钢架桥
一.引言
目前大多数企业构建的还是开放式的网络,过去在Interner接入安全和服务器安全领域投入了大量的资金,虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备,但是网络安全事件依然层出不穷;虽然在终端上安装了杀毒软件,但病毒感染还是泛滥成灾;为什么?企业内部网络接入层采用开放式的网络架构,这种开放网络给企业业务开展确实能够带来便捷,但也有严重的安全风险,随着IT技术的快速发展,各种网络应用的日益增多,病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源,使得企业网络的安全边界迅速缩小,开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全,因此需要构建新一代的内部终端准入安全防御体系。 权威调查数据表明“网络堡垒”往往是从内部攻破,开放式的网络使得企业内部任何一个人都能够通过便携设备随意接入企业核心业务网络,能够访问企业的各种网络资源,获取他们感兴趣的数据。开放式的网络犹如企业没有门卫一样,任何人都可以随便进出,随意访问,不受到任何检查和限制。可以想象这样的开放式网络为恶意访问提供了入侵的便利条件,采用非常简单的攻击技术便可造成巨大的破坏,从而不但给企业带来巨大的经济损失,更有可能对企业造成法律上的风险。还有企业网络内部计算机如果安全状况没有一个标准的基准线,对不安全设备如果不能采取有效的隔离和修复措施,漏洞病毒的防护
应对往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,数据安全无法保证,工作也无法正常进行,终端入网安全状况的不统一,也弄的维护人员筋疲力尽,工作效率得不到提高。
二.面临的挑战特效三光脚气粉
目前,企事业单位终端接入现存具体问题主要有以下几个特点,但不限于此:
网络出口处部署了大量的网络安全设备,如:防火墙、IPS、防病毒服务器等安全设备,出口严防,但内部终端接入还是开放、透明的网络,如何防止从内部的非法接入访问?
当你在关注企业网络边界准入控制时,是否关注到了我们的核心业务的访问安全,你的核心数据、重要业务系统(如ERP、OA)访问等,访问身份和权限是否安全?
访问的终端是否合规可信?如何保证数据泄密?
安全防护的一切要素在于安全监管客户端的存在,如果没有终端将变成裸奔状态,非可信状态,存在重大的安全隐患,等于脱离管理,如何快速部署安全防护点?确保覆盖安装率和去化率。
敌对边缘
企业存在大量的终端分散在企业的各处通过信息口接入网络,但如何保证这些终端是合法的呢?这些终端入网安全基线是否合规?
企业有很多外包人员或访客,如何确保这些人的接入是否合法呢?资源的访问权限如何控制?
智能手持设备、无线设备的接入,如何进行有效的接人管理?
企业存在大量的哑终端设备,如:网络打印机、视频会议系统、IP网络电话等设备,如何保证接入是否合法?如何进行接入的有效控制?
mlnb大量终端接入网络行为,如何定位追踪?如何进行有效的接入安全分析和审计? …………
三.强制合规(NAC)产品介绍
监控3.1产品概述
天擎.强制合规(NAC)组件主要为企事业单位解决入网安全合规性要求,核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等管理问题。用于防止企
业网络资源不受非法终端接入所引起的各种威胁,在有效管理用户和终端接入行为的同时,也保障了终端入网的安全可信,同时达到了规范化地管理计算机终端的目的。
强制合规(NAC)引擎设备可基于天擎集中统一管理,可在天擎“一体化”平台对引擎设备进行集中策略下发、设备批量升级、设备统一监管、区域分权管理等方式,适应超大规模用户的部署,多种灵活的手段满足大型网络架构下的业务管理需求,解决了传统方式的独立管理,散兵模式的部署难题,针对大型用户有多台甚至百台NAC引擎时,这种方式给部署管理上提供了便利,也确保了策略的快速响应和设备的集中监管,天擎“一体化”平台集中管理与统一监测,实现数据共享和业务联动,符合超大规模用户统一管理、统一认证的管理理念,并满足大型网络架构下的准入部署难题,真正实现了分布式部署、集中化管理的要求。
产品具备从终端发现、访客注册、认证授权、合规检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理流程,并支持多种认证技术及方式,可实现核心区域的访问控制,终端层面的访问控制,接入层边界的访问控制,满足不同网络场景下轻、中、高强度的准入控制需求,适应企业复杂网络环境下的终端接入控制和安全合规性要求,产品具备扩展多种第三方认证源,支持AD、LDAP、Email、Http等多种认证源无缝认证,并支持各阶段的逃生方案,保障业务的稳定运行,确保实名制认证、统一管理要求,从而使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
3.2主要功能特点
3.2.1应用准入
应用准入是一种网关准入防护技术,目的是防止非法终端访问企业核心区域资源,规范终端入网流程,保障入网终端的安全可信,结合终端的合规检查,可满足企业入网的合规性管理要求。
强制合规(NAC)设备引擎采用旁路部署,通过流监听来发现和评估哪些终端入网是否符合遵从条件,判断哪些终端是否允许安全访问企业核心资源,不符合会被自动拦截要求认证或安装客户端才能进行访问,并可配置入网安全检查策略,不符合进行隔离和修复,达到合规入网的管理规范要求,这种方式的优点在于无需和交换机进行联动,避免交换机管理和配置的复杂性,终端私拉乱接带来的绕过可能性。此轻量级的准入方案,部署简单,上线快,对环境依赖较小,风险和故障点相对较小。
终端的安全防护的一切要素在于安全监测客户端的存在,如果没有安全客户端等于脱离管理,存在重大的安全隐患,终端变成裸奔状态,非可信状态。强制合规(NAC)另一方案,是和天擎终端协同联动,检测入网访问的终端是否安装终端防护点,达到入网遵从条件,可提高客户端的部署效率,防止天擎的卸载和去化率过高,保障入网终端是在安全可控范围内,防止无保护,存在安全隐患的终端访问企业的核心资源,配置合规检查策略也可实现更加细粒度的入网合规要求。
优势特点:
客户端部署方便简单,提供自动式客户端引导部署流程,使大面积部署天擎变的高效和快速
保证天擎的安装覆盖率和去化率,保障入网终端是在安全可控范围内,规范终端安全
狗皮护膝
保护核心服务器的访问安全,需认证和安检才能访问
规范终端入网流程,入网安全可信,满足企业入网的合规性管理要求
旁路部署简单,轻量级的准入方案,部署简单,上线快,对环境依赖较小,风险和故障点相对较小。
3.2.2Web Portal认证
Web Portal认证方案是保护网络核心区域不受外部非法访问的认证技术方案,采用旁路部署,通过监听保护区域的网络数据流,并做连接跟踪,对企业内网数据流进行合法性检测并对非法连接进行阻断和控制,保护核心区域访问的安全。它基于用户核心业务保护概念,对非法访问用户核心资源进行访问限制,确认身份的合法后才能正常访问。
★支持多种入网流程,用户可以根据需求灵活选择
用户经过portal认证/用户注册,可直接访问受保护服务器,注册用户需经管理员审批确认或自动审批确认
