网络准入、准入控制系统解决方案.doc

捍卫者内网准入控制系统内网安全的一个理念就是，要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成，当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端，建立一个可控的内网，至少需要完成以下基本问题的处理：一、 非法接入内网问题 公司内网连接着众多的服务器和终端，运行着OA、财务、ERP等众多系统和数据库，未通过认证的终端如果随意接入内网，将使这些服务器、系统和重要数据面临被攻击和窃取的危险。二、 非法外联问题 通常情况下，内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性，对于保密网络，甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网，使内网与外网间开出新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，造成泄密事件，甚至利用该机作为跳板，攻击、传染内网的重要服务器，导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。三、 使用者上网行为问题 很多公司员工经常使用QQ、MSN之类的进行聊天，使用迅雷之类的软件P2P下载，或上网观看视频，会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖，可能发表非法或恶意信息，使公司受到相关部门的处罚或名誉受损等。 基于安全准入技术的入网规范管理产品 基于非法外联接入的入网规范管理系统 基于可信域认证的内网管理系统 计算机终端接入内外网的身份认证系统 软件及硬件单独或相互联动的多重管理方式产品功能l 可信域终端接入管理l 未通过认证终端接入访问受限l 支持USB KEY作为可信凭据l 完整的准入审计记录l 可与AD域服务器或LDAP服务器相结合认证l 黑白名单两种方式进行终端访问管理l 支持级联模式部署名称内网准入控制管理系统上网行为管理系统桌面安全管理系统入侵防御系统防火墙概述为解决内网中，各种类型的设备入网身份认证、安全状态检测、修复而建设的系统平台。入网规范管理系统提供了一整套覆盖全网端点的安全管理平台，从设备入网、安全检查、隔离、修复等整个周期进行安全管理。上网行为管理系统主要是为了增加企业员工的工作效率，功能主要为网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等。为解决桌面安全管理而设立的一套软件系统（硬件很少）。桌面安全管理功能点很多，主要从资产管理、软件和补丁分发、应用软件管理、网络行为管理、行为审计等多个功能模块组成。网络入侵防御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。防火墙英文名称为FireWall，是指位于计算机和它所连接的网络之间的硬件或软件，也可以位于两个或多个网络之间，比如局域网和互联网之间，网络之间的所有数据流都经过防火墙。通过防火墙可以对网络之间的通讯进行扫描，关闭不安全的端口，阻止外来的DoS攻击，封锁特洛伊木马等，以保证网络和计算机的安全。定位随着政策法规的要求，以及内网中各种安全事件的不断增加，在政府、电力、金融、电信及大型企事业单位日益成为迫切建设平台。基本上是面向于小型企业提高效率所选择的。不在安全防范考虑之内。作为终端安全管理的重要手段之一，桌面安全管理已越来越重要，但由于研发门槛不高，导致产品品牌众多，产品质量良莠不齐，因此，选择一款真正稳定、可靠的产品是最重要的。已成为网络安全建设的重要组成部分，在政府及高端行业以成为普遍配备的系统。作为网络安全建设的重要组成部分防火墙系统是必须要建设的。然而防火墙只能解决网关级的特定需求，网络安全建设决不仅仅是买几台防火墙。功能解决内外网层面上，所有入网设备的身份认证，安全状态的检查、隔离，以及不安全设备的修复等功能。从而达到最高的安全防护等级。有的上网行为涵盖了一些安全防护，诸如端口管理，外网检测，但是由于其主要功能还是为了提高效率，所以这些功能基本上无法达到很好的效果。基本上跟桌面相关的功能，都可以归入该系统，由此带来另一个问题，即功能很难达到精细、专业的标准。重点实现内外网交换数据上的入侵为检测、防护，提供应用层的防护，以及对于内容级的管理，如阻断间谍软件、木马、P2P下载等重点解决内外网交换数据上的端口控制、访问控制等功能，实现如：地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、VPN接入等功能趋势随着等保、SOX法案及内网安全管理需求的日益提升，网络安全准入控制系统已成为网络安全建设的重要组成部分，且为内网安全系统建设最为迫切的要求。中小企业效率管理需求性高，但在信息安全方面和其他几款