安易达NACS-产品解决方案-2

上海金杵信息技术有限公司安易达NACS产品解决方案——网络准入控制系统2024年1月1日目录一、前言 41.1导读 41.2网络准入控制系统的必要性 41.2.1网络管理层面临的困扰 41.2.2网络准入控制指的是什么 5二、 工程背景 62.1客户当前网络情况 62.2当前面临的困扰 6三、 解决方案 73.1产品架构 73.1.1终端准入标准 73.1.2终端平安检测 83.1.3终端平安检测报告 93.2产品部署 103.2.1认证过程 123.2.2平安检查过程 123.2.3终端接入和安检告警 133.2.4客户端交互 14四、产品功能 144.1认证方式 144.2接入控制 164.3策略内容 164.3.1时间维度策略 164.3.2绑定模式 174.3.3终端平安检查 184.4隔离与修复 194.1.1终端隔离 194.1.2提示与修复 194.1.3日志与告警 204.1.4安检报告 20五、产品特色 215.2双机热备 215.3认证缓冲 215.4灵巧部署 215.5兼容性 215.6公共管理平台 225.7专业的标准库 225.8智能化修复 225.9更新及时 22六、公司简介 23七、客户案例 23一、前言1.1导读互联随着当前计算机应用在企业内部的普遍化和多样化，互联网从最初单纯地为国防、科研、教育所用的计算机网络演变成现在的为众多的企事业单位、政府机关、学校和个人所离不开的全球网络。人们在网络上的应用从最初的发送文本电子邮件、浏览静态信息网页，开展到现在的即时交流、音频视频通讯、了解世界动态及进行电子商务等多种现实应用。仅在中国，每年在互联网上发生的电子商务交易额就超过万亿元人民币。网的持续开展缩短了人与人、企业与顾客之间的距离，不仅改变了人们的交流方式和工作习惯，也改变了企事业的经营及管理模式。互联网在提高单位的竞争力、沟通力、适应力的同时，随之也次生了许多不稳定的因素，而这些因素很大一局部都并非来自外网，而是来自我们内网终端。现今，网关平安设备已经在企业局域网中广泛部署，外网的平安因素已经被很好地控制，这使我们把平安意识的焦点转移到内网终端上来。像萨班斯法案就对维护网络信息的平安性、保密性和完整性提出了相关要求，而要到达这些要求，对终端的有效管理是解决问题的根本之道。能否有一套完整的管理方案可同时解决终端的可用性、平安性和高效率呢？针对这些实际的网络平安管理需求，上海金杵信息技术有限公司自主研发了安易达NACS网络准入控制系统。1.2网络准入控制系统的必要性1.2.1网络管理层面临的困扰现在很多网络管理员对如何控制网络终端设备始终感到头疼与无奈，因为当前内网中的终端设备数量大、分布范围大、使用员工的素质也参差不齐，而且终端设备接入的环境也非常复杂，这些种种因素让网络终端的管理问题日渐凸现：目前我们公司网络里到底有多少个终端在使用？如何将非法的终端隔离出我们的网络？如何将那些对公司网络平安存在威胁的应用和进程在入网之前给停掉？如何定位事发的终端是哪个员工在使用？如何知道接入公司网络的终端是否是平安的？公司管理层开始把网络平安工作的重点从传统的网关部署转移到终端部署管理上来。根据权威统计调查得知，有八成以上的网络平安事故是来自公司的内网，而事发根源正是来自公司的内网终端。1.2.2网络准入控制指的是什么网络准入控制包含了对内网终端的身份、平安、权限、实时防御和在线审计等的控制。从目前的开展情况来看，这个概念将会衍生出更多的管理范畴，目前一些厂商开发的产品只能实现桌面控制和解决终端身份问题，缺乏一套连贯的终端准入控制方案。因此，我们要从网络准入控制的实际情况出发，研发出一套切合实际网络管理需求的网络准入控制产品。实际网络管理中我们需要这样一套方案：它能够有效地和网络设备联动，它能够全面实现终端身份、平安、权限、实时防御、在线审计等的控制，它并能够支持局域网、广域网、无线、VPN等多种方式接入。以此为产品研发方向，经过资深研发人员的不懈努力，上海金杵信息技术有限公司的安易达NACS网络准入控制系统正是这样一款满足实际网络管理需求的产品。安易达除了具有易用性、复杂环境灵巧部署、人性化管理、终端补丁管理、防病毒管理、非法软件控制、防ARP攻击、身份识别、实时防御、实时审计等优势功能外，安易达还具有双机热备、兼容第三方管理系统，更好的满足不同行业客户的实际网络管理需求。