《ACK內(nèi)網(wǎng)規(guī)范管理解決方案實名制準(zhǔn)入控制硬件》由會員分享，可在線閱讀，更多相關(guān)《ACK內(nèi)網(wǎng)規(guī)范管理解決方案實名制準(zhǔn)入控制硬件（38頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,單擊此處編輯母版標(biāo)題樣式,北京艾科網(wǎng)信科技有限公司,創(chuàng)新更安全,Secured by Innovation,概述,北京艾科網(wǎng)新科技有限公司（,ACK,）,ACK,公司基本介紹,ACK,創(chuàng)新歷程,內(nèi)網(wǎng)安全現(xiàn)狀,內(nèi)網(wǎng)混亂及及分析,內(nèi)網(wǎng)需要規(guī)范管理,內(nèi)網(wǎng)規(guī)范管理解決方案,方案的整體架構(gòu),ACK,創(chuàng)新產(chǎn)品系列,ACK,十大特色功能,產(chǎn)品資質(zhì),成功案例,ACK,公司基本介紹,2007,年成立，總部設(shè)在北京；,2011,年，首推內(nèi)網(wǎng)規(guī)范管理的

2、理念；,專業(yè)致力于研究、開發(fā)、推廣網(wǎng)絡(luò)準(zhǔn)入技術(shù)和實名制,ID,網(wǎng)絡(luò)；,擁有全部自主知識產(chǎn)權(quán)，,4,項中國專利、,2,項美國專利；,2002,年，,ACK,創(chuàng)建者創(chuàng)辦,A10,，研發(fā)的產(chǎn)品獲得日本和美國的,InterOp,國際大獎；,創(chuàng)始人員來自于,HP,、,Motorola,、,Juniper,、,Yahoo,、華為等高科技公司,擁有政府、電信運營商、電力、金融、大型企業(yè)等眾多案例；,ACK,創(chuàng)新歷程,ACK,首創(chuàng),“實名制,ID,網(wǎng)絡(luò)”概念,ACK,首創(chuàng)第一代,DHCP,準(zhǔn)入控制技術(shù),ACK,推出實名制,ID,網(wǎng)管平臺（,IDNac,）,ACK,推出實名制,ID,日志存儲設(shè)備（,IDLog,

3、）,ACK,首創(chuàng)“動態(tài)安全域”技術(shù),ACK,推出實名制,ID,運維設(shè)備（,IDGuard,）,ACK,首創(chuàng)“內(nèi)網(wǎng)規(guī)范管理”解決方案,ACK,推出實名制,ID,準(zhǔn),入網(wǎng)關(guān)（,IDWall,）,ACK,首創(chuàng)第二代,DHCP,準(zhǔn),入控制技術(shù),ACK,成立，專注創(chuàng)新、專注安全,2007,年,4,月,2007,年,4,月,2007,年,6,月,2007,年,10,月,2008,年,9,月,2008,年,11,月,2009,年,10,月,2010,年,9,月,2010,年,10,月,2011,年,3,月,內(nèi)網(wǎng)安全現(xiàn)狀,內(nèi)網(wǎng)混亂,安全威脅多,病毒、木馬層出不窮,內(nèi)網(wǎng),DDOS,攻擊,系統(tǒng)補丁不全,漏洞攻擊,

4、無線安全隱患,智能終端、移動設(shè)備的安全問題,員工繞過防火墻訪問,管理難題多,任何人和終端均可進入網(wǎng)絡(luò)；,IP,使用失控，私改,IP,現(xiàn)象嚴重；,員工私自安裝軟件、開啟危險服務(wù)；,主機和設(shè)備維護缺乏必要監(jiān)管；,無法快速定位威脅的源頭；,沒有統(tǒng)一的安全策略；,內(nèi)網(wǎng)混亂的本質(zhì)原因,一切安全風(fēng)險皆來自于人帶來的威脅,；,利用內(nèi)網(wǎng)先天安全性不足；,現(xiàn)有安全技術(shù)多為被動防御技術(shù)；,管理手段較為單一；,法規(guī)遵從意識不足；,人的威脅,網(wǎng)絡(luò)層威脅,終端層,威脅,應(yīng)用層,威脅,物理層,威脅,內(nèi)網(wǎng)需要規(guī)范管理,內(nèi)網(wǎng)安全,先管人,ACK,內(nèi)網(wǎng)規(guī)范管理,解決方案,ACK,內(nèi)網(wǎng)規(guī)范管理架構(gòu),ACK,創(chuàng)新產(chǎn)品系列,ACK,

5、的十大特色功能,實名準(zhǔn)入控制,終端健康檢查,訪客管理,高可用性,全網(wǎng)日志儲存,IP,地址管理,網(wǎng)絡(luò)邊界監(jiān)護,網(wǎng)絡(luò)威脅定位,網(wǎng)絡(luò)訪問控制,網(wǎng)絡(luò)運維管理,高風(fēng)險,較危險,危險降低,更安全,簡化管理,難于管理,-,更安全,-,更容易管理,-,網(wǎng)絡(luò)規(guī)范管理,終端規(guī)范管理,用戶規(guī)范管理,支持六種準(zhǔn)入控制技術(shù),(802.1x/EoU/DHCP/ARP/SNMP,準(zhǔn)入控制技術(shù)）,功能一、實名制準(zhǔn)入控制,小型分支機構(gòu),大型分支機構(gòu),IDNAC,IDWall,IDNAC HA-,備,IDNAC HA-,主,安全邊界,安全邊界,Internet,Firewall,VPN,專線,Trunk,Trunk,Cisco/

