客戶端上傳的mac地址信息標(biāo)記設(shè)備并展示,避免僅通過網(wǎng)絡(luò)掃描收集造成的數(shù)據(jù)不準(zhǔn)確情況。
(3)設(shè)備通過無線接入
通過無線接入的設(shè)備主要有手機(jī)和筆記本,兩者均是通過AP設(shè)備發(fā)布的無線SSID接入,為方便運(yùn)維人員管理,聯(lián)軟科技通過同一SSID實(shí)現(xiàn)不同設(shè)備的不同權(quán)限控制。
用戶使用手機(jī)端接入時(shí),通過WLAN的802.1x認(rèn)證的方式,自動(dòng)為手機(jī)彈出AD/LDAP認(rèn)證頁面,用戶通過使用正確的用戶信息進(jìn)行認(rèn)證。認(rèn)證通過后,無線AC自動(dòng)區(qū)分出手機(jī)設(shè)備,并對(duì)其應(yīng)用僅有互聯(lián)網(wǎng)權(quán)限的VLAN,使手機(jī)接入網(wǎng)絡(luò)后僅能訪問互聯(lián)網(wǎng)。
2.7.方案特點(diǎn)
LV7000的網(wǎng)絡(luò)接入管理系統(tǒng),專為防止設(shè)備被病毒感染和網(wǎng)絡(luò)被隨意接入而設(shè)計(jì),具有以下特點(diǎn):
l 組網(wǎng)靈活、兼容性高:具有業(yè)界最靈活的組網(wǎng)方式,業(yè)界最完善的接入認(rèn)證技術(shù)、業(yè)界最廣泛的網(wǎng)絡(luò)設(shè)備兼容性;
l 最嚴(yán)密的安全接入控制手段:直接與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng),自動(dòng)下發(fā)VLAN和ACL,安全控制粒度最細(xì),與安全助手結(jié)合可感知應(yīng)用類別,實(shí)現(xiàn)資源訪問控制;
l 真正的最小授權(quán):最嚴(yán)格的、最全面的準(zhǔn)入策略,最大程度上確保了企業(yè)安全;
l 可靠性設(shè)計(jì)優(yōu)異:系統(tǒng)結(jié)構(gòu)簡單,無單點(diǎn)故障,提供緊急逃生模式。在Radius服務(wù)器全面連接不上時(shí),無需人工干預(yù),自動(dòng)撤防,不降低網(wǎng)絡(luò)可靠性;
l 故障診斷便捷:一方面,終端用戶不需要做任何網(wǎng)絡(luò)屬性設(shè)置;另一方面,接入故障診斷一目了然,一個(gè)界面分析出所有問題(端口、認(rèn)證、策略、綁定);
l 部署和維護(hù)簡單:系統(tǒng)提供Agent自助式部署工具、接入故障和系統(tǒng)故障診斷分析工具,策略設(shè)置簡單易懂;
l 獨(dú)立第三方軟件解決方案,不依賴于網(wǎng)絡(luò)設(shè)備廠商,用戶在設(shè)備采購時(shí)有更多決策自由權(quán);
l 安全性和穩(wěn)定性經(jīng)過上千家金融、電信、政府等行業(yè)用戶長期運(yùn)行檢驗(yàn)。
一、產(chǎn)品概述如今,為應(yīng)對(duì)來自內(nèi)外部的網(wǎng)絡(luò)與數(shù)據(jù)安全威脅,數(shù)據(jù)
一、背景需求近來網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,中國互聯(lián)網(wǎng)絡(luò)信息中心(CN
OneDNS-互聯(lián)網(wǎng)安全接入服務(wù)? 產(chǎn)品概述OneDNS互聯(lián)
029-63648670
zoyink@zoyink.com
關(guān)注
官方微信