ACK内网规范管理解决方案(实名制准入控制硬件).pptx

《ACK内网规范管理解决方案(实名制准入控制硬件).pptx》由会员分享，可在线阅读，更多相关《ACK内网规范管理解决方案(实名制准入控制硬件).pptx（39页珍藏版）》请在装配图网上搜索。

1、内 网 规 范 管 理 -主 动 防 御 ， 源 头 控 制邵 永 刚 总 经 理沈 阳 蓝 思 特 信 息 技 术 有 限 公 司13840231029 024-62156099QQ:471871176 北 京 艾 科 网 信 科 技 有 限 公 司 概 述n 北 京 艾 科 网 新 科 技 有 限 公 司 （ ACK） ACK公 司 基 本 介 绍 ACK创 新 历 程n 内 网 安 全 现 状 内 网 混 乱 及 及 分 析 内 网 需 要 规 范 管 理n 内 网 规 范 管 理 解 决 方 案 方 案 的 整 体 架 构 ACK创 新 产 品 系 列 ACK十 大 特 色 功 能n

2、产 品 资 质n 成 功 案 例 北 京 艾 科 网 信 科 技 有 限 公 司 ACK公 司 基 本 介 绍n 2007年 成 立 ， 总 部 设 在 北 京 ；n 2011年 ， 首 推 内 网 规 范 管 理 的 理 念 ；n 专 业 致 力 于 研 究 、 开 发 、 推 广 网 络 准 入 技 术 和 实 名 制 ID网 络 ；n 拥 有 全 部 自 主 知 识 产 权 ， 4项 中 国 专 利 、 2项 美 国 专 利 ；n 2002年 ， ACK创 建 者 创 办 A10， 研 发 的 产 品 获 得 日 本 和 美国 的 InterOp国 际 大 奖 ；n 创 始 人 员 来

3、自 于 HP、 Motorola、 Juniper、 Yahoo、 华 为 等高 科 技 公 司 n 拥 有 政 府 、 电 信 运 营 商 、 电 力 、 金 融 、 大 型 企 业 等 众 多案 例 ； 北 京 艾 科 网 信 科 技 有 限 公 司 ACK创 新 历 程 ACK首 创“ 实 名 制 ID网 络 ” 概 念ACK首 创 第 一 代 DHCP准 入 控 制 技 术 ACK推 出 实 名 制ID网 管 平 台 （ IDNac）ACK推 出 实 名 制ID日 志 存 储 设 备 （ IDLog）ACK首 创 “ 动 态 安 全 域 ”技 术 ACK推 出 实 名 制ID运 维 设

4、 备 （ IDGuard）ACK首 创 “ 内 网 规 范 管理 ” 解 决 方 案 ACK推 出 实 名 制ID准 入 网 关 （ IDWall）ACK首 创 第 二 代 DHCP准 入 控 制 技 术 ACK成 立 ， 专 注 创 新、 专 注 安 全2007年 4月2007年 4月2007年 6月2007年 10月2008年 9月2008年 11月 2009年 10月2010年 9月2010年 10月 2011年 3月 内 网 安 全 现 状 北 京 艾 科 网 信 科 技 有 限 公 司 内 网 混 乱n 安 全 威 胁 多n 病 毒 、 木 马 层 出 不 穷n 内 网 DDOS攻

5、击n 系 统 补 丁 不 全 漏 洞 攻 击n 无 线 安 全 隐 患n 智 能 终 端 、 移 动 设 备 的 安 全 问 题n 员 工 绕 过 防 火 墙 访 问n 管 理 难 题 多 n 任 何 人 和 终 端 均 可 进 入 网 络 ；n IP使 用 失 控 ， 私 改 IP现 象 严 重 ；n 员 工 私 自 安 装 软 件 、 开 启 危 险 服务 ；n 主 机 和 设 备 维 护 缺 乏 必 要 监 管 ；n 无 法 快 速 定 位 威 胁 的 源 头 ；n 没 有 统 一 的 安 全 策 略 ； 北 京 艾 科 网 信 科 技 有 限 公 司 内 网 混 乱 的 本 质 原 因

