准入控制ASM盈高入网规范管理系统课件

《准入控制ASM盈高入网规范管理系统课件》由会员分享，可在线阅读，更多相关《准入控制ASM盈高入网规范管理系统课件（42页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,#,理解准入控制,-NAC,理解准入控制-NAC,1,关于盈高,盈高科技（,INFOGO TECHNOLOGY CO.,LTD,）成立于,2006,年，是国内,网络安全准入控制,与终端安全管理领域的专业厂商。公司总部设在杭州，在北京、湖南、广东、江西、江苏、湖北、上海设有分支机构；,国内,领先,的网络准,入控制系统解决方案提供商和产品供应,商；,国内最早成立安全准入控制试验室的厂商,之一；,凝聚,了一批具备,CISP/CISSP,等多项安全技术资质 的安全研发团队；,

2、与国际知名厂商微软、,CISCO,、趋势、,Symantec,等建立长期的战略合作关系；,浙江省网络与信息安全信息通报中心技术支持合作单位；,产品自主研发，获得国家创新型项目基金；,杭州市科技创新基金；,关于盈高 盈高科技（INFOGO TECHNOLOGY CO,2,内网变成了威胁和攻击的温床,内,网,安,全,事,故,原,因,分,析,终端整体安全直接关系到,整个网络,内网变成了威胁和攻击的温床内 终端整体安全直接关系到,3,$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000,来自内网的攻击和破坏是信息安全的最大

3、威胁,病毒,内部人员网络的滥用,内部网络的破坏,网络内部的攻击和泄密,维护设备的损失,计算机通信内容被截取,黑客攻击,2009,年,调查,源自,计算机犯罪与安全调查报告,来自网络内部的破坏攻,击是信息安全最大威胁,!,$10,000,000,4,内,网安全的最大漏洞是终端问题,内部缺乏访问控制，高达,13,登录密码太简单等安全配置不符要求，,造成损失达到,19,因为软件漏洞，病毒蔓延造成的损失,高达,66,终端软件漏洞,终端安全配置,终端准入控制,2009,年网络安全调查,内网安全的最大漏洞是终端问题内部缺乏访问控制，高达13登录,5,内网面临的主要问题,非法设备连入内网,外来人员终端,(,来

4、宾,上级检查,第三方维护人员,),内部员工私人电脑或内外网终端混用,非法设备联入内网的黑客行为等,.,内部合法电脑存在风险和漏洞,安全性偏低,感染率高,未安装杀毒软件或病毒库未更新,重要性的补丁未打,终端其他安全设置问题,(guest,用户,密码等,),无法提供很好的全网终端修复手段,没有一套将上述要求真正落实到 每台终端的体系,内网面临的主要问题非法设备连入内网没有一套将上述要求真正落实,6,怎样实现内网的安全解决方案？,建立终端入网统一的安全体系,每个入终端都获得安全规范的管理,每台终端安全加固,=,获得健康安全的内网,对内网实施安全准入,NAC,终端身份识别,(,不同身份、不同访问权限,

5、),怎样实现内网的安全解决方案？建立终端入网统一的安全体系每个入,7,NAC,（,Network A,dmission,Control,）,网络准入控制,的功能在于验证内网设备的,身份,和,安全性,。,网络准入控制概念：,NAC（Network Admission Control,8,国际上对于准入控制技术的分类,Software-based NAC,纯软件方式的准入,Infrastructure-based NAC,与网络设备联动的准入,Appliance-based NAC,单台设备实现的准入,ARP,欺骗、微软,NAP,802.1x,、,EOU,、,portal,串联方式、旁路方式,国际

6、上对于准入控制技术的分类Software-based N,9,内网安全所面临的新型问题,接入用户及设备的实名制问题？,安全管理规范如何落实的问题？,如何快速发现隐患设备并且如何智能修复？,需要的是一套符合自身行业特色的安全规范,内网分角色分区域访问控制的问题？,实名日志审计问题及级联部署、集中管理平台的问题,内网安全所面临的新型问题接入用户及设备的实名制问题？安全管理,10,大量客户端需要安装,终端用户对客户端的反感,维护不易,用户端资源占用高,购买更多的网络设备,网络拓扑的大量改造,影响网络正常性能,实施,NAC,的挑战,无法充分利用现有网络资源,大量客户端需要安装终端用户对客户端的反感维护

