收藏
下载资源

安奈特安全认证解决方案

上传人:kms****20 文档编号:46689337 上传时间:2018-06-27 格式:PDF 页数:11 大小:1.54MB
返回 下载 相关 举报
安奈特安全认证解决方案_第1页
第1页 / 共11页
安奈特安全认证解决方案_第2页
第2页 / 共11页
安奈特安全认证解决方案_第3页
第3页 / 共11页
安奈特安全认证解决方案_第4页
第4页 / 共11页
安奈特安全认证解决方案_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《安奈特安全认证解决方案》由会员分享,可在线阅读,更多相关《安奈特安全认证解决方案(11页珍藏版)》请在金锄头文库上搜索。

1、 安奈特安全认证解决方案安奈特安全认证解决方案 目 录 信息安全产品的市场背景.1 T我们面临的内部网络安全问题.1 安奈特的AT-ST系列硬件安全认证解决方案 .2 AT-ST成功案例.9 实现校园用户的统一管理.9 大型企业加强对内网的控制和管理.9 信息安全产品的市场背景信息安全产品的市场背景 大家可能还对 2001 年底美国安然公司的倒台和 2002 年 6 月 Worldcom 会计丑闻事件记忆犹。 .伴随着上市公司的一系列财务丑闻事件,资本市场开始面临在公众面前的严重的诚信危机,更引发了世界各国对公司治理模式的新一轮思考。 为改变这一局面,美国国会和政府立即公布了萨班斯法案 (Sa

2、rbanes-Oxley Act,简称 SOX法案) , 其目的是加强公司责任, 以保护公众公司投资者的利益免受公司高管及相关机构的侵害。 SOX法案明确规定,审计人员必须检查和证实一个公司的内部控制的有效性,这其中就包括信息系统。SOX 法案强调企业的信息技术策略和系统中的内部控制,即企业必须要严格地控制对内部信息的访问,并对网页、防火墙、笔记本电脑、数据再恢复、保密安全性及密码等进行必要的审计。 该法案的法律效力适用于在美国证券交易委员会注册的约 14000 家公司,其中包括大量非美国公司,例如中国移动、中国电信、中国联通、中石油、中石化、新浪、搜狐等都是它约束的对象。 继 2006 年上

3、交所和深交所相继发布上市公司内部控制指引后,正式的“中国版的萨班斯法案”企业内部控制基本规范也将于 2009 年 7 月 1 日起在上市公司范围内施行。同时,财政部还大力鼓励非上市的其他企业也执行此规范。 我们面临的内部网络安全问题我们面临的内部网络安全问题 长期以来,人们谈到网络安全时,目光都集中在外部病毒入侵、黑客攻击等问题上,但是常常忽略来自内网的威胁。从而导致常规的安全防御理念往往局限于网关级别、网络边界等方面的防御,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。但是,随着近年来由内网引发的安全事件越来越多,内网安全也逐渐成了大家关注的焦点。 目前大多数公司的状态是任何人一

4、经接入内部网络,即可以无限制地访问网络,对内部的数据第 1 页,共 11 页 Connecting The IP World也缺乏有效的防护,尤其在部署了无线局域网的情况下,则办公室以外的人都可能接入网络,如果无线局域网没有有效的安全措施,恶意的侵入者很容易突破进内网,窃取重要的信息。 如果不对内网安全加以严格控制,会导致什么问题呢?让我们举例说明如下: ? 任何人随意接入企业内部网络,信息不安全因素大增; ? 病毒感染率增多,网络瘫痪机率增加; ? 出现故障盘查难度大,解决问题时间长; ? 企业内部的保密资料有可能被窃取; ? 网络管理难度大,无法杜绝恶意破坏。 ? 随着大家对内网安全的越来

5、越重视,业界开始提出并实施各种各样的技术和方案,而安奈特的安全认证解决方案则是其中最有特色的一个。 安奈特的安奈特的AT-ST系列硬件安全认证解决方案系列硬件安全认证解决方案 安奈特的 AT-ST 系列是一款无需专业知识便可快捷地利用证书等方式来实现网络安全、可靠认证及通讯控制(IEEE 802.1x)的产品。通过它可以构成只有注册用户才能访问的网络环境,对于有线局域网和无线局域网的安全接入控制特别有效。 AT-ST 系列是集 CA 认证机构功能、EAP-RADIUS 功能、LDAP 服务器功能、简易 DHCP 服务器功能、SNMP 功能、NTP(Client)功能于一体的认证服务器设备,能够

6、与支持 IEEE802.1X 认证的无线 LAN 访问点或交换机等一起进行 EAP-RADIUS 认证,从而在网络的入口阻挡非法用户。 采用 AT-ST 系列,可是实现以下主要功能: 第 2 页,共 11 页 Connecting The IP World? 支持无线/有线局域网基于端口的各种登陆认证,防止非法入侵。 ? 私有数字证书的发放和失效管理。 ? 网络通讯加密。 ? 可根据客户所在区域进行分组,并分别设置访问权限。 ? 单独设立管理与认证的网络端口,杜绝了管理端口被盗用的危险。 ? 内建双服务器备份,备份设置简便,系统具有极高的稳定性。 ? 其他丰富的网络管理功能。 AT-ST 系列

7、的基本功能包括 RADIUS 服务器、组策略设定、电子证书等等。 RADIUS服务器服务器 对于有线 LAN,通常都存在着很大的安全问题。 任何人都可能通过一个端口连接到网络中,而不是只有拥有合法权限的用户才能连接到网络,无权限或非法用户不能接入。在许多情况下,即使是合法用户,也应当根据每个用户的不同身份/权限进行必要的身份认证来使用网络。 AT-ST 与启用了 IEEE802.1x 的设备配合,用户连接网络时需要进行身份认证以防止欺诈和入第 3 页,共 11 页 Connecting The IP World侵。只有成功通过认证的用户/设备才能被允许接入网络,并根据所分配的权限被动态地归入相

