ClearPass技术交流

,ClearPass技术交流,Peoplemove.Networksmustfollow.,网络接入需求在企业环境的发展趋势,TheiPad地震,80millioniPadusersworldwide,Source:iPadforBusinessSurvey2012;IDC,终端结构的裂变,30年来第一次少于50%的终端是基于Windows/Intel,100%财富500强已经认可iOSiPad销售:年增长111%(2012年第一季度已销售伍百四万个IPAD),*AppleQ1Results,IT的大众消费化,By:DimensionalResearch2011,中国客户调研,78.9%允许员工自带设备57.8%允许外来访客入网58.2%认为安全是最大的挑战43.4%希望网络便于维护管理,企业网络接入需求的变化趋势,终端类型接入方式用户身份,BYOD2011,ANYDEVICE,ANYNETWORK,BYOD2012+,Employee,iOS,EVERYONE,VPN,BYOD带来的企业接入新挑战,ANYNETWORK,BYOD2012+,VPN,iOSAndroidUltrabooks,ANYUSER,如何才能持续保护企业网络和用户终端安全？,如何才能使员工和访客接入拥有更加可靠和直观的体验？,如何才能减少IT和帮助台人员的工作负担？,ARUBA帮助您开启BYOD网络服务,ClearPass提供用户帐号的管理、以及基于用户身份、终端类型和接入位置的识别和策略分发MobilityController配合各种类型的“瘦”接入点对用户流量进行策略控制AirWave实现网络和用户历史信息的统计和追踪,新型移动企业架构,AirWaveNetworkManagement,数据中心,MobilityController,+,各种类型的“瘦”接入点,WIRELESS,WIRED,VPN,REMOTEOFFICE,OUTDOOR,各种终端设备,ClearPassAccessManagement,+,ARUBAClearPass方案介绍,ClearPassPolicyManager:中心化的身份认证和策略决策另外提供以下功能组件：ClearPassOnboard:访客和员工移动终端的自助配置和部署ClearPassProfile:多因素终端识别，提供策略决策的依据ClearPassOnGuard:终端设备的健康性检查和自动修复ClearPassGuest:访客接入的帐号自助注册和集中管理ClearPassQuickConnect:基于云端的802.1X快速部署服务,ArubaClearPass产品简介,实现企业BYOD的开放式架构,ClearPass实现移动终端的安全接入,自动化的员工终端部署（Onboarding）,1.,访问终端部署页面,接入网络,2.,VPN,ClearPass策略服务器,1,配置终端的802.1X、VPN和e-mail参数，并部署终端证书或密钥,ClearPassQuickConnect简化802.1X部署,ClearPassQuickConnect简化802.1X部署,自动化的访客终端部署（Onboarding）,1.,3.,接入网络,2.,联系人对访客帐号进行确认,ClearPass策略服务器,访客帐号通过web、email或短信进行分发,填写访客信息,新来访客,联系人,ClearPass访客管理（Guest）,Centos5.5LinuxOS2.6.18kernelFreeRadiusFast,featurerichandscalablePostgreSQLDatabaseANSI-SQL:2008ApacheWebserverRunsover100millionwebsites54%ofinternetwebsites(Feb2010),ClearPassGuest部署架构,ClearPassGuest,基于Role的访客管理员权限,基于Role的访客管理员权限每个访客管理员具有各自的管理界面每个访客管理员只能访问各自的页面和表单每个访客管理员只能创建和查看各自指定的访客帐号,访客帐号管理集中管理模式,访客帐号管理自助注册模式,访客帐号创建可以与访客手机帐号绑定支持联系人email确认机制支持LDAP预认证机制访客帐号的分发Web页面Email发送打印访客凭条手机短信发送,定制个性化企业风格页面,基于访客信息的智能广告服务,广告媒体格式：文字图片(jpg,png,gif)Flash文件(swf)在线视频SMS/MMS,广告投放算法：固定投放轮流投放加权投放智能分析,多厂商无线网络设备整合,终端接入的策略决策,允许员工个人终端访问受限的网络资源,BYODPolicy,为企业高级经理人员提供更高的优先级,ExecutiveClassPolicy,实现协同办公系统（Lync）的服务质量优化,MultimediaPolicy,阻止非授权的用户接入,UnauthorizedUsePolicy,撤销丢失终端的接入授权,DeviceRevocationPolicy,隔离并修复不符合企业安全准则的终端设备,DeviceQuarantinePolicy,2,ClearPass终端识别（Profiling）,ClearPassPolicyManager5.1自动识别所有终端设备智能手机,平板电脑,打印机,笔记本电脑实施基于终端类别的精细策略仪表盘实时显示终端分类统计,终端设备的精确分类5级终端分类,数据采集器,企业基础设施,ClearPass策略服务器,移动控制器,网络安全准入控制（OnGuard）,收集终端设备信息检测终端是否健康,在网络中实施差异化策略,任何网络,ClearPass策略服务器负责终端策略决策,终端策略实施,Permit,Deny,Whitelist,Blacklist,Redirect,NAT,BandwidthMgmt,OptimizeMultimedia,ARUBA提供更加优化的策略实施能力,3,无线用户的关联历史审计,用户,时间,IP地址,位置,Bingo!,导出关联记录,4,简化移动终端设备的部署的连接,ARUBAClearPass的价值,重新获得对网络安全的控制能力,在多样化的企业网络中启用BYOD,案例介绍沙特石油公司,解决方案作为Radius服务器提供802.1X认证服务未授权用户和非健康终端控制器BYOD终端自助注册和部署服务ClearPassPolicyManager,OnGuard和QuickConnect,选择ARUBA的原因支持多厂商网络设备和多终端终端操作系统支持服务器N+1集群和扩展完整的AAA,NAC和策略管理功能快速的802.1X终端自助部署能力,项目背景在3年内增长到18,5000个终端设备网络设备:Aruba,HP,Juniper,HP,Alcatel-Lucent,Cisco,AD,案例介绍国内某证券公司,用户需求将用户区分为临时访客、长期访客和内部员工认证和接入控制机制：临时访客：WebPortal认证长期访客：802.1X认证+网络安全准入内部员工：802.1X认证+结合企业AD要求采用自助注册和部署机制统一Portal引导页面系统部署ARUBA无线控制器+802.11n无线接入点ARUBAClearPassPolicyManager+Guest+OnGuard+QuickConnect,案例介绍国内某证券公司（ARUBA实现方式）,Guest,临时访客,联系人,注册审核,长期访客,内部员工,Dot1X,ClearPassGuest,ClearPass策略服务器,ActiveDirectory,企业网,互联网,unhealthy,healthy,连云港用户测试案例介绍,用户需求,在客户侧实现外网（chinanet）和内网无线覆盖；在客户的无线覆盖区域，只允许特定客户可以使用无线网络；客户在登录外网或内网是均采用“一次一密”；由于某公司主要用电信的天翼手机，密码的获取方式采用手机获取；在客户侧接入的客户分为三类：一、只能上外网，二、只能上内网，三、既能上内网，又能上外网。,网络拓扑结构,客户自助注册的实现方式,手机号码查询,ARUBA控制器,ClearPassGuest,ActiveDirectory,基于内容的策略控制,ARUBA实现方案的特点,基于手机号码预检测的一次一密实现帐号与SSID和位置的绑定支持web、手机短信等多种帐