LANDesk终端安全准入方案

《LANDesk终端安全准入方案》由会员分享，可在线阅读，更多相关《LANDesk终端安全准入方案（51页珍藏版）》请在金锄头文库上搜索。

1、蓝代斯克（北京)信息技术有限公司,LANDesk 终端安全准入服务,透明网络的安全隐患,透明网络,安全隐患,没有安全准入产品的网络威胁,报告及仪表盘,根源在哪里？,外来电脑的随意接入,隐患!,没有安全准入产品的网络威胁,无线手持设备的随意接入,危险!,带来的后果？,没有安全准入产品的网络威胁,非法交换机、非法无线HUB、网络打印机的非法接入等 高风险!,如何来解决？,没有安全准入产品的网络威胁,泛滥网络访问 运维部门只能干着急!,网络威胁带来的问题,病毒 木马,黑客攻击,恶意 破坏,网速减慢,数据泄露,带来的问题,等等问题,怎么解决这些问题,杜绝一切非法接入,安全检查未达标，进行隔离修复，只要

2、入网就必须合规。,LANDesk终端安全准入解决方案,安全准入 来解决问题,概述,目前大多数企业构建的还是开放式的网络，虽然在互联网接入层部署了防火墙等安全防护设施，但从内网的接入层，却依然采用开放式的网络架构，这种开放性给企业业务开展确实能够带来便捷，但随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫、网络钓鱼以及黑客程序等等不断从内网带来威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问严重影响了企业IT基础设施的安全和稳定，因此必须构建新一代的内部网络安全防御体系，即网络准入控制系统。,信息安全相关法案、标准,LANDesk,主动评估 安全接入

3、,产品型号,LAS100 小型网络,LAS500 中型网络,LAS1000 大型网络,定制机型 特大型网络,LANDesk终端安全准入产品三大功能,LAS产品功能特性,LANDesk终端安全准入产品实现流程,凭证,规则,放行,原则,Security,准备 接入的终端计算机（身份凭证）,满足 准则（安全规则）,允许 准入（安全接入）用户网络,LANDesk终端安全准入产品控制流程,LAS准入控制的流程图,合法用户,你是谁？,你符合 要求吗？,企业网路资源,合格用户,LANDesk终端安全准入产品实名认证,有外来电脑接入到内网吗？,谁接入的？,这些电脑安全吗？,从哪里接入？,LANDesk终端安全

4、准入产品典型部署图,WAP,Notebook,受保护的 工作网络,来宾访客区,Switch,Hub,Patch Server App Server Virus Server,PC,Printer,Route/Switch Processor,PC,Guest或非法计算机,工作计算机并通过安全评估,工作计算机未通过安全评估,修复服务器,HA,用户身份识别 完美支持与AD、LDAP 无缝整合 支持内建用户（支持用户批量导入导出） 兼容微软802.1认证。 支持被动式无客户端方式认证。 支持主动式客户端认证 主机身份识别 支持主动式客户端认证 采用主机识别码方式认证（比单纯MAC模式更加安全可靠）,

5、LANDesk认证方式,802.1X认证,LANDesk认证方式,802.1X首先是一个认证协议它的最终目的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。,802.1X 认证原理,LANDesk认证方式,DHCP认证（portal认证）,用户身份识别 支持无客户端通过IE友好界面进行实名认证入网 完美支持与AD、LDAP 用户信息导入 支持内建用户（支持用户批

6、量导入导出） 采用旁路部署，不改变企业现有网络环境，实施简单。,LANDesk认证方式,DHCP 认证原理,LANDesk认证方式,企业内部终端审批为合法例外。 新进入终端默认必须认证，审批授权后才能入网。 一键式开关控制，操作简单便捷。,终端强制认证,LANDesk认证方式,终端强制 认证原理,LANDesk分层防护,1、链路层防护: 802.1x协议,2、协议层防护： ARP协议 HTTP协议 DHCP动态主机设置协议,3、应用层防护： DNS域名解析服务,认证方式,支持多方式灵活的认证机制 支持被动式无客户户端方式认证 支持主动式客户端认证 支持密码、终端多因素认证 支持用户身份访问认证

