《宝界准入系列产品解决方案集2015》由会员分享,可在线阅读,更多相关《宝界准入系列产品解决方案集2015(53页珍藏版)》请在金锄头文库上搜索。
1、,宝界科技出品,宝界准入系列解决方案集,网络安全产品,目录页,第一类,第二类,第三类,第四类,应用准入系列解决方案,终端准入系列解决方案,无线准入系列解决方案,防私接路由随身WIFI解决方案,方案目录,第一类,与360企业版结合解决方案,与内网桌面管理软件结合方案,上网实名认证解决方案,应用准入解决方案,应用准入,第一类,上网行为管理解决方案,防火墙解决方案,关键应用实名访问控制解决方案,应用准入解决方案,应用准入,网络准入控制重新崛起,在2014年,NAC又回来了,而且势头很猛。根据企业战略集团(ESG)最近发布的一份网络安全报告,40%的机构在企业内大范围的强制实施NAC,还有44%的企业
2、也部署了NAC,只是范围较小。 报告显示,使用NAC的机构其主要原因在于: 43%可以降低IT风险; 42%移动设备和BYOD自带设备策略使用的增加 42%用户移动需求和远程访问企业内网需求的增加 38%无线网络使用的增加 38%合规管理的需要,准入市场,市场调查,应用准入,三大流派,交换机厂家:思科、华为、锐捷,内网桌面管理厂家:北信源、金盾、联软、盈高,不同类型的厂家实现准入的思路不同,发展方向:准入系统结合有桌管功能的杀毒软件,杀毒软件厂家:赛门铁克、趋势、微软,应用准入,应用准入网关简介,案例,【应用准入网关】,宝界应用准入网关从内部终端访问互联网或企业关键应用的权限控制入手,结合网络
3、版杀毒软件、内网桌面管理软件、非法外联客户端,通过终端实名认证、聊天工具帐号/邮件发送帐号审计、BBS发贴控制、智能网络流量控制、网络应用协议过滤、URL网址过滤、IPSEC/SSL VPN远程接入认证、防火墙策略等安全措施,对接入网络的终端按需实施灵活的安全策略,并严格控制内网用户的网络使用行为,解决终端的随意接入、内部资源滥用或误用、经营数据泄漏,以及病毒泛滥等安全问题。,与360企业版结合解决方案,1、企业需要对员工进行上网管理、流量控制、应用P2P协议控制; 2、普通的上网行为管理产品对终端控制力度比较弱,无法禁止单机版游戏、股票软件; 3、由于没有统一安装网络版杀毒软件,公司内网病毒
4、肆意传播; 4、UTM设备造成上网速度降低,并且可杀的病毒种类有限; 5、网络管理需要以下的功能:漏洞修复、病毒木马查杀、插件清理、系统危险 项、远程协助、内网通讯、软件分发、软硬件资产管理、U盘管理、禁用光驱、1394、蓝牙、串口、并口、PCMCIA卡等,上网行为管理产品不能完全满足用户的需求;,应用准入,企业上网管理碰到的问题,通过在核心交换机与路由器之间部署一台宝界应用准入网关,从内部终端访问互联网或企业关键应用的权限控制入手,对终端进行强制安装360网络版客户端、实名认证、聊天工具帐号/邮件发送帐号审计、BBS发贴控制、智能网络流量控制、网络应用协议过滤、URL网址过滤、防火墙策略等安
5、全措施严格控制内网用户的上网行为,从边界安全和终端安全二方面实现企业网络管理需求。,应用准入,与360企业版结合解决方案,360解决方案网络拓扑图,应用准入, 宝界应用准入网关对指定的内网网段启用准入功能,对某些特权主机可排除在准入之外。 电脑连入内网,打开浏览器访问应用服务器群的应用时,如果接入电脑未安装网络版防病毒客户端,网页会跳转至客户端对应的下载界面,要求安装。 当用户下载并安装完防病毒网络版客户端后,访问网页不再跳转,并正常显示。网络管理员可通过防病毒网络版控制中心,对内网接入主机,进行集中的安全策略定制。 应用准入系统可以在全网范围内强制360客户端的安装,解决了少数主机不安装36
