ACK内网规范管理解决方案(实名制准入控制硬件).ppt

,内网规范管理 -主动防御，源头控制,创新更安全,概述,北京艾科网新科技有限公司（ack） ack公司基本介绍 ack创新历程 内网安全现状 内网混乱及及分析 内网需要规范管理 内网规范管理解决方案 方案的整体架构 ack创新产品系列 ack十大特色功能 产品资质 成功案例,ack公司基本介绍,2007年成立，总部设在北京； 2011年，首推内网规范管理的理念； 专业致力于研究、开发、推广网络准入技术和实名制id网络； 拥有全部自主知识产权，4项中国专利、2项美国专利； 2002年，ack创建者创办a10，研发的产品获得日本和美国的interop国际大奖； 创始人员来自于hp、motorola、juniper、yahoo、华为等高科技公司 拥有政府、电信运营商、电力、金融、大型企业等众多案例；,ack创新历程,ack首创 “实名制id网络”概念,ack首创第一代dhcp准入控制技术,ack推出实名制 id网管平台（idnac）,ack推出实名制 id日志存储设备（idlog）,ack首创“动态安全域”技术,ack推出实名制 id运维设备（idguard）,ack首创“内网规范管理”解决方案,ack推出实名制 id准入网关（idwall）,ack首创第二代dhcp准入控制技术,ack成立，专注创新、专注安全,2007年4月,2007年4月,2007年6月,2007年10月,2008年9月,2008年11月,2009年10月,2010年9月,2010年10月,2011年3月,内网安全现状,内网混乱,安全威胁多 病毒、木马层出不穷 内网ddos攻击 系统补丁不全漏洞攻击 无线安全隐患 智能终端、移动设备的安全问题 员工绕过防火墙访问 管理难题多 任何人和终端均可进入网络； ip使用失控，私改ip现象严重； 员工私自安装软件、开启危险服务； 主机和设备维护缺乏必要监管； 无法快速定位威胁的源头； 没有统一的安全策略；,内网混乱的本质原因,一切安全风险皆来自于人带来的威胁； 利用内网先天安全性不足； 现有安全技术多为被动防御技术； 管理手段较为单一； 法规遵从意识不足；,内网需要规范管理,内网安全 先管人,ack内网规范管理 解决方案,ack内网规范管理架构,ack创新产品系列,ack的十大特色功能,实名准入控制,终端健康检查,访客管理,高可用性,全网日志储存,ip地址管理,网络边界监护,网络威胁定位,网络访问控制,网络运维管理, 高风险 较危险 ,危险降低 更安全, 简化管理 难于管理 ,- 更安全 - 更容易管理 -,支持六种准入控制技术(802.1x/eou/dhcp/arp/snmp准入控制技术）,功能一、实名制准入控制,支持六种准入控制技术 802.1x /eou / dhcp /arp/网关准入/snmp 免客户端、免插件 ldap/ca/radius/ad认证 强大的用户管理 内置多因素认证技术 ca/动态密码卡/ukey/手机短信等 10分钟旁路部署，不改网络结构,功能一、实名制准入控制,功能二、终端健康检查,终端认证 设备分类识别 强制插件安装 强制安全隔离,入网前检查,入网后检查,安全隔离,安全修复,不合法不合规,功能二、终端健康检查,终端认证 设备分类识别 强制插件安装 强制安全隔离 终端合规性检查 安全修复向导 免插件软件识别,功能二、终端健康检查,终端认证 设备分类识别 强制插件安装 强制安全隔离 终端合规性检查 安全修复向导 免插件软件识别,功能三、实名制ip管理,基于id统一分配ip地址 传统基于mac分配ip可以伪造；,computer1:mac1,computer2:mac2,computer3:mac3,dhcp 服务器,192.168.1.1,192.168.1.2,192.168.1.3,user1,user2,user3,computer1:mac1,computer2:mac2,computer3:mac3,10.168.1.1,10.168.1.2,10.168.1.3,user1,user2,user3,用户认证,192.168.1.1,192.168.1.2,192.168.1.3,功能三、实名制ip管理,基于id统一分配ip地址 传统基于mac分配ip可以伪造； 动态划分安全域 多元绑定 ipam监测 ip地址使用统计 非法ip阻塞,功能三、实名制ip管理,基于id统一分配ip地址 传统基于mac分配ip可以伪造； 动态划分安全域 多元绑定 ipam监测 ip地址使用统计 