一、背景企业网络面临以下问题:
很多企业员工为了方便,将自己私人笔记本、手机、PAD 等设备接入企业办公网络,由于私人终端的互联网属性,很可能携带木马病毒等,对企业内部网络产生一定的冲击,还可能造成企业内部网络数据的泄漏,企业网络管理员如何管理非企业内部终端私自接入网络问题一直是棘手的问题。
有些企业员工为了方便上网,私接 HUB、无线 AP 等网络设备,将违规的私人终端通过这些 HUB、无线 AP 等接入企业网络,从而绕过很多安全产品的检查。另外,由于个人无线AP 的不安全属性,其在某些政府单位是严格禁止的,很容易造成无线数据被监听和攻击。
目前各政府机关、企事业单位都建立一套自己的网络安全规范,来要求企业机器必须安装杀毒软件等,防止病毒、木马等在企业网络中传播,但是很多时候这些要求并没有真正落地,很多人对这些要求视而不见,或者是应付检查,没有全生命周期保障这些规范实时生效,
究其原因就是缺乏有效的技术手段来规范入网机器。
现在的网络是基于 IP 管理的,所有的安全设备,比如 IDS/IPS、桌面安全、漏洞扫描、行为分析等都是基于 IP 地址工作的,但 IP 地址的修改和伪造是很容易的,一般人员都可以实现。当 IPS 发生告警后,一般提示某个 IP 地址发生了某个安全事件,但管理员真正需要的是责任到人,找到真正的机器使用人。
很多保密企业的企业内部网络是严格禁止访问互联网的,但是很多员工为了方便内部网络和互联网的切换工作,从而在机器上内部网络插 3G/4G 网卡,或者通过代理、VPN 绕过上网限制。非法外联给企业安全埋下了巨大的安全隐患,一旦发生就会造成整体内部网络与外网连通,使得内外网隔离的巨大投入全部化为乌有。
很多企业为了管理考虑一般采用统一的 IP 地址规划,然后设置防火墙 ACL 等访问控制类系统来严格控制 IP 地址的访问权限。但是随着计算机的普及以及人们技术能力的提升,修改 IP 地址变得轻而易举,甚至于有些员工为了逃避管理而修改 MAC 地址、使用 AP 克隆MAC 地址等手段进行非法接入。
当前每个企业越来越依赖于信息化建设,为了维护基础的信息化设施,访问企业网络的人员越来越复杂,比如除了员工外还有第三方支持人员,为了安全起见他们应当严格限制网络权限,只能访问指定的维护设备;另外,还有临时访客需要接入网络的需求,他们应当禁止访问企业内部网络,但是可以利用企业内部网络访问互联网查看邮件、浏览网页等。这对网络管理人员来说是一项极为复杂的工作,很多企业干脆将权限放开,让第三方支持人员以及访客拥有跟员工一样的网络权限,这极大的增加了网络安全风险。
由于历史原因,网络管理员很难统计企业内部网络上的终端台账,比如企业网络中有多少台终端,各是什么类型的终端(笔记本、台式机、服务器、手机等),每个终端的操作系统是什么(Windows、Linux、Android、iOS 等),系统的硬件资产(CPU、内存、主板、硬盘等),每个主机安装的软件等,这些统计工作异常艰难,而且极其容易出错。
二、产品简介捷普网络安全准入系统是一款基于软硬件可控的准入控制系统,硬件平台核心处理器采用了国产飞腾 处理器,搭配国产统信操作系统。捷普网络安全准入系统为用户接入内部网络全过程提供一套综合完整的端点安全 准入控制解决方案。
捷普网络安全准入系统能够勾勒终端接入的安全基线,屏蔽一些不安全的设备和人员接入网络,规范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(杀毒软件、系统安 全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络 VLAN 隔离,并对其提供安全修复向导, 真正的做到了“事前控制、事中监控、事后审计”的全生命周期管理。
三、功能特点终端自动发现识别
支持 ARP、SNMP 探测及客户端等方式实现终端的自动发现,实现终端 MAC 发现、终端 IP 发现、终端主 机名发现、MAC 厂商识别、终端类型识别、终端操作系统识别、终端浏览器识别等,对于接入网络的终端配 置及类型一目了然。
捷普网络安全准入系统网络边界识别
支持自动学习、识别网络 VLAN 及交换机端口,充分减少管理员繁琐配置,达到终端定位功能,明确接入 的终端在哪个交换机、端口,实现终端与端口绑定。
用户身份认证
支持多种认证模式,能和当前大多数主流认证系统进行结合与联动,从而以最小的代价实现用户入网统一身份认证,目前主要支持的认证模式包含静态密码认证、Radius 认证、AD 域认证、LDAP 认证、第三方服务器认证。
主机安全规范检查
支持检查系统软件、运行进程、操作系统、系统补丁、病毒库版本、主机名称、屏保设置、浏览器主页设 置、主机防火墙、软件变动、远程服务、违规外联、移动存储、硬件外设等。多维度、多角度、细粒度的检查 终端是否安全,确保入网终端的合规性。
入网策略管理
可根据用户需求,自定义入网策略,根据部门、终端类型分别或组合下发入网策略,实现区别化入网管理,可对不同的部门、终端类型定义不同的认证、安检策略,支持时间控制策略,检查是否在规定的时间入网,充 分保证网络安全。
四、产品优势1.易部署
传统网络准入系统存在更改网络拓扑、更改原有路由结构、大幅增加核心设备网络配置等问题, 捷普国产准入控制系统设备可根据现有网络的部署方式,实现不更改现有网络拓扑,无路由改动的旁路部署。
2.无客户端方案
传统的网络准入需要安装客户端才能进行,有的是需要安装客户端,有的是需要安装浏览器控件,这两种模式都有弊端。首先客户端需要进行下载、安装,造成实施困难,并且会占用客户机运行资源,而且容易产生抵触情绪;而浏览器控件并没有多大的存在意义,因为它是依赖于浏览器而存在,当关闭浏览器后也会结束运行,所以浏览器控件的检查只是象征意义,没有实用价值。
捷普准入控制系统提出的无客户端准入方案,向用户提供一种更为快捷、易用的准入方式,在某些需求和环境中可使用此方案,不使用任何形式的客户端,部署快速、维护简单,也能够实现基本的准入需求。无客户端模式下终端通过使用 WEB 页面就能完成终端准入的全过程,为用户提供一种新的入网体验。
3.页面引导准入
一个好的网络准入产品,必须有很好的引导页面,让用户能够根据引导页面顺利接入网络。捷普准入控制系统为企业员工、外来访客等设计好友好的引导页面,来引导用户登录网络。
4.功能丰富
在充分了解用户需求的基础上,捷普准入控制系统除了提供准入方面的功能外,还为网络管理员以及企业用户提供了大量的高附加值功能,某些功能可能会为企业节省单独购买一套产品的投入,并且能够很大程度上提高了网络管理员的运维工作效率,捷普准入控制系统高附加值功能主要包括以下内容:
ü 补丁管理系统
ü 专业的 DHCP 服务器
ü 软件发布系统
ü 信息通知系统
ü 网络拓扑绘制
ü USB 外设管理
ü 双网互联检测
五、成功案例某企业内部缺乏对未经授权接入内部网络的设备、用户进行限制,导致外部人员可以随意访问网络,存在一定的安全隐患。通过部署捷普网络安全准入系统,严格管理网络边界接入,确保进入网络的设备符合策略,并对非法终端进行隔离修复,以达到对终端接入网络的认证、检查、管控等效果,使得违规终端不能接入内部网络,实现终端接入合规可信。
私信