6、0客户端,或恶意卸载,或重安装系统带来的客户端丢失。确保了终端主机全部启用360防病毒。,与360企业版结合解决方案,强制安装360企业版客户端,与桌管软件、加密软件结合解决方案,1、桌管软件实施周期长,实施成本高,内部员工反感被监控,不让安装; 2、员工重装系统,或恶意删除桌管软件,逃避监控,管理员束手无策; 3、桌管软件无法做全局的流量控制策略,只对对单机做流控; 4、桌管软件无法对网络应用协议(P2P、QQ)做过滤;5、加密软件无法实现对服务器访问权限的控制; 6、在访问共享文件服务器前,引导安装加密软件客户端; 7、对于远程办公用户,如何使用文件服务上的加密的文件;8、无论是桌管软件还
7、是加密软件,对用户来说是一张光盘,需要硬件配合销售;,应用准入,需求分析,应用准入,与桌管软件、加密软件结合解决方案,解决方案网络拓扑图,应用准入,1、强制安装加密客户端由于所有内网主机要访问关键服务器或上外网,流量都要从应用准入网关经过,因而准入网关会分析加密客户端与服务端的通讯是不是正常,没有安装的,会弹出网页提示安装。否则该主机是不能访问关键服务器或上外网。2、对关键服务器的基于MAC地址访问控制对关键服务器的访问,可以对终端主机的MAC做安全策略,符合要求的MAC才能放行。3、对关键服务器的实名认证对关键服务器的访问,可以对终端主机进行实名认证,只有实名认证通过才能访问。4、SSL V
8、PN远程加密访问服务器 外网用户要访问只能通过SSL VPN,有用户名口令,或加USB-KEY等,才能加密访问服务器,对外不开放常用端口。,与桌管软件、加密软件结合解决方案,结合功能点,应用准入,上网实名认证解决方案,某市教育局要求下级各区中小学上网必须做实名认证,无论是有线网络,还是无线网络,均要保留六十天上网日志,并且日志对应到人。,某大型企业希望规范员工上网权限,部分人员可以上网,针对地实名做流量限制;对外来访客上网做申请审核。,政府用户(外来访客)、酒店用户、公共场所(与手机号或房号进行绑定),也有实名认证的需求!,网监部门要求特定的网络必须保留六十天的访问日志,3,4,5,2,6,1
9、,支持专用客户端认证,web认证两种认证方式。,支持二层MACIP认证功能,即无须用户名和密码;支持一个用户名与三个MAC地址绑定;支持一个用户名在二台终端上登陆。,基于用户的带宽控制功能(精确到KB),不改变网结构,透明桥接或策略路由方式部署,支持BYPASS。,支持DHCP动态获取地址环境。,支持用户自主申请上网账号,支持管理员、部门管理员、EMAIL审核功能。,应用准入,上网实名认证解决方案,应用准入,上网行为管理解决方案,案例,【上网行为管理需求】,全面管理用户网络行为,提高员工工作效率实时查看、分析用户网络行为,通盘掌握网络使用情况;通过对网游、聊天、视频、炒股等与工作无关的互联网应
10、用加以识别并封堵,提升员工工作效 率,保障有效业务应用;对于炒股、聊天等有大量群众基础的应用,可以通过限制用户使用时长、时段的方式,减轻用户的抵触情绪,体现人性化管理思路。合理分配带宽资源、提高网络服务质量清晰呈现当前网络流量信息图表、实时掌握网络的资源占用情况准确了解带宽占用较大的用户和应用;对各类带宽资源占用大的P2P下载和多媒体应用进行精确识别,并限制其对带宽的滥用;保障关键业务数据传输质量不受其它无关应用的干扰;同部门用户根据当前在线用户数量平均分配带宽资源,避免部门带宽资源被个别用户独占。,应用准入,上网行为管理解决方案,案例,【上网行为管理需求】,网络管理对应到人员工上网可实名认证
11、,系统提供上网用户完整的上网行为日志、包括身份、上网时间、IP、行为、访问站点等详细信息;管理者可以根据实名日志轻松了解是谁、在什么时间、做了什么?进一步针对不同的人做不同的安全策略。网络管理从边界延伸至终端管理者如果需要进一步对内网主机进行监控,如:内网终端的屏幕录像;QQ、MSN聊天记录、收发邮件记录,或禁止客户端运行某些应用程序、实现软硬件资产管理、系统补丁分发等功能,宝界安全准入模块可与多款桌面管理产品结合,将管理 延伸至终端。,X86架构、POWER PC架构、NP架构 、从低端到高端平台均支持,所有的网络对象、服务对象、时间对象、VPN用户对象都可直接使用鼠标拖拽,来完成复杂的安全
