《ACK—实名制网络接入控制(NAC)解决方案PPT课件.ppt》由会员分享,可在线阅读,更多相关《ACK—实名制网络接入控制(NAC)解决方案PPT课件.ppt(20页珍藏版)》请在金锄头文库上搜索。
1、实名制接入控制方案 可编辑 需求分析 网络安全 要求接入控制CTG MBOSS 要求建立MPLS VPN的MSS BSS OSS安全域及子安全域安全域的划分 访问授权策略非常复杂要求可以按部门 按接入方式 按访问的安全域 按访问源定义访问策略 可编辑 接入管理和控制 因缺乏对内部人员和厂家人员接入办公网络进行维护 操作的安全管控措施 会引发了安全事件 需实施网络接入管控等技术手段 可编辑 目前网络接入的两种方案 代表厂家 Cisco 华为厂家目的 希望用户淘汰老旧设备 更新新的交换机 带来问题 不支持老旧设备要求安装客户端 因为建立在802 1x基础上 不同厂家的客户端和交换机兼容性不好 1
2、交换机厂家方案 可编辑 目前网络接入的两种方案 代表厂家 Symantec厂家目的 希望用户购置新的软件 带来问题 每台设备必须购置 安装客户端要求改变网络结构 加装在线设备对未装客户端的设备无法进行接入控制 2 PC软件厂家解决方案 可编辑 新的接入方案 实名制接入方案 代表厂家 ACK公司厂家目的 不卖交换机 不卖客户端软件 只卖接入设备带来优点 老旧交换机 Hub和各厂家802 1x交换机都支持 不更换设备 不用安装客户端不改变网络结构DHCP情况下 还能查找IP的使用者 实现内网实名制 实名接入方案 可编辑 统一网络接入设备的管理 1 明确网络接入设备 可编辑 统一网络接入设备的管理
3、端口IP MAC绑定法802 1x接入控制实名制接入控制桌面 终端软件 接入控制固定IP最好采取IP集中管理 中心配发 2 选择接入控制方法 可编辑 几种接入控制方法的比较 可编辑 统一网络接入设备的管理 3 建立网络保护区 可编辑 统一用户终端的管理 4 按人 按终端进行接入管理 确定身份 区分部门 明确级别 可编辑 实名网址的管理 5 按部门细分安全子网 内网 可编辑 实名网址的管理 6 通过隔离区 按人建立安全子网 李四 访客 小王 学生 小杨 隔离区进行认证 销售网 访客网 财务办公网 可编辑 lihongmei 用户登录过程和信息及时通知 隔离区 秘书 小李 内网 老总办公网 可编辑
4、 固定IP 集中管理 中心下发内外网物理隔离后的防护内外网逻辑隔离接入双因素认证即可按人 也可按终端控制接入实名网络审计彻底解决网络堵塞信息及时通 实名接入控制的优点 可编辑 固定IP的探讨固定IP 终端自设IP 固定IP 不可中心下发 固定IP 不能按人下发 只有固定IP 才能按人管控 终端自设IP的问题私改IP 误改IP 无法上网终端自设IP 网络阻塞维护成本高 浪费人力无法支持移动办公解决方法采用实名中心IP配发 关于固定IP的探讨 可编辑 内外网隔离后的防护 外网 外网 外网 内网 内网 内网 防止误接交换机 将内外网互联防止内外网终端设备内外网错误接入 X X 可编辑 两种内外网隔离方法比较 可编辑 满足等保要求 谢谢各位专家