7、方式 支持基于主机接入时间限制，管理授权用户接入使用时间 支持主机身份的访问认证方式，按照主机或设备的硬件ID进行认证 支持 802.1x、DHCP、VPN、HUB、无线等网络接入访问管理 多样化的用户认证方式，完美支持与AD、LDAP 整合，支持内建用户 支持基于用户身份接入点限制，管理者授权用户或终端只能在某接入点进行认证 支持多物理网络隔离认证，互不影响，节约设备投入 支持瘦客户机环境认证,2、为什么要对内部计算机做健康性安全检查,如今由于企业在网络出口处都已经安装配置了防火墙和IPS入侵检测等产品，对网络起到一定的保护作用，网络的边界的安全威胁也迅速缩小。但经过权威部分调查分析，大多数

8、的网络安全隐患和威胁，都是出自于内部计算机和员工本身的问题。原因就是内部每台计算机的使用环境复杂，不能形成一定的标准化，如：补丁漏洞的更新参差不齐，防病毒软件安装升级的不统一，U盘的随意使用，用户密码设置的过于简单，随便更改和配置网络IP地址造成网络重名等等，一但有一台电脑出现了问题和漏洞，那么日益增多的病毒、木马、蠕虫以及黑客等就会趁机威胁和入侵企业内部网络资源。因此需要构建新一代的网络准入控制系统持续监视网络状态，快速发现网络接入设备和计算机终端，并利用其独特的健康性检查技术对计算机终端或用户进行安全评估检查，如计算机终端或用户未通过健康性安全检查不符合管理员的要求，立即将这个设备与网络上

9、的其它设备隔离起来，同时依照安全策略条件引导计算机修复安全漏洞和弱点，满足管理员设定的安全条件后访问合法的网络资源。,计算机健康安全检查意义,1、经过权威部分调查分析，大多数的网络安全隐患和威胁，都是出自于内部计算机和员工本身的问题，原因就是内部每台计算机的使用环境复杂，不能形成一定的标准化。 2、终端计算机安全的标准化，减少管理员的运维量和终端计算机的故障，提高工作效率。 3、计算机终端或用户未通过健康性安全检查，立即将这个设备隔离起来，同时依照安全策略条件引导计算机修复安全漏洞和弱点，满足管理员设定的安全条件后访问合法的网络资源。,LANDesk安全检查项目,多达50几项安全检查和修复行为

10、， 提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性 操作系统检查，OS 版本，SP 版本 补丁检查，检查补丁完整性 防病毒检查，检查防病毒的更新情况 自定义软件，检查用户指定软件的存在，可联动防病毒软件或防火墙 关键位置文件检查，检查指定位置文件存在性 外设使用安全 用户密码强度检查，检查认证用户的密码合规性 支持主机系统屏保检查，帮组用户开启屏幕保护 支持注册表检查，检查注册表关键值是否存在 支持网络配置检查 更多,网络安全风险评估,主动安全风险评估是网络访问控制系统的另一特点，根据积极主动的安全防御建设思想，加强企业网络安全进行风险评估就显得尤为重要。能够帮助管理者实现企业网络

11、总体安全风险评估、部门安全风险评估以及指定计算机终端安全风险评估，从而促使企业不断提高内部网络信息安全管理水平。,风险报告,LANDesk终端安全准入产品优势特性,LANDesk安全准入,产品特性,LANDesk终端安全准入产品特性,借助于创多B/S构架技术，整个系统的管理和设置全部基于Web方式，只要有浏览器的地方就可以直接管理，监控整个网络的接入行为和安全评估报告，真正现实走到那里管到那里。,人性化的控制页面,LANDesk终端安全准入产品特性,严格灵活的接入安全控制,支持多种认证方式，802.1X、portal、网关、AD结合、强制认证、多网络隔离认证等等，可根据企业网络情况灵活应用，不