非法ip阻塞,功能四、访客管理,访客网与办公网隔离 利用现有网络，不改变网络配置 访客入网无物理限制 访客入网需员工授权 访客权限控制 访客入网审计,功能五、网络威胁定位,定位到人和交换机端口 非法接入定位 异常终端定位 私接设备定位 交换机异常互联定位 增强可视性,功能六、网络边界监控,分布式的边界监控 设备“网络指纹”识别 内外网互联监控 非法外联监控,假冒网络设备,idnac ha-备,idnac ha-主,内网边界,内网边界,firewall,trunk,trunk,h3c,dlink sw,hub,idsensor,网络设备,3g网卡上网,汇聚层,功能七、网络访问控制,访问权限控制 控制入网位置 保护核心资源 远程终端准入 安全联动,数据库,erp,oa,各类应用资源,idnac a100,idwall,准入成功,vpn/firewall,stop,准入失败,认证成功,功能八、全网日志管理,高性能日志收集 日志海量存储 实名日志搜索和审计 实名日志报表 满足等保要求,idlog l200/l210/l2000/l2100,功能九、网络运维管理,设备维护单点登录 维护权限集中管理 操作行为实名审计 高安全性,idguard,功能十、高可用性,集中式热备 分布式灾备 应急逃生 分级分权管理,idmonitor,ack产品资质,公司资质,产品资质,ack成功案例,案例汇总,电信。电力。金融。政府。企业,某大企业全网部署 四级部署,某大企业案例分析,某大企业特点： 规范大：中国三大企业之一。人数： 150万，终端数 100万，收入 1万亿； 分级管理：4级管理（集团 省 地 县）； 网络复杂：仅交换机品牌、型号 200; 需要解决问题： 边界破损：网络边界被破坏（私接终端、hub、路由器、无线ap、3g网卡）； 终端脱缰：不装和卸载桌面软件； 网络混乱：无人清楚内网当前有多少终端、有多少ip、有多少设备、有多少人在上网。ip地址管理混乱、交换机端口绑定混乱、管理手段落后（手工绑定错误不断、经常造成安全事故）；,领导总结：“安全不是用量来衡量的！非法设备，只要有一台，就会危害全网；脱缰终端只要有一个，就可能机密外泄！”；,某大企业案例分析,解决方法： 规范管理：采用ack内网规范管理解决方案，全网实施“id网管平台”； 分级管控：上级单位定“大规定”，下级单位定“小政策”，各级单位只管“人员”； 加强可视性：不出集团，就可看到乡供电所的终端情况； 解决混乱：彻底解决“网络管理混乱”问题； 试点效果： 发现多个“脱缰”终端； 发现多个“非法”设备； 实现了静态ip，中心下发； 实现了全网的“可视、可控、可查”；,某大部委：证书 + 准入,idnac对内网的实现准入控制，核查吉大证书和检查终端合规性。,idwall与idnac联动，核查用户身份，根据终端访问目的，检查认证强度和权限。,idwall对关联单位进入部委网络进行用吉大证书认证后进行终端合规检查。,只有通过吉大证书认证和终端合规检查，才能进入上级部委内部网络。,idwall同时对外来终端的访问按单位、按部门、按人进行不同的路径限制。,国家电力监管委员会,项目背景： 国家电力监管委员会（以下简称电监会）是电力行业的监管者，根据国务院授权，行使行政执法职能，统一履行行业监管职责。根据国家信息系统等级保护的要求，需要进一步完善电监会的网络安全建设，实现网络层的接入控制。,部署后效果： 达到等级保护要求：接入认证、网络终端管理、用户管理和授权； 及时发现定位arp病毒源； 非法接入终端的阻断和报警； 不改变用户网络结构，完全兼容原有网络设备，极大保护了早期投资； 用户自服务，每个用户自己维护密码；,用户：“我们测试了多个品牌，ack的产品对网络的要求最低，兼容性最高，有推广的价值！”,韶关发电厂,面临的威胁： 任何人、任何终端任意接入办公网，内部资源没有保障； 办公网用户私自篡改ip/mac地址，试图仿冒高级权限的用户终端，绕过防火墙策略上网； ip冲突，管理员无法定位冲突源；,韶关发电厂邹主任：“ack的产品不错，不少困扰多年的安全问题解决了！”,部署后效果： 所有用户认证后才能入网，隔离非法用户； 所有终端符合内网规范才能入网； 阻断篡改ip/mac地址的终端； 协助发现各种arp攻击和异常流量； 各种非法和不合规接入直接报警；,广东移动茂名分公司,项目背景： 中国移动的bss是一个独立封闭的网络，网维部门有大量的外维人员，负责不同领域的维护，人员流动性大，管理松散，存在较多网络安全隐患，一旦出现安全事故，难以追究直接责任人；,部署后效果：