《捍卫者终端准入控制系统》由会员分享,可在线阅读,更多相关《捍卫者终端准入控制系统(9页珍藏版)》请在金锄头文库上搜索。
1、捍卫者终端准入控制系统 当前内网安全现状提升网络工作效率,增加网络投资收益根据中国社会科学院社会发展研究中心 2010 年中国 5 城市互联网使用状况及影响调查报告的结果显示,被访网民使用最多的网络资源是网络新闻(65.9%) ,而真正用于学习和工作的比例还不到 30%。怎样提升工作绩效呢?机密信息外泄,组织蒙受损失组织内部重要资料和秘密资料通过网络的 Web、Email、QQ 和MSN 等途径向外散发,或被别有用心的人截获而加以利用,或是进行不当互联网访问而引起组织内部计算机感染木马病毒,加大了组织重要及秘密信息的曝光率,给组织信息安全带来隐患,怎样规避呢?滥用带宽资源,影响正常办公业务当前
2、的互联网存在种类众多的应用,组织成员在使用互联网时更多的是进行娱乐活动,如网络电视、P2P 下载等;诸如此类的使用会严重消耗组织的网络带宽,正常业务通讯得不到保障,只能通过增加办公成本来增加带宽,怎样在现有的网速和带宽下改善网络办公条件呢?禁止网络非法行为,但是 IT 制度无法推行有很多这样的企业,明文规定上班时间不能玩游戏,不能看网络视频,不能使用 QQ 私人聊天等网络管理制度,也明文规定如果发现将怎样处理。这样的制度怎样才能推行呢? 不当网络行为,潜藏法律风险,满足国家 82 号令调查发现,在日常互联网的使用中,存在以下较为普遍的现象:黄赌毒,不当言论的发表,员工黑客的存在,这些都会给组织
3、带来新的法律风险。我国公安部门严格查禁利用互联网发表反动言论、色情、反政府、邪教等非法活动。产品介绍A内网准入捍卫者内网准入系统,主要功能是通过软件方式设置可信网络,该可信网络内部互信计算机间可以正常相互访问,非法计算机未经授权不能接入可信网络。可信网络内部终端也不能非法外联非可信网络,通过本系统可以低成本实现内外网软件隔离和终端信息安全防护,对于已经实施内外网物理隔离单位还可以作为终端信息防护的解决方案,防止终端因为非法接入、外联导致泄密。捍卫者准入控制系统的基本原理如下:1) 接入终端经认证服务器统一认证,方可接入内网,如下图示:多台主机多台便携电脑服务器便携电脑准许接入网络 , 列入白名
4、单准许接入网络 , 列入白名单拒绝接入 , 列入黑名单2)认证数据存在客户端和认证服务器,进行实时同步更新;3)非法客户端连接合法终端,系统会进行审核,发现不在白名单中或列入黑名单,进行屏蔽,并记录访问日志,从而达到事前控制,事后审计的管理要求;4)当开启阻止模式时,安装捍卫者软件的计算机依旧正常通信,形成合法内网,可以相互访问;没有安装捍卫者软件的计算机不能和他们进行正常连接,不能互相通信;如果某台没有安装软件的计算机需要进入捍卫者软件形成的“内网” ,那么将这台计算机的 IP 地址或者 MAC 地址加入到例外中就可以实现其相互通信。 (如下图所示);5)当开启非阻模式时,安装软件的计算机之
5、间可以互相连接,互相通信;没有安装软件的计算机和他们也可以互相连接互相通信;如果要让某台计算机和已经安装软件的计算机相互隔离,不能访问,那么就将这台计算机的 IP 地址或者 MAC 地址添加到例外中,这样就可以实现相互阻断,但是这台计算机和未安装软件的计算机还是相通的。 (如下图所示) 。6)通过软件可以对计算机的 IP 和 MAC 进行绑定。B外网准入(上网行为管理)智能追溯系统防火墙策略,过滤策略,数据丢包策略可以追溯流量限制策略,流量优先级策略,并发连接数策略,网络访问速度慢可以追溯内网性能,internet 性能、应用服务器性能,网络故障、网络性能可以追溯系统性能,终端违规准入策略等,
6、一切可以追溯管控机密文件及信息的外发管控员工通过邮件客户端、WEB 邮件、加密邮件客户端与 WEB 加密邮件的外发。管控员工通过即时通讯工具 QQ、MSN/Skype、阿里旺旺向外发送敏感信息,机密文件。禁止 PC 客户端 U 盘、光驱将机密信息复制带走。禁止网络硬盘、云盘上传文档,网盘加密。非法外联风险告警并进行管控。终端可信管控 PC 客户端仅允许可以信任的应用软件与程序,未知的、来源不明的程序禁止运行。检测注册表键值的篡改、内网用户的文件变化【文件新建、复制、移动、修改】 ,并进行审计与管控。检测不满足预设安全策略的内网用户将不允许访问互联网,仅能访问隔离区域,从而提升整个内网的可靠性和
7、可用性。异常流量的清洗与安全风险的规避内置 12000 多种异常流量威胁数据库,清洗异常流量。深入检测网页内脚本、控件,钓鱼,防范木马与病毒携带。内置防毒墙,检测 HTTP、FTP、POP3、SMTP、IMAP 协议的病毒携带,并查杀。上网行为审计更深,更广。【加密的】WebMail、加密的邮件客户端进行审计,包括发件人/收件人、主题/正文、附件。对 QQ、MSN 、Skype、飞信、YAHOO 通等加密即时通讯工具的聊天内容、群聊内容、文件传输内容进行审计。对网络游戏账号与使用时长进行详细的审计,并关联到用户到网游账号。对炒股软件账号与使用时长进行详细的审计,并关联到用户到炒股软件账号。迅雷
8、 P2P 文件下载的深度审计,HTTPS 证书的授信审计。更深入细粒度的行为分析对即时通讯账号、邮件发件人、论坛、HTTP 协议的应用层进行细粒度免监控。支持数千多种应用层协议,上千种智能手机应用,精确控制 95%的网络流量。客户端桌面应用行为分析,使用 office、上网流量,桌面游戏等行为分析。更深层次的分析报告根据网络应用分析,分类绩效流量与非绩效流量,定制绩效报告。定制上班时间,详细分类上班时间绩效,定制上班时间内的网络绩效。支持 256 种报表模板,包括网管报告,支持无限自定义报告。部署方式部署方式 -硬件部署互 联 网防火墙核 心 交 换 器捍卫者准入控制器交 换 机 交 换 机数
9、据中心服务器 文件服务器E m a il 服务器 打印服务器O A 服务器无 线 网 络 设 备未通过认证的终端阻 断 未 通 过认 证 的 终 端接 入产品选型主要规格 W600NM W800NM W1000NM W1200NM W1500NM W2000NM W3000NM端口 RJ45 4*1G 4*1G 4*1G 4*1G 6*1G 6*1G 4*1G扩展光口 - - - 2*SFP 2*SFP 2*SFP 4*SFP并发连接数 100,000 200,000 500,000 1000,000 1500,000 2500,000 5000,000新建会话/S 10,000 15,000 30,000 50,000 100,000 250,000 500,000吞吐量 800Mbps 900Mbps 1.5Gbps 1.8Mbps 2Gbps 2.7Gbps 3.5GbpsL7 流量 50M 100M 200M 500M 1Gbps 2Gbps 3Gbps用户数 100 200 500 1000 1500 2500 4000转发时延 0.1ms 0.1ms 0.1ms 0.1ms 0.1ms 0.1ms 0.1ms外观 1U 1U 1U 1U 2U 2U 2U