7、不易用户端资源占,11,如何选择适合自己的准入产品？,如何选择适合自己的准入产品？,12,要求：对,现有网络改造越少越好,准则一：是,NAC,适应网络，不是网络适应,NAC,现状：用户网络越来越复杂，多种接入方式并存,要求：对现有网络改造越少越好准则一：是NAC适应网络，不是网,13,第一代软件准入中的,ARP,方式属于廉价解决方案，不适合成熟用户使用；,微软,NAP,则对操作系统要求较高，并且需要,AD,域,第二代,Infrastructure-based,准入是市场上的主流技术，方案多，架构大多比较成熟，稳定性及性能有保证,目前国外比较新兴的是采用,Appliance-based,的架构,

8、，特点是采用无客户端,Agentless,做为解决方案的关键,准则二：选择成熟的准入架构,第一代软件准入中的ARP方式属于廉价解决方案，不适合成熟用户,14,802.1X,就能解决？,EOU?,PORTAL?,。,。,没有统一标准，多种解决方案并存！,准则三：服务与技术同样重要,802.1X就能解决？EOU?PORTAL?。没有,15,所有人的电脑接入都掌握在我这里，稳定性不好，这个责任我承担不起,每天刚上班这段时间最烦了，电脑老是接不上网,网络中心主任,终端用户,稳定性如何保证？,并发连接能力如何保证？,准则四：产品性能是关键,所有人的电脑接入都掌握在我这里，稳定性不好，这个责任我承担不,1

9、6,身份认证,一个强大的准入控制系统必须拥有上述,所有功能,。,它的意义,如果没有,它.,独特地识别用户和设备，并在这两者间建立关联,难以将用户与设备关联起来，执行何种策略，防止设备欺骗。,访问控制,与策略管理,创建和使用过于复杂或过难的策略将导致整个项目的废止。,轻松创建能快速应用于用户组和角色的全面、精确的策略,隔离和修复,仅知道某一设备不符合安全策略是不够的,必须有人修复它。,根据状态评估结果采取措施，隔离设备，并使其符合策略,URL-REDIRECT,，,人性化,友好安检,从无限使用网络到受限使用，必然会带来抵触情绪。,加快用户了解和适应的过程,准则五：是否是一个完整的“准入系统”？,

10、身份认证一个强大的准入控制系统必须拥有上述它的意义如果没有独,17,准则六：从“技术,”,上升为“管理”,ASM,最重要的功能在于把网络中已有的安全系统（杀毒软件、补丁系统、桌面管理）有机地联系为一个整体，从而实现一体化的管理。概况地说，,ASM,是一个安全架构，具体的内容和血肉依赖于各种安全产品。,准则六：从“技术”上升为“管理”ASM最重要的功能在于把网络,18,回 顾 与 讨 论,回 顾 与 讨 论,19,盈高,ASM,入网规范管理系统介绍,盈高ASM入网规范管理系统介绍,20,盈高,ASM,入网规范管理系统介绍,什么是,ASM,ASM,的体系架构,ASM,的主要功能,ASM,的技术特色

11、,盈高ASM入网规范管理系统介绍什么是ASMASM的体系架构A,21,ASM,是盈高精心打造的一款专业的网络安全准入控制产品,ASM,是,Access Standard Management,的缩写,重点突出“违规不入网、入网必合规”,经过优化的安全操作系统平台，电信级硬件产品,是经过国内领先的大规模无客户端模式,部署案例实践的系统,什么是,ASM,ASM是盈高精心打造的一款专业的网络安全准入控制产品什,22,ASM-,大致逻辑原理图,ASM-大致逻辑原理图,23,ASM,体系架构,ASM体系架构,24,ASM,的主要功能特色,支持各种网络环境下的准入强制技术，充分适应各种复杂网络,提供多样化