6、n 一 切 安 全 风 险 皆 来 自 于 人 带来 的 威 胁 ；n 利 用 内 网 先 天 安 全 性 不 足 ；n 现 有 安 全 技 术 多 为 被 动 防 御技 术 ；n 管 理 手 段 较 为 单 一 ；n 法 规 遵 从 意 识 不 足 ； 人 的威 胁网 络 层威 胁 终 端 层威 胁 应 用 层威 胁物 理 层威 胁 北 京 艾 科 网 信 科 技 有 限 公 司 内 网 需 要 规 范 管 理内网安全先管人 ACK内 网 规 范 管 理解 决 方 案 北 京 艾 科 网 信 科 技 有 限 公 司 ACK内 网 规 范 管 理 架 构 北 京 艾 科 网 信 科 技 有 限

7、 公 司 ACK创 新 产 品 系 列 北 京 艾 科 网 信 科 技 有 限 公 司 ACK的 十 大 特 色 功 能 实 名 准 入 控 制终 端 健 康 检 查 访 客 管 理 高 可 用 性全 网 日 志 储 存IP地 址 管 理 网 络 边 界 监 护网 络 威 胁 定 位 网 络 访 问 控 制 网 络 运 维 管 理 高 风 险 较 危 险 危 险 降 低 更 安 全 简化管理 难于管理 - 更安全 - 更容易管理 - 北 京 艾 科 网 信 科 技 有 限 公 司 网 络 规 范 管 理终 端 规 范 管 理用 户 规 范 管 理n 支 持 六 种 准 入 控 制 技 术 (8

8、02.1x/EoU/DHCP/ARP/SNMP准 入 控 制 技 术 ）功 能 一 、 实 名 制 准 入 控 制 小 型 分 支 机 构大 型 分 支 机 构IDNAC IDWallIDNAC HA-备IDNAC HA-主 安全边界安全边界 InternetFirewall VPN专线 Trunk TrunkCisco/802.1x H3C/802.1x Dlink Sw HUB IDSensor 北 京 艾 科 网 信 科 技 有 限 公 司 网 络 规 范 管 理终 端 规 范 管 理用 户 规 范 管 理n 支 持 六 种 准 入 控 制 技 术 802.1X /EOU / DHCP

9、/ARP/网 关 准 入 /SNMPn 免 客 户 端 、 免 插 件n LDAP/CA/Radius/AD认 证n 强 大 的 用 户 管 理n 内 置 多 因 素 认 证 技 术 CA/动 态 密 码 卡 /Ukey/手 机 短 信 等n 10分 钟 旁 路 部 署 ， 不 改 网 络 结 构功 能 一 、 实 名 制 准 入 控 制 北 京 艾 科 网 信 科 技 有 限 公 司 网 络 规 范 管 理用 户 规 范 管 理 终 端 规 范 管 理功 能 二 、 终 端 健 康 检 查n 终 端 认 证n 设 备 分 类 识 别n 强 制 插 件 安 装n 强 制 安 全 隔 离 北 京

10、 艾 科 网 信 科 技 有 限 公 司 网 络 规 范 管 理用 户 规 范 管 理 终 端 规 范 管 理功 能 二 、 终 端 健 康 检 查n 终 端 认 证n 设 备 分 类 识 别n 强 制 插 件 安 装n 强 制 安 全 隔 离n 终 端 合 规 性 检 查n 安 全 修 复 向 导n 免 插 件 软 件 识 别 北 京 艾 科 网 信 科 技 有 限 公 司 网 络 规 范 管 理用 户 规 范 管 理 终 端 规 范 管 理功 能 二 、 终 端 健 康 检 查n 终 端 认 证n 设 备 分 类 识 别n 强 制 插 件 安 装n 强 制 安 全 隔 离n 终 端 合 规

11、 性 检 查n 安 全 修 复 向 导n 免 插 件 软 件 识 别 北 京 艾 科 网 信 科 技 有 限 公 司 网 络 规 范 管 理用 户 规 范 管 理 终 端 规 范 管 理 MAC1:192.168.1.1MAC2:192.168.1.2MAC3:192.168.1.3 IP池 功 能 三 、 实 名 制 IP管 理n 基 于 ID统 一 分 配 IP地 址 传 统 基 于 MAC分 配 IP可 以 伪 造 ； Computer1:MAC1Computer2:MAC2Computer3:MAC3 DHCP 服 务 器192.168.1.1192.168.1.2192.168.1.

