解决方案

   SOLUTION

终端准入控制系统

终端准入控制解决方案

面临现状

内部网络中往往存在着大量的重要数据或机密信息,为了防止重要信息外泄,很多单位实施了内、外网物理隔离。即便如此,仍会有很多危险威胁着内网的安全,终端的非法接入行为即是内网重要数据流失和引入病毒的主要隐患之一。对于已经实施了物理隔离的内网而言,严格有效的网络准入管理是最为重要的安全管理措施。

面临问题

非法接入者常常通过仿冒网内合法计算机的IP和计算机名、与网内合法的任一设备或任一终端通过直连、私接路由的方式躲避网络准入管理产品的监控,这些非法入网的途径防不胜防,觊觎者时刻威胁着网络的安全。

另一方面,由于单位的业务需求,对于入网的计算机不适合采用单一的管理方式,既要能够防止非法入网,又应该允许一些合法的外来计算机临时性入网,而且对这些合法入网的外来计算机也需要进行有效的管理,不能全网全盘开放,使其成为合法的入侵者。而对于网内新增的合法计算机或者合法的外来计算机,也不能随意的任其入网,因为它很可能成为病毒的传播者。因此,只有实施完整的管理和必要的检查才能真正地保证网络安全。

另外,根据企业需要,可能需要对入网的计算机安装一些必要的软件,例如管理软件或杀毒软件等。但随着时间的推移,很难保证这些软件都能够正常被运行。重新部署,即浪费人力物力,又无法保证不会再次流失。

综上所述,用户面对的不是简单的网络准入管理产品品牌或技术层面的筛选,而是对解决方案实用性的评估和选择。

解决方案

威盾终端准入管理解决方案是通过定义一个可信域,允许可信域内的计算机互相访问,而禁止非可信域内的计算机与可信域内的计算机进行通讯,从而杜绝任何形式的非法入网,彻底防止非法计算机利用直插网线、仿冒内网合法计算机IP和计算机名、直连网内合法计算机、私接路由这些常见和难以管理的方式违规入网。

同时,对于外来合法入网的计算机,如厂家服务人员或各类外协人员携带的计算机,当其接入网络时可同步实施严格的管理,有效限制其访问的网络范围,既可保证外来计算机在限定的网络空间内顺利的完成工作,又可以防止其触及网内高密级区,威胁敏感信息的安全。另外,对所有合法进入网络的计算机在入网前将进行必要的安全检查,确保每台计算机都符合既定的安全规范,防止其成为病毒携带者威胁网络安全和稳定。

威盾终端准入管理解决方案主要分为三方面:

终端合法检查,检查终端入网的合法性,比如:终端是否安装了客户端,终端的IP/MAC是否合法等。

终端合规检查,检查终端计算机环境是否符合规范要求,例如:终端是否安装了指定的杀毒软件,终端是否修复了操作系统补丁,不允许上网的终端是否上过网等。

终端权限管理,对合法、合规联入的终端进行权限的管理控制,例如:联入内网的终端不能外联,联入内网的终端只能访问指定的服务器,联入内网的终端只能使用与业务相关的应用程序等。

无客户端准入管理

随着企业的发展,越来越多的合作伙伴或者客户需要接入到公司内网,但对于需要安装客户端的终端来说,这无疑给管理员和客户都带来的麻烦。威盾终端准入管理方案根据此类用户需求,通过在LDAP服务器中配置临时入网账户组,在此组下的终端才能以无客户端形式的进入企业内网,选择性的访问部分网络。这样既能满足客户的临时性需求,又能同时保证企业的内网安全。

无客户端的终端在初次访问网络时,系统重定向到入网申请页面。终端用户提交入网申请后,等待管理审核,审核通过管理员将在临时入网账号组中分配终端申请人账号。申请人通过分配的临时入网账号,通过网页登录时,可临时访问网络。

VPN环境的准入管理

随着企业的发展,需要分支机构,在外办公人员、合作伙伴在互联网环境下,通过VPN接入内网,但VPN只保证了通讯过程的安全性,对于入网的终端并没有进行有效的管控,这就可能导致入网的终端给企业带来安全威胁。威盾准入管理方案可以实现接入终端在拨号连接后跳转到到radius服务器进行认证,认证通过后,再由radius服务器转发VPN认证信息到VPN服务器完成认证。从而提升VPN接入环境下的终端准入管理。

CA准入认证管理

威盾终端准入管理可有效联动第三方CA服务器,完成证书信息有效性的验证,然后再将证书序列号取出,用LDAP用户信息进行匹配,若匹配到用户信息则CA证书被认为认证通过。可有效增加用户的管理级别,提高管理颗粒度,使得管控涵盖终端与使用人。

非终端类型设备的准入

企业的现实网络当中,不可避免的存在打印机、刻录机等设备,威盾终端准入管理方案能够实现实现对打印机、扫描仪等非终端计算机设备的入网例外配置。提高网内设备的识别准确度,可让企业管理员清楚的知道哪个是终端,哪个是打印等设备。避免管理盲点。

部署方式

产品能够支持网桥,旁路,策略路由等多种部署模式,适应各种网络环境和接入方式。

使用准入网关作为管理服务器,旁路连接在核心交换机上。负责终端集中管理。这样不但能够实现全面无漏洞的准入管理,同时能够分担准入管理压力,使准入控制响应速度更快。

终端准入

部署方案

准入网关应能够将对每一个试图进入网络的终端准入控制,阻止非法终端访问重要的业务服务器。采用浏览器重定向机制,当计算机接入网络并访问重要服务器时,准入网关会检查其是否安装了管理平台客户端软件,若未安装客户端的计算机使用浏览器访问网络,将自动弹出友好的提醒网页,指导用户主动安装客户端并与管理员联系获得访问授权,终端用户安装客户端程序并获得管理员的授权后,即可访问服务器。

旁路模式部署优势体现:

旁路模式部署起来比较灵活方便,只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。

旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响。

旁路模式准入设备一旦故障或者停止运行,不会影响现有网络。不会产生单点失败的故障。

准入机制只分析数据包中特定的很小部分,即可判断终端合法性进行分析,不会造成网络拥堵,既准入设备不会成为网络瓶颈。

准入机制对多VLAN、VPN、NAT等各种复杂的网络环境都有完整的支持和管控。

方案优势

无需网络设备支持,适用于任何类型网络;

无需修改任何网络配置,不受防火墙限制;

有效控制仿冒合法IP和计算机名入网;

有效控制与网内计算机直连入网;

有效控制私接路由入网;

针对跨互联网连接的窄带网络提供小于300K的客户端,下载安装更快。