《準入控制ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)課件》由會員分享，可在線閱讀，更多相關《準入控制ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)課件（42頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,#,理解準入控制,-NAC,理解準入控制-NAC,1,關于盈高,盈高科技（,INFOGO TECHNOLOGY CO.,LTD,）成立于,2006,年，是國內(nèi),網(wǎng)絡安全準入控制,與終端安全管理領域的專業(yè)廠商。公司總部設在杭州，在北京、湖南、廣東、江西、江蘇、湖北、上海設有分支機構；,國內(nèi),領先,的網(wǎng)絡準,入控制系統(tǒng)解決方案提供商和產(chǎn)品供應,商；,國內(nèi)最早成立安全準入控制試驗室的廠商,之一；,凝聚,了一批具備,CISP/CISSP,等多項安全技術資質 的安全研發(fā)團隊；,

2、與國際知名廠商微軟、,CISCO,、趨勢、,Symantec,等建立長期的戰(zhàn)略合作關系；,浙江省網(wǎng)絡與信息安全信息通報中心技術支持合作單位；,產(chǎn)品自主研發(fā)，獲得國家創(chuàng)新型項目基金；,杭州市科技創(chuàng)新基金；,關于盈高 盈高科技（INFOGO TECHNOLOGY CO,2,內(nèi)網(wǎng)變成了威脅和攻擊的溫床,內(nèi),網(wǎng),安,全,事,故,原,因,分,析,終端整體安全直接關系到,整個網(wǎng)絡,內(nèi)網(wǎng)變成了威脅和攻擊的溫床內(nèi) 終端整體安全直接關系到,3,$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000,來自內(nèi)網(wǎng)的攻擊和破壞是信息安全的最大

3、威脅,病毒,內(nèi)部人員網(wǎng)絡的濫用,內(nèi)部網(wǎng)絡的破壞,網(wǎng)絡內(nèi)部的攻擊和泄密,維護設備的損失,計算機通信內(nèi)容被截取,黑客攻擊,2009,年,調查,源自,計算機犯罪與安全調查報告,來自網(wǎng)絡內(nèi)部的破壞攻,擊是信息安全最大威脅,!,$10,000,000,4,內(nèi),網(wǎng)安全的最大漏洞是終端問題,內(nèi)部缺乏訪問控制，高達,13,登錄密碼太簡單等安全配置不符要求，,造成損失達到,19,因為軟件漏洞，病毒蔓延造成的損失,高達,66,終端軟件漏洞,終端安全配置,終端準入控制,2009,年網(wǎng)絡安全調查,內(nèi)網(wǎng)安全的最大漏洞是終端問題內(nèi)部缺乏訪問控制，高達13登錄,5,內(nèi)網(wǎng)面臨的主要問題,非法設備連入內(nèi)網(wǎng),外來人員終端,(,來

4、賓,上級檢查,第三方維護人員,),內(nèi)部員工私人電腦或內(nèi)外網(wǎng)終端混用,非法設備聯(lián)入內(nèi)網(wǎng)的黑客行為等,.,內(nèi)部合法電腦存在風險和漏洞,安全性偏低,感染率高,未安裝殺毒軟件或病毒庫未更新,重要性的補丁未打,終端其他安全設置問題,(guest,用戶,密碼等,),無法提供很好的全網(wǎng)終端修復手段,沒有一套將上述要求真正落實到 每臺終端的體系,內(nèi)網(wǎng)面臨的主要問題非法設備連入內(nèi)網(wǎng)沒有一套將上述要求真正落實,6,怎樣實現(xiàn)內(nèi)網(wǎng)的安全解決方案？,建立終端入網(wǎng)統(tǒng)一的安全體系,每個入終端都獲得安全規(guī)范的管理,每臺終端安全加固,=,獲得健康安全的內(nèi)網(wǎng),對內(nèi)網(wǎng)實施安全準入,NAC,終端身份識別,(,不同身份、不同訪問權限,