12、3User1User2User3 User1:192.168.1.1User2:192.168.1.2User3:192.168.1.3普 通 IP池0.168.1.10.168.1.20.168.1.3User2 MAC1:10.168. .1MAC2:10.168.1.2MAC3:10.168.1.3隔 离 IP池用 户 认 证. . . . . . . 北 京 艾 科 网 信 科 技 有 限 公 司 用 户 规 范 管 理 终 端 规 范 管 理 网 络 规 范 管 理功 能 三 、 实 名 制 IP管 理n 基 于 ID统 一 分 配 IP地 址 传 统 基 于 MAC分 配 IP可

13、以 伪 造 ；n 动 态 划 分 安 全 域n 多 元 绑 定n IPAM监 测n IP地 址 使 用 统 计n 非 法 IP阻 塞 北 京 艾 科 网 信 科 技 有 限 公 司 用 户 规 范 管 理 终 端 规 范 管 理 网 络 规 范 管 理功 能 三 、 实 名 制 IP管 理n 基 于 ID统 一 分 配 IP地 址 传 统 基 于 MAC分 配 IP可 以 伪 造 ；n 动 态 划 分 安 全 域n 多 元 绑 定n IPAM监 测n IP地 址 使 用 统 计n 非 法 IP阻 塞 北 京 艾 科 网 信 科 技 有 限 公 司 用 户 规 范 管 理 终 端 规 范 管 理

14、 网 络 规 范 管 理功能四、访客管理n 访 客 网 与 办 公 网 隔 离n 利 用 现 有 网 络 ， 不 改 变 网 络 配 置n 访 客 入 网 无 物 理 限 制n 访 客 入 网 需 员 工 授 权n 访 客 权 限 控 制n 访 客 入 网 审 计 北 京 艾 科 网 信 科 技 有 限 公 司 用 户 规 范 管 理 终 端 规 范 管 理 网 络 规 范 管 理功 能 五 、 网 络 威 胁 定 位n 定 位 到 人 和 交 换 机 端 口n 非 法 接 入 定 位n 异 常 终 端 定 位n 私 接 设 备 定 位n 交 换 机 异 常 互 联 定 位n 增 强 可 视

15、性 北 京 艾 科 网 信 科 技 有 限 公 司 用 户 规 范 管 理 终 端 规 范 管 理 网 络 规 范 管 理功 能 六 、 网 络 边 界 监 控n 分 布 式 的 边 界 监 控n 设 备 “ 网 络 指 纹 ” 识 别n 内 外 网 互 联 监 控n 非 法 外 联 监 控 假 冒 网 络 设 备IDNAC HA-备IDNAC HA-主 内网边界内网边界 FirewallTrunk TrunkH3C Dlink Sw HUBIDSensor 网 络 设 备 3G网 卡 上 网汇 聚 层 北 京 艾 科 网 信 科 技 有 限 公 司 用户规范管理终端规范管理网络规范管理功 能

16、 七 、 网 络 访 问 控 制n访问权限控制n控制入网位置n保护核心资源n远程终端准入n安全联动数据库准入成功 VPN/Firewall准入失败认证成功 北 京 艾 科 网 信 科 技 有 限 公 司 用户规范管理终端规范管理网络规范管理功 能 八 、 全 网 日 志 管 理n高性能日志收集n日志海量存储n实名日志搜索和审计n实名日志报表n满足等保要求 IDLog L200/L210/L2000/L2100 北 京 艾 科 网 信 科 技 有 限 公 司 用户规范管理终端规范管理网络规范管理功 能 九 、 网 络 运 维 管 理n设备维护单点登录n维护权限集中管理n操作行为实名审计n高安全性

