北电安全网络接入解决方案.doc

北电安全网络接入解决方案安全威胁.不断出现的安全威胁无时无刻不在威胁企业网络的安全，而根据IT业界的统计，绝大多数的安全威胁来自内部。传统的身份管理和AAA只能认证用户的网络权限，却对于用户/设备的安全状态和使用场合无能为力。即使可信的用户使用被感染的设备也能给网络上的其他用户带来严重的威胁。而随着远程VPN等新接入方式的广泛采用，企业网络边界的定义不再取决于网络拓扑，而将取决于安全策略的部署。例如，一个远程VPN用户接入企业内部网络，其位于网络拓扑意义上的企业网络外部，但是逻辑上却位于企业网络内部。1.NSNA简介北电的安全网络接入(NSNA)解决方案正是提供了一套能够应对所有问题的综合框架，通过部署统一的访问策略，对用户进行认证和设备健康评估，给合法用户授权，所有用户的持续的威胁分析机制以及适当的隔离与修复措施，除了提供传统的用户身份认证和AAA能力之外，还增加了检查主机内容的能力，使终端设备遵从特定公司安全策略，然后决定设备是否能够连接到网络。北电通过NSNA解决方案，提供了层次化的用户认证方式，可以面向有线，无线，LAN & VPN 通信，利用隧道看护（TunnelGuard）技术实现访问策略强制作用，从而将VPN级别安全带到LAN。北电安全网络接入交换机SNAS4050本身自带200个并发端点系统的许可，将来，通过增加授权许可，北电安全网络接入交换机SNAS4050可以扩充到2,500并发端点系统的能力，如果采用集群方式(4台)，一个SNAS4050集群系统可以支持最大10,000并发端点系统，更高性能的SNAS4070每个集群(4台设备)可以最多支持20,000并发的端点设备.可以充分保障各种企业用户网络环境的扩充性需求。北电安全网络接入解决方案NSNA可以与微软的NAP紧密集成，支持Windows Server 2008。北电安全网络接入解决方案NSNA可以有效的阻止和清除恶意软件和系统漏洞，是一个基于策略的网络准入控制，由于其强大的功能和开放性的特点，北电NSNA荣获了SearchN颁发的2008年网络领导产品之网络安全接入类的金奖，其广泛的客户认可程度超过了Juniper和Trend Micro等著名安全厂商的同类产品。2NSNA功能描述NSNA接入管理交换机主要的功能有三个方面：2.1、用户接入内部网络之前必须经过身份认证： NSNA接入管理交换机只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份，则NSNA接入管理交换机将拒绝其连接请求，从而限制了非法用户对内网的访问。NSNA接入管理交换机提供多种认证和授权方式，包括本地本地用户数据库，并且可以和其他更加强大的认证系统结合起来，如外部的LDAP、Microsoft AD，Radius等。2.2、用户接入内部网络之前必须接受整体的安全性策略检查： 用户在通过身份认证后，还必须通过NSNA接入管理交换机的安全性策略检查。检查的内容可用包括：l 客户端个人防火墙的检查l 客户端防病毒软件和病毒库版本检查l 操作系统版本及补丁检查l 注册表项目的检查l 特定文件的检查l 其他用户自定义检查内容只有那些完全符合安全性策略的用户才允许接入网络；那些不符合策略的用户将被分配到隔离的虚拟网中，从补救服务器上下载软件或补丁；达到策略规定的要求后才能准入网络。2.3、用户只能访问授权使用的资源： 用户在通过身份认证和安全性策略检查后，NSNA接入管理交换机配合楼层交换机的Vlan和ACL设置可用有效的控制用户能访问的资源。NSNA接入管理交换机会根据用户或者用户组的设置将交换机端口分配到指定的Vlan中，再通过Vlan的ACL来开放用户所需的资源，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。3北电安全网络接入解决方案的实施步骤第一步，制定统一的访问策略；第二步，对用户进行身份认证和设备健康评估；第三步，依据用户身份、角色、设备健康状况和安全策略遵循程度授予特定的网络访问权限；第四步，基于主机的方式进行持续的威胁分析；第五步，自动实施主机隔离并提供修复连接以便让用户可自行修复系统漏洞。四NSNA部署建议：北电安全网络接入解决方案NSNA在网络中部署的物理层次如下图所示，对于LAN环境下的NSNA部署，只需要在网络中心后台部署北电安全网络接入交换机SNAS4050作为统一的策略控制引擎即可，在用户前端，可以选择基于代理的方式或者无客户端的Java推送方式实现端点系统的安全检查。在用户投资许可的情况下,建议配置两台NSNA控制器(SNAS)实现冗余-分担五SNAS2.0新功能 ! 支持所有Nortel全系列以太网交换机 支持思科/惠普和其他第三方以太网交换机