宝界无线准入网关.ppt

宝界科技出品,宝界无线准入网关,国内最专业的准入厂家,宝界准入产品体系,宝界准入产品系列,实现接入准入智能交换机联动八大准入技术,关键应用准入上网行为管理网络流量控制,无线路由管理无线实名认证无线三层交换.,三大准入产品适应所有准入需求,目录,01,02,03,04,没有无线准入的安全隐患,私接路由器,私接无线路由器现有的无线路由使用共享简单密码，极易泄漏无法区分无线用户是外来访客还是内部员工访客可随意访问公司内部应用服务器难以保证无线接入用户是否安装杀毒软件无法对无线入网终端保留入网日志,危险!,围墙外非法无线接入用户,未经授权外来访客,内部员工游离在上网行为管理之外,没有无线准入的安全隐患,病毒木马,黑客攻击,恶意破坏,网速减慢,数据泄露,带来的问题,运维部门只能干着急!,开放式网络-网络准入控制,目前大多数企业构建的还是开放式的网络，虽然在互联网接入层部署了防火墙等安全防护设施，但从内网的接入层，却依然采用开放式的网络架构，这种开放性给企业业务开展确实能够带来便捷，但随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫、网络钓鱼以及黑客程序等等不断从内网带来威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问严重影响了企业IT基础设施的安全和稳定，因此必须构建新一代的内部网络安全防御体系，即网络准入控制系统。,信息安全相关法案、标准,目录,01,02,03,04,宝界无线准入网关,无线接入,无线安全,无线营销,产品部署拓朴-无线AP连接分散在多台交换机,Internet,宝界无线准入网关,员工VLAN接入终端,路由器,三层交换机,无线AP设置相同的SSID,无线路由关闭DHCP设置相同的SSID,无线VLAN,无线VLAN,应用服务器群,服务器,访客可以上网但不能访问内网关键服务器,外来访客分配隔离网段地址,内部员工分配内网工作地址,上网行为流量控制,DHCP服务实名认证终端准入,无线VLAN,员工VLAN,内网口,外网口,员工VLAN接入终端,产品部署拓朴-无线AP连接集中到一台交换机,Internet,宝界无线准入网关,内网有线接入终端,路由器,三层交换机,无线AP设置相同的SSID,应用服务器群,服务器,访客可以上网但不能访问内网关键服务器,外来访客分配隔离网段地址,内部员工分配内网工作地址,上网行为流量控制防火墙,DHCP服务实名认证终端准入,宝界无线准入网关部署说明,支持多种部署方式：路由网关模式、透明桥接模式、策略路由模式；无线准入网关有一个外网口，多个有独立的具备三层管理功能的内网口、支持连接三层交换机的TRUNK口，支持在各VLAN设置独立内网子接口，支持跨路由部署；所有的无线路由或AP转换成无线交换模式（不接WAN口）、设置成相同的SSID、并关闭DHCP服务；在各内网口对应网段启用双地址池的DHCP服务，为外来访客分配隔离网段DHCP地址，网关指向准入设备；为内部员工分配工作网段DHCP地址，网关指向三层交换机；可为内部员工分配固定的IP地址；在各网段，可根据管理要求决定是否启用实名认证服务；在各网段，可根据管理要求决定是否启用强制安装第三方安全软件；主动扫描接入内网的终端，建立内部可信终端的白名单列表，管理员可为不同的终端设置不同的安全策略；,宝界无线准入管理流程,你是谁？,合法终端,你安全吗？,单位内网,终端审计,检测终端是否安装第三方桌管、杀毒、加密软件，未安装禁止入网,安全检查,合法终端,非法终端拒绝入网,身份检查,接入请求,访客,员工,互联网,DHCP地址分配、员工访客访问权限不同,申请实名入网账号等待审核,员工,访客,宝界无线准入网关主要功能,强制安装第三方安全软件,网页方式的实名认证,智能流量控制,网络应用协议过滤,VPN远程访问,防火墙功能,日志分析系统,非法终端扫描、阻断、审计,全网DHCP服务,主要功能-针对无线网络提供DHCP准入,主要功能,在不同的网段可启用各自的DHCP服务；用户首次入网获取隔离网段的IP地址，经过网页实名认证后再获得工作网段的IP地址；可以与微软域管理或企业管理系统帐号无缝整合，共享登陆帐号库，实现统一身份认证；可为入网终端分配白名单节点中绑定的IP地址，方便管理；隔离网段与工作网段之间可自定义包过滤策略。