17、IDGuard 北 京 艾 科 网 信 科 技 有 限 公 司 功能十、高可用性n集中式热备n分布式灾备n应急逃生n分级分权管理IDMonitor ACK产 品 资 质 北 京 艾 科 网 信 科 技 有 限 公 司 公 司 资 质 北 京 艾 科 网 信 科 技 有 限 公 司 产 品 资 质 ACK成 功 案 例 北 京 艾 科 网 信 科 技 有 限 公 司 案 例 汇 总电信。电力。金融。政府。企业 北 京 艾 科 网 信 科 技 有 限 公 司 某 大 企 业 全 网 部 署 四 级 部 署 北 京 艾 科 网 信 科 技 有 限 公 司 某 大 企 业 案 例 分 析某 大 企 业

18、 特 点 ：n 规 范 大 ： 中 国 三 大 企 业 之 一 。 人 数 ： 150万 ， 终 端 数 100万 ， 收 入 1万亿 ；n 分 级 管 理 ： 4级 管 理 （ 集 团 省 地 县 ） ；n 网 络 复 杂 ： 仅 交 换 机 品 牌 、 型 号 200;需 要 解 决 问 题 ： n 边 界 破 损 ： 网 络 边 界 被 破 坏 （ 私 接 终 端 、 Hub、 路 由 器 、 无 线 AP、 3G网 卡 ）；n 终 端 脱 缰 ： 不 装 和 卸 载 桌 面 软 件 ；n 网 络 混 乱 ： 无 人 清 楚 内 网 当 前 有 多 少 终 端 、 有 多 少 IP、 有

19、 多 少 设 备 、 有 多 少人 在 上 网 。 IP地 址 管 理 混 乱 、 交 换 机 端 口 绑 定 混 乱 、 管 理 手 段 落 后 （ 手 工 绑定 错 误 不 断 、 经 常 造 成 安 全 事 故 ） ； 北 京 艾 科 网 信 科 技 有 限 公 司领导总结：“安全不是用量来衡量的！非法设备，只要有一台，就会危害全网；脱缰终端只要有一个，就可能机密外泄！”； 某 大 企 业 案 例 分 析解 决 方 法 ：n 规 范 管 理 ： 采 用 ACK内 网 规 范 管 理 解 决 方 案 ， 全 网 实 施 “ ID网 管 平 台 ” ；n 分 级 管 控 ： 上 级 单 位

20、定 “ 大 规 定 ” ， 下 级 单 位 定 “ 小 政 策 ” ， 各 级 单 位 只 管“ 人 员 ” ；n 加 强 可 视 性 ： 不 出 集 团 ， 就 可 看 到 乡 供 电 所 的 终 端 情 况 ；n 解 决 混 乱 ： 彻 底 解 决 “ 网 络 管 理 混 乱 ” 问 题 ；试 点 效 果 ： n 发 现 多 个 “ 脱 缰 ” 终 端 ；n 发 现 多 个 “ 非 法 ” 设 备 ；n 实 现 了 静 态 IP， 中 心 下 发 ；n 实 现 了 全 网 的 “ 可 视 、 可 控 、 可 查 ” ； 北 京 艾 科 网 信 科 技 有 限 公 司 某 大 部 委 ： 证

21、 书 + 准 入 IDNAC对 内 网的 实 现 准 入 控 制， 核 查 吉 大 证 书 和 检 查 终 端合 规 性 。 IDWall与IDNAC联 动 ，核 查 用 户 身 份， 根 据 终 端 访问 目 的 ， 检 查认 证 强 度 和 权限 。IDWall对 关联 单 位 进 入部 委 网 络 进行 用 吉 大 证 书 认 证后 进 行 终 端合 规 检 查 。只 有 通 过 吉 大 证 书认 证 和 终 端合 规 检 查 ，才 能 进 入 上级 部 委 内 部网 络 。IDWall同 时对 外 来 终 端的 访 问 按 单位 、 按 部 门、 按 人 进 行不 同 的 路 径限 制