工程背景2.1客户当前网络情况XX市地税局当前拥有三个网络出口，分别为政府专用网、科技网、联通。办公人员通过政府网与下辖个区域之间的分支机构进行通讯，科技网络里主要为门户网站、报税系统等面外的业务系统，联通为内部人员日常使用网络。2.2当前面临的困扰在科技网里业务效劳器的种类不断的增加，随之曾加了很多潜在的平安隐患：业务效劳器的第三方维护人员、开发人员频繁的接入网络，不能将其身份进行统计，无法判断网络使用者是哪位；他们携带的电脑是否是平安的。在办公的政府网，有些人员浏览一些不平安的网络资源，造成办公专用的PC中毒等；还有些未知身份的非法接入终端，不能够及时进行管理。办公用的PC使用者不固定，不能及时将使用者的身份确定下来，造成管理上的困难。在两个网络里，不能保障所有终端当前的平安状态：防火墙、杀毒软件等平安措施是否是启用状态，所装的平安软件是否是最新的病毒库，操作系统的补丁是否已经是最新的。有没有非法的进程在运行等等。解决方案面对以上的困扰，我们要考虑到，传统的网关平安设备已经不能够将源发于内网的平安隐患进行很好的处理，目前急迫的需要一个内网及网络边界平安的网络设备来帮我们解决这一头疼的问题。金杵信息技术有限公司所研发的安易达网络平安准入控制系统可以在这个问题上帮我们很好的进行有效处理：使用入网身份识别的手段，将未知身份的终端踢出网络之外。进行人机绑定的方式，实现到一人一机的有效定位手段。针对人员变动比较大的终端，我方建议使用USB-KEY、和证书认证的手段进行认证。定期对网络里面的终端进行平安检查，以到达内网终端的漏洞补丁能够得到及时的修复和升级。3.1产品架构安易达NACS网络准入控制系统主要由终端准入标准、终端平安检测和终端平安检测报告构成。3.1.1终端准入标准安易达NACS准入控制系统主要是针对外来终端〔第三方开发、维护人员、外来宾客〕、没有装管理系统终端程序的终端、以及不符合管理策略的终端进行策略阻断，经网络管理人员审查允许后才能接入公司网络。3.1.2终端平安检测安易达NACS对接入网络的终端进行平安检测，管理人员事先制定好平安管理策略，对不符合公司网络管理标准的终端进行隔离，将其隔离至修复区，并利用多种方式〔桌面窗口、短信、邮件等手段〕告知此终端使用者，要求其根据既定的平安管理策略进行修复，修复完成并符合管理标准后，方可允许其进入公司的正常网络环境。3.1.3终端平安检测报告安易达NACS为管理员提供了全面完善的统计报告，对公司网络的终端接入情况进行分析，形成完整的网络平安审查汇报机制。3.2产品部署由于客户当前网络是两个物理分开的网络，又想将俩个网络同时控制起来。我方建议使用旁路接入方式，并采用安易达独有的多链路接入的双击热备手段接入用户当前网络。安易达NACS可将用户网络划分为3个区域：办公区、访客区、隔离修复区。办公区：正常的办公网路，用户通过身份认证和平安检查后即可进入该网络。访客区：公司访客的终端以及公司内未通过身份检查的终端进入该网络区域，该网络与办公区网络是隔离的。隔离修复区：通过身份认证但是没有通过平安检查的终端进入该网络，在这个网络区域内终端可以完成安检并修复。3.2.1认证过程3.2.2平安检查过程利用技术手段对接入公司网络的终端强制进行平安检查，建立网络准入与平安检查的互动机制，对不符合公司既定网络平安策略的终端进行隔离，并且提示和要求其进行各项平安修复。3.2.3终端接入和安检告警安易达NACS能把新接入网络的终端、新接入网络的交换机、待审核的终端以及网络中的异常情况及时告知管理员，告警形式包括控制台、邮件、手机短信等。系统还支持系统外告警，并能对各种告警的优先级进行划分。3.2.4客户端交互安易达NACS支持管理员通过控制台对所有终端群发消息，并且系统的强制下线功能可以对某终端实施强制断线处理。四、产品功能4.1认证方式为了在不同网络环境下都保证同样的平安强度、都实现产品的易用性，安易达NACS支持如下身份识别技术：用户名与密码：系统支持内建的用户信息、支持LDAP用户、AD域用户集成认证。主机认证模式：系统的专有客户端能够生成某一主机的唯一身份识别信息，同一终端的不同用户使用这一身份识别信息进行认证。简化了不用用户的参与操作。