,主要功能-DHCP服务二次分配地址,身份认证未通过前DHCP分配隔离网段IP,身份认证通过后DHCP分配内网指定节点IP,DHCP为终端分配固定的IP,主要功能,主要功能,日志对应到人：实名认证模块可实现即便是无线网络DHCP环境、IP地址不固定的情况，终端访问日志、流量日志也能对应到人；多因素的组合认证：可对实名用户定义有效期、限定MAC地址、及部门属性，可导入导出实名用户列表；灵活的实名登陆策略：支持自定义WEB认证网页；对特权主机可排除不做实名认证；对特定的应用服务器的访问可不做实名认证。,主要功能-实名认证,无客户端WEB方式身份认证,主要功能-实名认证帐号与域帐号集成,自动与域帐号同步,实名用户绑定MAC、限制入网时间,主要功能-实名认证-用户自注册及审核功能,主要功能-实名认证-证书方式认证过程,主要功能-强制安装桌面管理软件,主要功能,通过网页自动重定向，对不合规的终端，进行个性化的友好提示，发送执行合规管理的客户端软件，真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少网络维护人员的工作量，也极大减少用户的厌烦和抵触行为，有效保证网络版杀毒软件，或内网管理软件的全网布署。,主要功能-强制安装桌面管理软件,主要功能,1、可分网段分步实施应用准入控制；2、对特定的接入主机可不做应用准入控制；3、对特定的应用服务器的访问可不做应用准入控制；4、可定义终端入网后指定的时间段后再做应用准入控制；5、可定义终端准入控制检测周期时间；,主要功能-强制安装桌面管理软件,强制安装桌面管理软件或杀毒软件,通过循环扫描客户端端口判断是否安装安全客户端软件,主要功能-快速判断是否安装桌管客户端,直接读取内网桌面管理软件的数据库，判断是否已经安装桌管客户端,主要功能-非法终端扫描、阻断、审计,主要功能,快速发现终端信息采用SNMP、telnet、ARP监控和ARP扫描等技术快速发现接入内网的各类终端；自动检测终端信息自动收集各接入终端的IP地址、MAC地址、主机名、组名、网卡型号等信息实时检测IP地址使用情况实时监测固定IP地址和动态分配IP地址使用状态；快速定义白名单节点管理员可单个或批量的定义合法终端节点名单,主要功能-快速扫描各网段入网终端信息,快捷菜单,白名单,当前在线终端,包过滤安全策略,主要功能-多种快速发现入网主机的机制,实时监听入网终端的ARP数据包通过ARP主动扫描不同网段的终端信息通过SNMP或telnet读取三层交换机或路由器的IP/MAC列表通过SNMP读取接入交换机或路由器的MAC地址分布多种机制并用，保证快速发现非法终端入网行为,动态读取交换机、路由器IP/MAC列表,主要功能-主机白名单节点定义,自动收集IP、MAC、主机名、工作组名、手动指定准入起止时间，并根据此条件做接入控制,针对指定终端定义安全策略,要不要实名认证，要不要安装桌面管理软件或网络版杀毒软件,主要功能-SNMP协议自动收集PC接入交换机的端口,实时显示指定交换机所接入主机信息，并可自动/手动阻断端口通讯,图形化显示接入终端在那台交换机那个端口下，或内网指定的交换机下接了那些终端，用户可对交换机指定的端口做UP/DOWN的操作。,主要功能-主机类型扫描,自动判断终端类型：PC、路由器、交换机、防火墙、生产厂家,主要功能-IP地址管理,主要功能,固定IP，管理员统一分配IP地址在固定IP环境下，由管理员统一分配IP地址，管理员可实时查看网段内IP地址占用情况，为IP地址分配管理提供依据；动态IP，定位到人在动态IP环境下，可实时显示DHCP分配的IP地址对应终端的用户名称，方便管理员做内网行为审计；,主要功能-IP地址使用情况,显示IP地址使用分配列表，网络管理员，对空闲IP地址一目了然。,主要功能,主要功能,通过对上网终端的连接数及上网流量的智能管理解决非工作应用严重占用企业出口带宽问题客户端连接数控制；针对单个IP地址/IP地址段主机设置带宽；根据当前在线用户数量，智能动态分配各客户端的流量；当有多余带宽，允许突破限制，充分利用带宽；可指定应用协议数据流量不做流量控制；,主要功能-智能流控,主要功能-智能流控,单机策略,网络策略,地址段策略,网络内每单台PC终端的流量,网段内所有PC终端合计流量,更多带宽的值在外网出口中设置,主要功能,主要功能,通过对网络应用协议阻断、网址黑名单过滤等技术手段，减少终端用户在上班时间做与工作无关的事情。