22、 。 北 京 艾 科 网 信 科 技 有 限 公 司 国 家 电 力 监 管 委 员 会项 目 背 景 ：国 家 电 力 监 管 委 员 会 （ 以 下 简 称 电 监 会 ）是 电 力 行 业 的 监 管 者 ， 根 据 国 务 院 授 权 ，行 使 行 政 执 法 职 能 ， 统 一 履 行 行 业 监 管职 责 。 根 据 国 家 信 息 系 统 等 级 保 护 的 要求 ， 需 要 进 一 步 完 善 电 监 会 的 网 络 安 全建 设 ， 实 现 网 络 层 的 接 入 控 制 。部 署 后 效 果 ：达 到 等 级 保 护 要 求 ： 接 入 认 证 、 网 络 终端 管 理 、

23、 用 户 管 理 和 授 权 ；及 时 发 现 定 位 ARP病 毒 源 ；非 法 接 入 终 端 的 阻 断 和 报 警 ； 不 改 变 用 户 网 络 结 构 ， 完 全 兼 容 原 有 网络 设 备 ， 极 大 保 护 了 早 期 投 资 ；用 户 自 服 务 ， 每 个 用 户 自 己 维 护 密 码 ；用 户 ： “ 我 们 测 试 了 多 个 品 牌 ， ACK的 产 品 对 网 络 的 要 求 最 低， 兼 容 性 最 高 ， 有 推 广 的 价 值 ！ ” 北 京 艾 科 网 信 科 技 有 限 公 司 韶 关 发 电 厂面 临 的 威 胁 ：任 何 人 、 任 何 终 端 任

24、 意 接 入 办 公 网 ， 内部 资 源 没 有 保 障 ；办 公 网 用 户 私 自 篡 改 IP/MAC地 址 ， 试 图仿 冒 高 级 权 限 的 用 户 终 端 ， 绕 过 防 火 墙 策略 上 网 ；IP冲 突 ， 管 理 员 无 法 定 位 冲 突 源 ；韶 关 发 电 厂 邹 主 任 ： “ ACK的 产 品 不 错 ， 不 少 困 扰 多 年 的 安 全问 题 解 决 了 ！ ”部 署 后 效 果 ：所 有 用 户 认 证 后 才 能 入 网 ， 隔 离 非 法 用 户 ；所 有 终 端 符 合 内 网 规 范 才 能 入 网 ； 阻 断 篡 改 IP/MAC地 址 的 终

25、端 ；协 助 发 现 各 种 ARP攻 击 和 异 常 流 量 ；各 种 非 法 和 不 合 规 接 入 直 接 报 警 ； 北 京 艾 科 网 信 科 技 有 限 公 司 广 东 移 动 茂 名 分 公 司项 目 背 景 ：中 国 移 动 的 BSS是 一 个 独 立 封 闭 的 网 络 ，网 维 部 门 有 大 量 的 外 维 人 员 ， 负 责 不 同领 域 的 维 护 ， 人 员 流 动 性 大 ， 管 理 松 散 ，存 在 较 多 网 络 安 全 隐 患 ， 一 旦 出 现 安 全事 故 ， 难 以 追 究 直 接 责 任 人 ；部 署 后 效 果 ：全 面 兼 容 现 有 的 Ci

26、sco、 华 为 、 傻 瓜 交 换机 ；外 维 人 员 接 入 网 络 自 动 获 取 IP， 自 动 认 证， 首 次 入 网 的 外 维 人 员 进 入 自 助 服 务 页 面 注 册 ， 管 理 员 审 批 后 生 效 ；外 维 人 员 自 带 终 端 首 次 入 网 ， 自 动 进 行 终端 注 册 ， 自 动 登 记 终 端 的 硬 件 信 息 ；自 动 授 权 ， 根 据 用 户 ID分 配 相 应 权 限 的IP；监 控 区 的 主 机 免 身 份 认 证 ， 自 动 校 验 终 端的 硬 件 信 息 ， 避 免 非 法 终 端 冒 充 监 控 主 机； 用 户 郑 工 ： “ 产 品 简 单 易 用， 运 行 稳 定 ， 2年 多 来 没 有 出现 意 外 状 况 ！ ”