12、改变网络架构，部署简单，支持无客户端的认证方式，对复杂网络环境支持度高。,LANDesk终端安全准入产品特性,丰富可定制安全检查,可对计算机进行安全检查，未通过检查的计算机进行隔离修复，修复成功才能入网，杜绝薄弱口的安全隐患状况扩散到整体网络，多达50几项安全检查和修复行为并提供不断更新的安全检查引擎和规则库升级，具有较好的扩展性，真正实现企业网络安全的标准化。,LANDesk终端安全准入产品特性,强大的接入预警监控信息,非法用户接入预警 非法终端接入预警 非法时间接入预警 非法地点接入预警 网络安全检查预警 等等.,LANDesk终端安全准入产品特性,丰富的网络安全评估报告,各种网络安全状况

13、的年报、季报、月报、周报、日报,企业管理员通常对企业终端整体安全状况了解不多，不能全方位的了解终端安全的薄弱点，LAS提供详细终端安全评估报告，管理员可以快速的定位安全隐患，迅速解决问题,LANDesk终端安全准入产品特性,强大的扩展联动功能,LAS可通过扩充模块的方式加载我们其他产品功能，如终端运维、安全审计等产品，给用户提供更多的安全管理功能和增值服务。,LANDesk终端安全准入产品特性,多种逃生方案快速恢复网络,采用硬件Linux架构嵌入式操作系统提高了系统处理突发事件的应急能力和速度,LAS提供多种逃生方案，支持双机热备、主副服务器、后台数据共享和多级级联管理模式。,LANDesk终

14、端安全准入产品特性,LANDesk终端安全准入采用旁路侦听技术，所以并不影响整个网络的效率，也不需要对现有网络进行特殊的改造。,不影响 原有网络效率,LANDesk终端安全准入产品特性,LANDesk终端安全准入可完美支持企业域用户导入，对域用户登录账户进行信息安全审计，使访问得到全面的监控和记录。,完美的支持 企业域用户,LANDesk终端安全准入产品特性,可以按个人、部门和公司多个层次设定管理控制规则，并可以把多项不同类型的规则组合成一个策略赋予某人或某部门，极大地方便管理规则的设定和维护。,多层次管理 和策略控制,LANDesk终端安全准入产品优势,LANDesk安全准入,产品优势,产品

15、优势,不改变现有网络拓扑，部署实施简单灵活，支持旁路、网关多种部署方式,1,支持复杂型网络环境认证，如：瘦客户机、VPN、物理隔离网络等环境,2,支持多种设备的网络接入HUB、DHCP、VPN、Wireless,3,支持多种策略设定方式Time、Port、HD、ID、Token,4,产品优势,丰富的系统规则库，不断更新的知识库系统,5,支持多种逃生方式，HA、主副服务器、级联、数据共享等,6,支持接入终端系统安全评估与引导修复， Security Evsluation、Repairing,7,支持对用户网络进行安全域划分，Security Aare,8,产品优势,支持多种认证绑定功能，用户、终端、交换机、时间等,9,提供多种接入预警功能，时间、地点、用户、交换机,10,集审核、评估、标准化一体的三维防护,11,支持无客户端的认证方式，部署更加方便灵活,12,LANDesk准入给用户带来的收益,满足IT内控、GB、ISO等法案法规合规性 要求 保障网络数据安全 构建安全堡垒，增强信息安全管理 规范约束外来人员，防范外来风险 减轻IT管理压力，标准化管理，规范制度 可控管理，违规不入网，入网必合规,这才是您的需要,LANDesk终端安全准入,LANDesk终端安全准入,真正现实企业网络安全,标准化,“违规不入网，入网必合规”,LANDesk终端管理部分案例,51,