只有许可的QQ/MSN帐号才能在内网登陆；只有许可的邮件帐号才能在内网发送邮件；可禁止接入终端在BBS上发贴或上传文件；支持域名关键字黑白名单过滤；可限制P2P软件（BT、电驴等）数据流量；封堵游戏、远程控制软件、VOIP等非法软件；所有应用协议封堵均支持时间段，例外用户策略；支持封堵的应用协议自动升级。,主要功能-上网行为管理,主要功能,主要功能,简单易用的应用发布系统：针对不同VPN用户有不同的内部应用访问权限；VPN访问应用加速功能：通过内置的智能加速技术，大大提高ERP等大数据量应用的访问速度；线路自动跳转加速功能：可以智能选择电信、网通、铁通等线路，让电信用户访问电信线路，网通用户访问网通线路；多种身份认证方式：远程用户除可使用用户名、密码验证外，还支持用户名密码USBKey、用户名密码客户端PC硬件绑定、用户名密码数字证书等多种双因子认证方式，企业可根据不同用户角色来选择各种认证，多种组合可搭配选择，以此实现数据的安全访问；,主要功能,主要功能,图形化管理：操作界面充分利用面向对象的特性，使用户直接拖拽鼠标即可完成复杂的防火墙策略定制；多外网链路负载均衡：最高支持三条外网线路接入，智能实现带宽聚合、线路备份、负载均衡。支持电信、联通、教育网的智能策略路由，实现电信流量走电信、联通流量走联通，可免费升级智能路由策略库；灵活的应用发布：支持全地址映射功能；支持连续端口映射WEB跳转功能：根据网站访问者IP来源（电信、网通、铁通、移动教育）网关自动将其访问的域名跳转到对应域名；ARP病毒防御：可采用内网PPPoE拨号上网,彻底化解ARP欺骗；通过自动扫描IP/MAC列表，实现双向绑定，防范ARP病毒；可防御内网PC与网关IP地址冲突。,主要功能,主要功能,日志分析系统：实时显示外网线路总流量、上网流量的协议分布、网关的CPU内存占用、各接口地址状态、在线的实名用户名称、安全准入IP地址、ARP事件、SSLVPN在线用户列表、内网主机实时上下行流量。日志数据可直接存储到SQLSERVER/MYSQL数据库，方便与第三方系统联动；支持发送至第三方SYSLOG服务器。,主要功能-日志分析与审计,目录,01,02,03,04,产品优势,省钱,产品优势,多功能,防非法外联功能,兼容,可控,易操作,防非法外联功能,联动,产品优势-省钱,产品优势,使用价廉的家用无线路由器即实现无线覆盖；华为思科无线AP价格10003000元/个、DLINK、TP-LINK无线路由仅50元/个，可覆盖50100平方的空间无线准入网关不限制下接无线路由的数量,产品优势-兼容,产品优势,兼容所有厂家的无线路由器、无线AP；网络可以有多个厂家，多个型号路由器或AP;只需将所有无线路由改成相同的SSID，就可实现无线接入用户无缝自动切换无线接入点；对交换机功能要求低，无需支持策略路由、EOU、802.1X，非法终端访问阻断功能可在准入网关上实现；,产品优势-多功能,产品优势,同时具备应用准入和终端准入二方面的功能同时支持有线、无线二种环境的准入控制在无线准入基础上，对入网终端进一步实现上网行为管理及流量控制功能,产品优势-联动,产品优势,与杀毒软件联动：卡巴斯基、趋势、赛门铁克、瑞星、金山与内网桌面管理软件联动：360企业版、北信源、LANDESK与加密软件联动：所有加密软件,产品优势-安全,产品优势,针对无线接入用户的包过滤防火墙策略网址黑白名单过滤功能QQ号、MSN帐号、EMAIL账号管理无线准入网关具有三层交换的功能，可以对各VLAN网段主机做安全访问控制,产品优势-可控,产品优势,每个终端可与MAC地址、IP地址、主机名、组名、交换机、交换机端口号绑定可设置终端是否需要实名认证可设置终端是否需要安装第三方安全软件可针对实名用户做流量控制流量日志对应到人上网日志对应到人,产品优势-易操作,产品优势,中文图形化界面，操作使用简单，配置灵活方便快速。界面充分利用面向对象的特性，所有网络对象、服务对象、时间对象、时间对象都直接使用鼠标拖拽，来完成复杂的安全策略定义,产品优势-日志全面,产品优势,终端入网日志，在线主机、离线主机、限制主机终端上网日志全网IP地址使用状态终端交换机及端口分布终端入网实名日志终端安装第三方安全软件日志日志数据可直接存储到外置数据库，方便与第三方系统联动支持发送至第三方SYSLOG