5、),怎樣實現(xiàn)內(nèi)網(wǎng)的安全解決方案？建立終端入網(wǎng)統(tǒng)一的安全體系每個入,7,NAC,（,Network A,dmission,Control,）,網(wǎng)絡準入控制,的功能在于驗證內(nèi)網(wǎng)設備的,身份,和,安全性,。,網(wǎng)絡準入控制概念：,NAC（Network Admission Control,8,國際上對于準入控制技術的分類,Software-based NAC,純軟件方式的準入,Infrastructure-based NAC,與網(wǎng)絡設備聯(lián)動的準入,Appliance-based NAC,單臺設備實現(xiàn)的準入,ARP,欺騙、微軟,NAP,802.1x,、,EOU,、,portal,串聯(lián)方式、旁路方式,國際

6、上對于準入控制技術的分類Software-based N,9,內(nèi)網(wǎng)安全所面臨的新型問題,接入用戶及設備的實名制問題？,安全管理規(guī)范如何落實的問題？,如何快速發(fā)現(xiàn)隱患設備并且如何智能修復？,需要的是一套符合自身行業(yè)特色的安全規(guī)范,內(nèi)網(wǎng)分角色分區(qū)域訪問控制的問題？,實名日志審計問題及級聯(lián)部署、集中管理平臺的問題,內(nèi)網(wǎng)安全所面臨的新型問題接入用戶及設備的實名制問題？安全管理,10,大量客戶端需要安裝,終端用戶對客戶端的反感,維護不易,用戶端資源占用高,購買更多的網(wǎng)絡設備,網(wǎng)絡拓撲的大量改造,影響網(wǎng)絡正常性能,實施,NAC,的挑戰(zhàn),無法充分利用現(xiàn)有網(wǎng)絡資源,大量客戶端需要安裝終端用戶對客戶端的反感維護

7、不易用戶端資源占,11,如何選擇適合自己的準入產(chǎn)品？,如何選擇適合自己的準入產(chǎn)品？,12,要求：對,現(xiàn)有網(wǎng)絡改造越少越好,準則一：是,NAC,適應網(wǎng)絡，不是網(wǎng)絡適應,NAC,現(xiàn)狀：用戶網(wǎng)絡越來越復雜，多種接入方式并存,要求：對現(xiàn)有網(wǎng)絡改造越少越好準則一：是NAC適應網(wǎng)絡，不是網(wǎng),13,第一代軟件準入中的,ARP,方式屬于廉價解決方案，不適合成熟用戶使用；,微軟,NAP,則對操作系統(tǒng)要求較高，并且需要,AD,域,第二代,Infrastructure-based,準入是市場上的主流技術，方案多，架構大多比較成熟，穩(wěn)定性及性能有保證,目前國外比較新興的是采用,Appliance-based,的架構,

8、，特點是采用無客戶端,Agentless,做為解決方案的關鍵,準則二：選擇成熟的準入架構,第一代軟件準入中的ARP方式屬于廉價解決方案，不適合成熟用戶,14,802.1X,就能解決？,EOU?,PORTAL?,。,。,沒有統(tǒng)一標準，多種解決方案并存！,準則三：服務與技術同樣重要,802.1X就能解決？EOU?PORTAL?。沒有,15,所有人的電腦接入都掌握在我這里，穩(wěn)定性不好，這個責任我承擔不起,每天剛上班這段時間最煩了，電腦老是接不上網(wǎng),網(wǎng)絡中心主任,終端用戶,穩(wěn)定性如何保證？,并發(fā)連接能力如何保證？,準則四：產(chǎn)品性能是關鍵,所有人的電腦接入都掌握在我這里，穩(wěn)定性不好，這個責任我承擔不,1