12、策略定义。,多核高性能网络架构,应用准入,防火墙解决方案,面象对象安全策略管理,支持多链路负载均衡,最高支持三条外网线路接入,智能实现带宽聚合、线路备份、负载均衡;支持电信、联通、教育网的智能策略路由,实现电信流量走电信、联通流量走联通,可免费升级智能路由策略库;,WEB跳转功能,根据网站访问者IP来源(电信、网通、铁通、移动教育)网关自动将其访问的域名跳转到对应域名;,应用准入,关键应用实名访问控制解决方案,1,2,大部分企业内部网络,员工的PC与服务器之间是没有做安全过滤与防护的。对与未授权的用户或外来人员,只要电脑连上内网网线,即可随意访问企业关键的应用服务器。,应用场景,企业信息化、电
13、子政务、电子教务核心是应用服务器,它包括ERP服务器、财务服务器等,它们是否能安全稳定的运行关系到企业的生产与运行,3,4,目前大部分用户环境,对核心应用服务器访问的日志未做实名化记录,一旦出现安全事件,无据可查。,病毒的传播往往来自不受控的PC,例如不安装杀毒软件的员工PC,或外来人员的PC,对于核心应用服务器病毒防护,是网络管理重要工作之一。,实名用户验证通过后,可以访问其允许访问的一些内网应用。管理员可以发布企业内部的应用,并将实名用户按角色定义其访问权限,不同权限的用户可以访问不同的应用。 ”,应用准入,关键应用实名访问控制解决方案,用户帐号与证书,特征码等绑定,用户帐号对应能访问的指
14、定应用,应用准入,关键应用实名访问控制解决方案,实名用户验证通过后,只能访问其权限许可的内网服务器应用,第二类,动态分配IP地址环境准入解决方案,内网固定IP地址环境准入解决方案,终端准入结合360、北信源解决方案,终端准入解决方案,终端准入,第二类,终端准入实名认证解决方案,ARP病毒防御解决方案,终端准入解决方案,终端准入,案例,【终端准入控制系统】,宝界终端准入控制系统融合了DHCP准入、EOU准入、VMPS准入、IPAM准入、802.1X准入、SNMP准入等多种准入技术,针对不同的内网网段(VLAN)可灵活地采用不同的准入机制。它实现了对内部网络的人、终端、IP、设备的统一规范管理,实
15、现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求。同时,它也有效地解决了目前各大企事业单位普遍存在的非法接入、网络边界不完整、IP地址不能统一管控、入网不能实名等一系列的问题。,终端准入简介,终端准入,终端准入应用场景,1、在外网出口已经部署了较多的安全设备(防火墙、IPS、行为管理、流控),但在内网接入层,依然采用开放式的网络结构,任何人都可以随意进出,不受安全检查和限制。 2、对内部主机已经实行内外网物理隔离,但仍然有工作人员将内外网网线互插,使隔离措施失效。 3、国家等级保护条例对“边界完整性检查”有相关要求。 4、需要实现终端准入,但必需是旁路部署,并且不得安装客户
16、端。,1、医院需要做等保三级评定,等保标准中有对“边界完整性检查”要求。 2、某妇幼保健医院,因非法接入笔记本,利用网上邻居共享文件,盗取病人名单病例,造成恶劣的社会影响 3、防止外来电脑终端非法接入网络; 4、限制不符合安全管理规范的内部电脑终端入网; 5、内外网的物理隔离,能够禁止内网计算机访问互联网,杜绝了外网所带来的安全隐患; 6、对终端IP地址进行集中分配,防止私设IP地址; 7、内网关键服务器或设备在线、离线监控。,政务内网,终端准入,医疗机构,终端准入应用场景,1、公司管理层担心关键技术图纸及内部文档通过网络外泄; 2、内网的主机的网线插到外网网络,也上不了外网 ; 3、外来人员,只能上网,不能访问公司其他的电脑,无论是服务器,还是PC; 4、外来人员进入网络,需要网管授权才可入网,就算是插了网线,也进不了网络; 5、内部员工不允许乱改IP地址 。 6、所有内部安全管理系统(加密软件,内网桌面管理),必须是建立在内网终端准入基础之上,内网终端没有实现准入,其他系统上了,也是不安全的;,
