終端準入控制系統簡介
隨著信息技術快速發展����,內部網絡的規模越來越大���,雖然已經在互聯網出口部署了防火墻��、IPS�、行為管理等安全防護設備�,但在內網接入層�,依然采用開放式的網絡結構��。開放式網絡猶如企業沒有門衛一樣����,任何人都可以采用非常簡單的攻擊手段便可竊取����、篡改重要的業務數據���,并且一旦發生信息安全事件�����,難以追蹤審計�。
終端準入控制系統融合了DHCP準入���、IPAM準入�、802.1X準入��、SNMP準入等多種準入技術����,針對不同的內網網段(VLAN)可靈活地采用不同的準入機制�。它實現了對內部網絡的人����、終端���、IP�、設備的統一規范管理���,實現了我國信息系統等級保護中對網絡邊界保護�、訪問控制���、身份認證等的要求�。同時����,它也有效地解決了目前各大企事業單位普遍存在的非法外聯����、網絡邊界不完整����、IP地址不能統一管控��、入網不能實名等一系列的問題����。
產品功能
全網準入
用戶價值:在不改變現有網絡架構基礎上���,以無客戶端的形式實現內網終端強制身份認證���。
免客戶端實名認證
Web界面強制認證����,兼容任何終端類型(PC�、筆記本���、智能手機)和操作系統(WINDOWS����、LINX�、NIX)
可以與AD域/企業管理系統帳號無縫整合
可以與AD域或企業內部管理系統共享登陸帳號庫�,實現統一身份認證��。
兼容現有網絡��,支持各種設備和方法的準入控制
支持現有各種網絡設備(802.1X交換機�����、可網管交換機�、普通交換機����、無線路由)的接入控制���。支持802.1x接入控制�����、DHCP接入控制和SNMP接入控制���。
支持對非法接入終端直接關閉其連接的交換機端口�。
不改變網絡結構的準入控制
旁路部署���,可跨VLAN���、跨路由部署與管理�����。
動態的“網絡隔離”
用戶價值:根據用戶帳號�,按人��、按部門劃分虛擬子網或VLAN��,控制用戶訪問權限���。
兼容802.1x和非802.1x網絡
在普通二層交換機環境��,將不同的終端按部門劃入不同“虛擬子網”���。
支持CISCO VMPS 服務����,動態設置接入終端的VLAN���,
訪客自動進入隔離VLAN��。
支持SNMP掃描與SNMP TRAP服務�,動態設置接入終端的VLAN�����,訪客自動進入隔離VLAN����。
支持移動辦公
當終端和人員變動辦公位置后�����,依然可以被置于相同的虛擬子網或VLAN�。
按人�����、按部門劃分“虛擬子網”
動態地按人��、按部門�、分配IP����,IP網段及VLAN����,并可設置“虛擬子網”之間的訪問控制策略�����。
支持針對不同終端個性化設置:一個MAC地址對應多個IP���、入網時間段�、是否需要實名認證����、是否需要安裝桌面軟件�����。
IP集中管控�、日志到人
用戶價值:監控由DHCP分配的IP地址所在交換機端口位置�����,便于對網絡審計進行追蹤管理
固定IP��,中心下發�,統一管理
對固定IP實行中心下發的管理方式�����,可以防止用戶私改IP私設IP��。
動態IP��,定位到人
在動態IP環境下��,可隨時定位到人��。對每個人不同時間獲得的IP進行審計�。
定位終端接入網絡的物理位置
圖形化顯示交換機所有端口使用狀況��,如:有無終端通信����、端口下接幾個終端����、各自的IP地址/MAC/用戶帳號等
定位IP接入網絡的交換機及端口�����。
系統日志支持第三方數據庫
可將系統日志直接轉儲到第三方數據庫中�����,支持微軟SQLSERVER����、MYSQL�、POSTGRESQL����、ORACLE��。支持標準的SYSLOG日志服務器���。支持聲音報警�����、郵件報警�����。
員工 / 訪客區別對待 用戶價值:為訪客提供不受物理位置限制�����、不影響內網安全的接入機制
隨時隨地登錄
外來訪客或臨時工作者不受物理位置的限制�,可以從任意端口接入來賓訪客網���。但其訪問權限被嚴格控制��。
內部員工準入
內部 “員工”����,經過實名認證或桌面準入認證后�,自動劃入員工對應部門專網��。
訪客入網隔離
外來“訪客”���,自動劃入訪客專網���,同企業內網邏輯隔離訪客隔離網權限控制
安全設備根據訪客網段IP地址設立單獨的訪問權限�����,如:只能訪問Internet�、只能收發郵件等��。
私改IP地址的監控
用戶價值:監控IP地址使用狀況�����,杜絕私改IP的行為���,防止IP地址沖突
自動收集終端信息
自動收集網內IP-MAC地址等網絡信息����,無需人工添加
IP地址使用監控
實時監測所有固定地址和動態分配地址使用狀態�����。
及時阻斷非法終端
發現私改IP行為立即予以阻斷�����,不影響其他終端設備正常使用�����。
非法行為記錄
記錄非法操作用戶ID��、IP地址�����、MAC信息和時間��,方便追查�����。
與第三方安全軟件整合
用戶價值:實現符合企業網絡管理規范的終端設備�����,才允許接入網絡
強制推行
終端首次接入網絡時����,強制下載內網桌面管理軟件客戶端或第三方主機健康檢查插件(360安全衛士���、各類殺毒軟件客戶端)�����。
入網掃描
只有安裝了規定的安全軟件, 終端才能接入辦公內網�����。
安全隔離
對不合規終端放入隔離區�,禁止與辦公內網通訊�。
正式準入
完全符合要求的終端才能入網�����。