9、6,身份認證,一個強大的準入控制系統(tǒng)必須擁有上述,所有功能,。,它的意義,如果沒有,它.,獨特地識別用戶和設備，并在這兩者間建立關聯(lián),難以將用戶與設備關聯(lián)起來，執(zhí)行何種策略，防止設備欺騙。,訪問控制,與策略管理,創(chuàng)建和使用過于復雜或過難的策略將導致整個項目的廢止。,輕松創(chuàng)建能快速應用于用戶組和角色的全面、精確的策略,隔離和修復,僅知道某一設備不符合安全策略是不夠的,必須有人修復它。,根據(jù)狀態(tài)評估結果采取措施，隔離設備，并使其符合策略,URL-REDIRECT,，,人性化,友好安檢,從無限使用網(wǎng)絡到受限使用，必然會帶來抵觸情緒。,加快用戶了解和適應的過程,準則五：是否是一個完整的“準入系統(tǒng)”？,

10、身份認證一個強大的準入控制系統(tǒng)必須擁有上述它的意義如果沒有獨,17,準則六：從“技術,”,上升為“管理”,ASM,最重要的功能在于把網(wǎng)絡中已有的安全系統(tǒng)（殺毒軟件、補丁系統(tǒng)、桌面管理）有機地聯(lián)系為一個整體，從而實現(xiàn)一體化的管理。概況地說，,ASM,是一個安全架構，具體的內(nèi)容和血肉依賴于各種安全產(chǎn)品。,準則六：從“技術”上升為“管理”ASM最重要的功能在于把網(wǎng)絡,18,回 顧 與 討 論,回 顧 與 討 論,19,盈高,ASM,入網(wǎng)規(guī)范管理系統(tǒng)介紹,盈高ASM入網(wǎng)規(guī)范管理系統(tǒng)介紹,20,盈高,ASM,入網(wǎng)規(guī)范管理系統(tǒng)介紹,什么是,ASM,ASM,的體系架構,ASM,的主要功能,ASM,的技術特色

11、,盈高ASM入網(wǎng)規(guī)范管理系統(tǒng)介紹什么是ASMASM的體系架構A,21,ASM,是盈高精心打造的一款專業(yè)的網(wǎng)絡安全準入控制產(chǎn)品,ASM,是,Access Standard Management,的縮寫,重點突出“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”,經(jīng)過優(yōu)化的安全操作系統(tǒng)平臺，電信級硬件產(chǎn)品,是經(jīng)過國內(nèi)領先的大規(guī)模無客戶端模式,部署案例實踐的系統(tǒng),什么是,ASM,ASM是盈高精心打造的一款專業(yè)的網(wǎng)絡安全準入控制產(chǎn)品什,22,ASM-,大致邏輯原理圖,ASM-大致邏輯原理圖,23,ASM,體系架構,ASM體系架構,24,ASM,的主要功能特色,支持各種網(wǎng)絡環(huán)境下的準入強制技術，充分適應各種復雜網(wǎng)絡,提供多樣化

12、身份認證方式，與第三方身份認證系統(tǒng)聯(lián)動,雙實名認證,+,一鍵式智能修復，大大減輕管理工作量,基于角色的動態(tài)授權訪問控制，可以很方便做到內(nèi)網(wǎng)的訪問布控,不斷升級的安全檢查引擎及規(guī)則庫,詳實的實名制日志審計,級聯(lián)部署，集中管理，形成統(tǒng)一管理報警平臺,ASM的主要功能特色 支持各種網(wǎng)絡環(huán)境下的準入強制技術，充分,25,客戶端初次接入流程,客戶端初次接入流程,26,客戶端身份認證,-,檢查,-,修復,客戶端身份認證-檢查-修復,27,強大的安全檢查、隔離與修復體系,嚴重違規(guī)設備立即隔離,強大的安全檢查、隔離與修復體系 嚴重違規(guī)設備立即隔離,28,多種修復手段支持,強大的安全檢查、隔離與修復體系,多種修