12、身份认证方式，与第三方身份认证系统联动,双实名认证,+,一键式智能修复，大大减轻管理工作量,基于角色的动态授权访问控制，可以很方便做到内网的访问布控,不断升级的安全检查引擎及规则库,详实的实名制日志审计,级联部署，集中管理，形成统一管理报警平台,ASM的主要功能特色 支持各种网络环境下的准入强制技术，充分,25,客户端初次接入流程,客户端初次接入流程,26,客户端身份认证,-,检查,-,修复,客户端身份认证-检查-修复,27,强大的安全检查、隔离与修复体系,严重违规设备立即隔离,强大的安全检查、隔离与修复体系 严重违规设备立即隔离,28,多种修复手段支持,强大的安全检查、隔离与修复体系,多种修

13、复手段支持强大的安全检查、隔离与修复体系,29,策略化的角色权限控制体系,安全域划分,策略化的角色权限控制体系 安全域划分,30,角色绑定安全域,策略化的角色权限控制体系,角色绑定安全域策略化的角色权限控制体系,31,入网时间控制,策略化的角色权限控制体系,入网时间控制策略化的角色权限控制体系,32,创新的,AgentLess,模式,基于规则匹配模式的的安全检查引擎，支持安全规则的不断更新，确保安全检查的健壮性,拥有丰富的系统缺省检查规则库，并支持自定义和系统规则库的升级，便于应对层出不穷的安全隐患,独创的,Agentless,安全检查模式，既可以方便部署又可以满足安全要求,友好的引导式检查和

14、修复界面，符合用户的日常使用习惯，减少安全管理部门的日常维护工作,创新的AgentLess模式基于规则匹配模式的的安全检查引擎,33,管理平台,管理平台,34,ASM,支持多种,Enforcement,强制技术,ASM,Virtual Gateway,802.1X,DHCP,强制,Firewall,VPN,策略路由,Bridge,CISCO EOU,H3C Portal,/Portal+,DNS Proxy,ASM,支持,多种,Enforcement,强制技术，最大限度的适应企业的网路实际环境,ASM支持多种Enforcement强制技术ASMVirtu,35,准入技术扩展功能比较,准入技术,

15、DHCP,强制,虚拟网关,策略路由,802.1X,Cisco EOU,Portal,串联,重定向,支持,支持,支持,不支持,支持,支持,支持,身份验证,支持,支持,支持,支持,支持,支持,支持,安全检查,支持,支持,支持,支持,支持,支持,支持,权限分配,在分配,IP,之前,支持,不支持,支持,不支持,支持,不支持,支持,边界安全,支持,支持,不,支持,支持,支持,不支持,不,支持,数据流量影响,不影响,不影响,有部分影响,不影响,不影响,不影响,影响,单点故障避免,支持,支持,支持,支持,支持,支持,支持,准入技术扩展功能比较准入技术DHCP强制虚拟网关策略路由80,36,ASM,的优势总结

16、,最适合用户网路环境的,NAC,产品,基于,Appliance-based,的,NAC,产品,采用多种强制技术确保适合企业实际情况,部署最方便快捷的,NAC,产品,支持,Agentless,方式进行部署,对企业的网路改动最小,不仅仅是准入，还提供强大的安全检查规则库,高效的安全检查引擎,丰富并且不断更新的安全检查规则库,完备的自我修复环境支持，提供一体化的友好修复支撑,自主的补丁分析和修复,企业可定制的自我其它修复,ASM的优势总结最适合用户网路环境的NAC产品基于Appli,37,一、完备的安全状态评估，可以与第三方产品广泛集成,二,、基于第三代准入控制技术，集成多种准入控制架构,三、基于角色和安全状态的,网络访问授权,四,、定期更新升级的安全检查引擎和检查规范库,五,、支持,AgentLess,模式，灵活,、方便的部署与,维护,ASM,的主要特点,六、支持分级部署，集中管理平台，提供实名制日志审计,一、完备的安全状态评估，可以与第三方产品广泛集成二、基于第三,38,ASM,案例分析,二,入网设备共约,2500,台，分布在下属的,采用策略路由方式进行准入控制,结合,ukey,实现人员