USB-Key：身份及其凭据信息保存在USB设备中，用户在认证时插入USB设备就可完成认证，系统还能与用户名密码认证方式相结合使用，提高平安强度。证书：身份和凭据信息保存在证书文件中，据此证书即可通过认证入网。4.2接入控制安易达NACS网络准入控制系统，为不同组织单元的终端定义不同的接入控制策略，组内的用户或者计算机继承上级组的策略，大大简化了策略的定义和部署。同时，安易达也可以为个别用户或者计算机定义独立的网络接入策略，以满足实际网络管理中的的灵巧性要求，个人策略的权限高于组织权限。4.3策略内容4.3.1时间维度策略账户有效期：账户只有在有效期内才能使用。认证时段限制：在允许的时段内才能进行认证。认证的有效期：控制每次认证后的有效时间，有效时间过后要求再次进行认证。4.3.2绑定模式用户绑定到终端：限制用户登陆的终端，当一对一绑定时，可以将用户绑定在固定的终端上。用户绑定到接入点：限制用户可以登陆的接入层设备。终端绑定到接入点：限定终端可以访问的接入点范围，限制终端对重点交换机等接入点的登陆。终端自学习绑定：启动绑定策略时，系统自动将终端首次登陆的接入点及端口作为该终端的默认登陆绑定点4.3.3终端平安检查操作系统：操作系统的类型、版本、语言、补丁包的最低版本以保证终端操作系统的合规。补丁安装检查：对指定的补丁进行安装状态检查。防病毒部署检查：对防病毒软件的厂商、版本、特别是病毒特征文件的时效性进行检查，以确保终端计算机时刻都受到企业防病毒系统的保护。自定义软件检查：对企业内规定安装的软件状态进行检查。关键位置文件检查：对规定位置文件的存在性、版本、大小进行检查。外接设备使用平安：对移动存储设备自动播放设置进行检查，阻止恶意软件通过移动存储设备进行传播。屏幕保护设置检查：保证使用者离开座位时其终端不被其他人滥用，检查屏幕保护的启用状态、密码保护、空闲触发时限。支持注册表检查：检查注册表关键值是否存在，自定义注册表特征检查。支持网络配置检查：地址的获取方式、域名欺骗的检查、网络共享配置的检查。4.4隔离与修复4.1.1终端隔离终端用户的平安检查未通过时，终端计算机将进入隔离区进行相关不合规工程的修复，由于配置环境的差异，隔离区的实际效果会有所不同。在系统原有隔离区的根底上，又在终端上增加了终端网络访问控制，实现了与硬件配置无关的软隔离。4.1.2提示与修复对终端设备的检查并不是最终目标，要使接入的终端设备最终通过平安策略的各项检查，系统会指导和帮助用户和管理员来一起完成。同时，还可以和网络中的其他产品进行联动以提高自动化程度。4.1.3日志与告警用户的每次网络接入认证、平安检查，系统都会有详细的日志记录；管理员对系统的所有管理操作也都会有详细的日志记录；对日志的管理是分权的，只有日志审计员才能进行日志的删除操作。4.1.4安检报告系统能够为管理者提供公司网络平安状态的各种统计分析，以直观的图文报表反映网络平安状况。五、产品特色5.1稳定性安易达NACS是用Linux源代码开发的一套操作系统平台，保障了系统运行的稳定性与可靠性，减少潜在的系统平安漏洞。5.2双机热备安易达NACS能够采用双机热备的方式来维持系统的不间断运行。5.3认证缓冲安易达NACS与第三方认证系统同时使用时，为了提高效率与稳定性，系统会对认证的信息进行缓冲；当外部认证系统不能用时，认证仍然可以正常运行。5.4灵巧部署安易达NACS为了应对复杂多变的网络环境，可以根据用户不同的网络环境采用灵巧的部署方案，减少了产品部署的工作量，也防止了后期由于网络变更升级而引起的麻烦。5.5兼容性安易达NACS为了最大限度的保护用户现有资源，系统在设计初期就考虑了对环境的适应性，兼容各厂家网络设备，实现多种入网认证方式的融合。兼容传统的802.1x认证体系，支持PORTAL、DHCP，支持动态VLAN,以及强制认证；支持Internet、Wireless和远程VPN网络的接入；支持复杂的网络拓扑结构。5.6公共管理平台安易达NACS独有的公共管理平台，可以将其他系统的管理迁移到此公共平台上进行统一管理，减少了管理员因多个系统不断切换登录的困扰。5.7专业的标准库安易达NACS已经广泛应用于政府、金融、教育、卫生、电力、运营商、制造业等众多行业，对各行业的网络准入管理策略有深刻的了解，建立了每行业特有的入网管理策略供管理员参考使用。5.8智能化修复安易达NACS具有智能化修复功能，