8、应的VLAN,连接到相应的区域网络资源。 AT-ST 系列可对所有网络接入进行集中认证,包括有线、无线、外网接入等等,我们都可以将其进行接入控制,并对该用户进行授权,而该用户则可以获得相应的权限去访问对应的资源,从而保障了内网信息的安全。 组策略设定组策略设定 AT-ST 系列可以通过访问者的身份和所在的位置等设定组策略 ,从而保证网络的安全。 以下是一个应用案例。 通过使用支持 VLAN 分配功能的IEEE802.1X 交换机或无线访问点,AT-ST 系列可以在连接用户认证以后,对该用户所连接的端口进行 VLAN 的切换。 第 4 页,共 11 页 Connecting The IP Wor

9、ld以让他顺利地处理故障,也从内部避免了信息泄露等安全事件的发生,从而保障了内网的安全。 EST VLAN,只能访问互联网而不能访问内网资源,这样既方便了来宾使用,又保障了内网安全。 电子证书电子证书图中给出了一个案例,当业务部的员工接入到无线 AP 中时,首先无线 AP 会向 AT-ST 进行认证数据的中转,当认证成功后,该员工被分配到业务部的 VLAN 中,获取他应有的权限(比如访问业务部服务器等) , 而技术部的员工接入时, 同样需要认证, 完成认证后被分配到技术部的 VLAN 中,获取他应有的权限。而当业务部的员工电脑出现故障,技术部的人员移动到业务部进行故障处理的时候,AT-ST 可

10、以仍然将他分配到技术部的 VLAN 中,按照预先设定的权限对他进行资源访问的控制,这样就可我们也可以在交换机上设定一个不需要认证的 Guest VLAN,该 VLAN 只有有限的权限,比如只能访问互联网等。当有客人来到业务部需要连接网络的时候,会自动进入 GU。网络管理人员不需要专业知识,通过两步操作就可以发行用户证书,也可以发行服务器证书。 (EAP-TLS) 、在 VPN中的 TLS 认证、SSL Web 证书、E-Mail 签名、加密(S/MIME)等等。 问题。利用发布的证书作为用户认证的凭证,还解决了传统的用户名和密码易破解和泄露的弊端。 AT-ST 系列内置了电子证书功能,并提供简

11、单易用的电子证书管理,这是 AT-ST 系列独具特色的功能,可以将内网安全的级别提高到金融机构的水平通过一张电子证书,可以实现所需要的全部功能,包括 IEEE802.1X 认证凡需要接入网络的用户必须通过由 AT-ST 颁发的数字证书的认证,有效地防止非法用户的接入造成数据的泄密和网络的不安全。 还可限制网络中通过同一端口下联HUB多台PC同时接入的第 5 页,共 11 页 Connecting The IP World另外 CA 客户端证书可以存放在 USB TOKEN 中随身携带。USB TOKEN 连接到电脑的时候,其存放的证书信息会自动注册到 Windows 系统中。在将 USB TO

12、KEN 拔离电脑的时候,注册的证书信息会自动清除,防止用户不在电脑旁边时,其他的人通过该电脑中的证书信息登录到网络中。 些证书进行 VPN 网关间或者 VPN 网关VPN 客户端间的相互认证,可以实现安全的远程访问。 无线无线AP支持支持使用 AT-ST 的 CA 认证机关功能,可以给 VPN 网关发放服务器证书,给 VPN 客户端 PC 发放客户端证书。使用这02.1X 的无线访问点组合后,可以达到支持 IEEE802.1X 的无线 LAN 客户端的认证服务器功能。 进行 MAC 地址认证后,可以进行基于 EAP-TLS 的认证,能够加大与强化无线网络的安全机制。 PKI加强安全加强安全在无

13、线网络应用中添加 AT-ST 设备,可以将它与支持 IEEE8通过使用 EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP 等认证,并用可靠的客户端进行认证,通过该设备中 WEP 键的动态变更,来防止固定 WEP 容易因泄漏而导致的不安全网络使用。同时还支持 MAC 地址认证。通过此功能种公钥密码,用于消除可能的安全威胁。PKI 使用一种机制来消除类似于下列情况的安全威胁: 1. 一般用户通过“欺骗(Spoof) ”窃取重要的信息或发动攻击。 2. 电子邮件帐户的内容、信用卡号和其它敏感数据可能被盗等。 高可靠的冗余架构高可靠的冗余架构PKI(Public Key Inf

14、rastructure)是一在一般的网络环境中,倘若 IEEE 802.1x 认证服务器故障,那么通过它接入网络的用户都可能无法正常工作,会导致非常严重的后果。AT-ST 系列可以提供双机冗余配置,可为大规模网络提供第 6 页,共 11 页 Connecting The IP World高度可靠的认证系统。两台设备可以采用主备方式工作于不同地点,所有管理和配置信息都自动同步更新,一旦主用设备发生故障,备用设备可以立即接管所有工作,大大提高了网络认证服务的可靠性。主用和备用设备可以通过 TCP/IP 实现以下各种信息的同步: 更改/删除 ? NAS 客户端的添加/删除 ? 用户信息的添加/更改/删除? 用户证书的发行/失效 ? 服务器证书的发行/失效 ? 用户组信息的添加/更改/删除 ? NAS 组信息的添加/更改/删除 ? RADIUS 配置文件的添加/简洁强大的管理功能简洁强大的管理功能 观,易于配置。而且初始配置向导可以引导用户设置直到成功完成,防止误操作或遗漏配置项。 AT-ST 系列采用基于 WE

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号