13、復手段支持強大的安全檢查、隔離與修復體系,29,策略化的角色權限控制體系,安全域劃分,策略化的角色權限控制體系 安全域劃分,30,角色綁定安全域,策略化的角色權限控制體系,角色綁定安全域策略化的角色權限控制體系,31,入網(wǎng)時間控制,策略化的角色權限控制體系,入網(wǎng)時間控制策略化的角色權限控制體系,32,創(chuàng)新的,AgentLess,模式,基于規(guī)則匹配模式的的安全檢查引擎，支持安全規(guī)則的不斷更新，確保安全檢查的健壯性,擁有豐富的系統(tǒng)缺省檢查規(guī)則庫，并支持自定義和系統(tǒng)規(guī)則庫的升級，便于應對層出不窮的安全隱患,獨創(chuàng)的,Agentless,安全檢查模式，既可以方便部署又可以滿足安全要求,友好的引導式檢查和

14、修復界面，符合用戶的日常使用習慣，減少安全管理部門的日常維護工作,創(chuàng)新的AgentLess模式基于規(guī)則匹配模式的的安全檢查引擎,33,管理平臺,管理平臺,34,ASM,支持多種,Enforcement,強制技術,ASM,Virtual Gateway,802.1X,DHCP,強制,Firewall,VPN,策略路由,Bridge,CISCO EOU,H3C Portal,/Portal+,DNS Proxy,ASM,支持,多種,Enforcement,強制技術，最大限度的適應企業(yè)的網(wǎng)路實際環(huán)境,ASM支持多種Enforcement強制技術ASMVirtu,35,準入技術擴展功能比較,準入技術,

15、DHCP,強制,虛擬網(wǎng)關,策略路由,802.1X,Cisco EOU,Portal,串聯(lián),重定向,支持,支持,支持,不支持,支持,支持,支持,身份驗證,支持,支持,支持,支持,支持,支持,支持,安全檢查,支持,支持,支持,支持,支持,支持,支持,權限分配,在分配,IP,之前,支持,不支持,支持,不支持,支持,不支持,支持,邊界安全,支持,支持,不,支持,支持,支持,不支持,不,支持,數(shù)據(jù)流量影響,不影響,不影響,有部分影響,不影響,不影響,不影響,影響,單點故障避免,支持,支持,支持,支持,支持,支持,支持,準入技術擴展功能比較準入技術DHCP強制虛擬網(wǎng)關策略路由80,36,ASM,的優(yōu)勢總結

16、,最適合用戶網(wǎng)路環(huán)境的,NAC,產(chǎn)品,基于,Appliance-based,的,NAC,產(chǎn)品,采用多種強制技術確保適合企業(yè)實際情況,部署最方便快捷的,NAC,產(chǎn)品,支持,Agentless,方式進行部署,對企業(yè)的網(wǎng)路改動最小,不僅僅是準入，還提供強大的安全檢查規(guī)則庫,高效的安全檢查引擎,豐富并且不斷更新的安全檢查規(guī)則庫,完備的自我修復環(huán)境支持，提供一體化的友好修復支撐,自主的補丁分析和修復,企業(yè)可定制的自我其它修復,ASM的優(yōu)勢總結最適合用戶網(wǎng)路環(huán)境的NAC產(chǎn)品基于Appli,37,一、完備的安全狀態(tài)評估，可以與第三方產(chǎn)品廣泛集成,二,、基于第三代準入控制技術，集成多種準入控制架構,三、基于角色和安全狀態(tài)的,網(wǎng)絡訪問授權,四,、定期更新升級的安全檢查引擎和檢查規(guī)范庫,五,、支持,AgentLess,模式，靈活,、方便的部署與,維護,ASM,的主要特點,六、支持分級部署，集中管理平臺，提供實名制日志審計,一、完備的安全狀態(tài)評估，可以與第三方產(chǎn)品廣泛集成二、基于第三,38,ASM,案例分析,二,入網(wǎng)設備共約,2500,臺，分布在下屬的,采用策略路由方式進行準入控制,結合,ukey,實現(xiàn)人員