詳細信息
當前位置:   首頁 > 應用安全
終端準入控制系統
更新時間:2015-04-03 09:58:04

終端準入控制系統簡介

        隨著信息技術快速發展,內部網絡的規模越來越大,雖然已經在互聯網出口部署了防火墻、IPS、行為管理等安全防護設備,但在內網接入層,依然采用開放式的網絡結構??攀酵纈倘縉笠得揮忻盼酪謊?,任何人都可以采用非常簡單的攻擊手段便可竊取、篡改重要的業務數據,并且一旦發生信息安全事件,難以追蹤審計。
  
   終端準入控制系統融合了DHCP準入、IPAM準入、802.1X準入、SNMP準入等多種準入技術,針對不同的內網網段(VLAN)可靈活地采用不同的準入機制。它實現了對內部網絡的人、終端、IP、設備的統一規范管理,實現了我國信息系統等級?;ぶ卸醞綾囈綾;?、訪問控制、身份認證等的要求。同時,它也有效地解決了目前各大企事業單位普遍存在的非法外聯、網絡邊界不完整、IP地址不能統一管控、入網不能實名等一系列的問題。




產品功能

全網準入

用戶價值:在不改變現有網絡架構基礎上,以無客戶端的形式實現內網終端強制身份認證。
免客戶端實名認證

 Web界面強制認證,兼容任何終端類型(PC、筆記本、智能手機)和操作系統(WINDOWS、LINX、NIX

 可以與AD/企業管理系統帳號無縫整合
可以與AD域或企業內部管理系統共享登陸帳號庫,實現統一身份認證。

 兼容現有網絡,支持各種設備和方法的準入控制

 支持現有各種網絡設備(802.1X交換機、可網管交換機、普通交換機、無線路由)的接入控制。支持802.1x接入控制、DHCP接入控制和SNMP接入控制。

 支持對非法接入終端直接關閉其連接的交換機端口。

不改變網絡結構的準入控制
旁路部署,可跨VLAN、跨路由部署與管理。

動態的“網絡隔離”

用戶價值:根據用戶帳號,按人、按部門劃分虛擬子網或VLAN,控制用戶訪問權限。
兼容802.1x和非802.1x網絡

在普通二層交換機環境,將不同的終端按部門劃入不同“虛擬子網”。

支持CISCO VMPS 服務,動態設置接入終端的VLAN,

訪客自動進入隔離VLAN。

支持SNMP掃描與SNMP TRAP服務,動態設置接入終端的VLAN,訪客自動進入隔離VLAN。

支持移動辦公

當終端和人員變動辦公位置后,依然可以被置于相同的虛擬子網或VLAN。

 按人、按部門劃分“虛擬子網”

動態地按人、按部門、分配IP,IP網段及VLAN,并可設置“虛擬子網”之間的訪問控制策略。

支持針對不同終端個性化設置:一個MAC地址對應多個IP、入網時間段、是否需要實名認證、是否需要安裝桌面軟件。

IP集中管控、日志到人

 用戶價值:監控由DHCP分配的IP地址所在交換機端口位置,便于對網絡審計進行追蹤管理

     固定IP,中心下發,統一管理

對固定IP實行中心下發的管理方式,可以防止用戶私改IP私設IP。

     動態IP,定位到人

 在動態IP環境下,可隨時定位到人。對每個人不同時間獲得的IP進行審計。

     定位終端接入網絡的物理位置
圖形化顯示交換機所有端口使用狀況,如:有無終端通信、端口下接幾個終端、各自的IP地址/MAC/用戶帳號等

定位IP接入網絡的交換機及端口。

     系統日志支持第三方數據庫

    可將系統日志直接轉儲到第三方數據庫中,支持微軟SQLSERVER、MYSQL、POSTGRESQL、ORACLE。支持標準的SYSLOG日志服務器。支持聲音報警、郵件報警。

 員工 / 訪客區別對待 用戶價值:為訪客提供不受物理位置限制、不影響內網安全的接入機制
隨時隨地登錄

 外來訪客或臨時工作者不受物理位置的限制,可以從任意端口接入來賓訪客網。但其訪問權限被嚴格控制。

     內部員工準入

內部 “員工”,經過實名認證或桌面準入認證后,自動劃入員工對應部門專網。

     訪客入網隔離

          外來“訪客”,自動劃入訪客專網,同企業內網邏輯隔離訪客隔離網權限控制

          安全設備根據訪客網段IP地址設立單獨的訪問權限,如:只能訪問Internet、只能收發郵件等。
 
私改IP地址的監控

 用戶價值:監控IP地址使用狀況,杜絕私改IP的行為,防止IP地址沖突

     自動收集終端信息

自動收集網內IP-MAC地址等網絡信息,無需人工添加

     IP地址使用監控

實時監測所有固定地址和動態分配地址使用狀態。

     及時阻斷非法終端

發現私改IP行為立即予以阻斷,不影響其他終端設備正常使用。

     非法行為記錄

記錄非法操作用戶ID、IP地址、MAC信息和時間,方便追查。

  與第三方安全軟件整合
用戶價值:實現符合企業網絡管理規范的終端設備,才允許接入網絡

     強制推行

    終端首次接入網絡時,強制下載內網桌面管理軟件客戶端或第三方主機健康檢查插件(360安全衛士、各類殺毒軟件客戶端)。

     入網掃描

只有安裝了規定的安全軟件, 終端才能接入辦公內網。

     安全隔離

對不合規終端放入隔離區,禁止與辦公內網通訊。

     正式準入

 完全符合要求的終端才能入網。


 

{ganrao}