6、802.1x,H3C/802.1x,Dlink Sw,HUB,IDSensor,網(wǎng)絡(luò)規(guī)范管理,終端規(guī)范管理,用戶規(guī)范管理,支持六種準(zhǔn)入控制技術(shù),802.1X/EOU/DHCP/ARP/,網(wǎng)關(guān)準(zhǔn)入,/SNMP,免客戶端、免插件,LDAP/CA/Radius/AD,認證,強大的用戶管理,內(nèi)置多因素認證技術(shù),CA/,動態(tài)密碼卡,/Ukey/,手機短信等,10,分鐘旁路部署，不改網(wǎng)絡(luò)結(jié)構(gòu),功能一、實名制準(zhǔn)入控制,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,功能二、終端健康檢查,終端認證,設(shè)備分類識別,強制插件安裝,強制安全隔離,入網(wǎng)前檢查,入網(wǎng)后檢查,安全隔離,安全修復(fù),不合法不合規(guī),網(wǎng)絡(luò)規(guī)范管理,用戶

7、規(guī)范管理,終端規(guī)范管理,功能二、終端健康檢查,終端認證,設(shè)備分類識別,強制插件安裝,強制安全隔離,終端合規(guī)性檢查,安全修復(fù)向?qū)?免插件軟件識別,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,功能二、終端健康檢查,終端認證,設(shè)備分類識別,強制插件安裝,強制安全隔離,終端合規(guī)性檢查,安全修復(fù)向?qū)?免插件軟件識別,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,MAC1,:,192.168.1.1,MAC2,:,192.168.1.2,MAC3,:,192.168.1.3,IP,池,功能三、實名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造；,Computer1:,M

8、AC1,Computer2:,MAC2,Computer3:,MAC3,DHCP,服務(wù)器,192.168.1.1,192.168.1.2,192.168.1.3,User1,User2,User3,User1:192.168.1.1,User2,:,192.168.1.2,User3,:,192.168.1.3,普通,IP,池,Computer1:,MAC1,Computer2:,MAC2,Computer3:,MAC3,10.168.1.1,10.168.1.2,10.168.1.3,User1,User2,User3,ACK,MAC1,:10.168.1.1,MAC2,:,10.168.1

9、.2,MAC3,:,10.168.1.3,隔離,IP,池,用戶認證,192.168.1.1,192.168.1.2,192.168.1.3,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能三、實名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造；,動態(tài)劃分安全域,多元綁定,IPAM,監(jiān)測,IP,地址使用統(tǒng)計,非法,IP,阻塞,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能三、實名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造；,動態(tài)劃分安全域,多元綁定,IPAM,監(jiān)測,IP,地址使用統(tǒng)計,非法,IP,阻塞,用戶

10、,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能四、訪客管理,訪客網(wǎng)與辦公網(wǎng)隔離,利用現(xiàn)有網(wǎng)絡(luò)，不改變網(wǎng)絡(luò)配置,訪客入網(wǎng)無物理限制,訪客入網(wǎng)需員工授權(quán),訪客權(quán)限控制,訪客入網(wǎng)審計,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能五、網(wǎng)絡(luò)威脅定位,定位到人和交換機端口,非法接入定位,異常終端定位,私接設(shè)備定位,交換機異常互聯(lián)定位,增強可視性,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能六、,網(wǎng)絡(luò)邊界監(jiān)控,分布式的邊界監(jiān)控,設(shè)備“網(wǎng)絡(luò)指紋”識別,內(nèi)外網(wǎng)互聯(lián)監(jiān)控,非法外聯(lián)監(jiān)控,假冒網(wǎng)絡(luò)設(shè)備,IDNAC HA-,備,IDNAC HA-,主,內(nèi)網(wǎng)邊界,內(nèi)網(wǎng)邊界,Firewall,Trunk,Trunk,

11、H3C,Dlink Sw,HUB,IDSensor,網(wǎng)絡(luò)設(shè)備,3G,網(wǎng)卡上網(wǎng),匯聚層,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能七、網(wǎng)絡(luò)訪問控制,訪問權(quán)限控制,控制入網(wǎng)位置,保護核心資源,遠程終端準(zhǔn)入,安全聯(lián)動,數(shù)據(jù)庫,ERP,OA,各類應(yīng)用資源,IDNac A100,IDWall,準(zhǔn)入成功,VPN/Firewall,訪問控制,stop,準(zhǔn)入控制,準(zhǔn)入失敗,認證成功,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能八、全網(wǎng)日志管理,高性能日志收集,日志海量存儲,實名日志搜索和審計,實名日志報表,滿足等保要求,IDLog L200/L210/L2000/L2100,用戶,規(guī)范管理,終端規(guī)范

12、管理,網(wǎng)絡(luò)規(guī)范管理,功能九、網(wǎng)絡(luò)運維管理,設(shè)備維護單點登錄,維護權(quán)限集中管理,操作行為實名審計,高安全性,IDGuard,功能十、高可用性,集中式熱備,分布式災(zāi)備,應(yīng)急逃生,分級分權(quán)管理,IDMonitor,ACK,產(chǎn)品資質(zhì),公司資質(zhì),產(chǎn)品資質(zhì),ACK,成功案例,案例匯總,電信。電力。金融。政府。企業(yè),某大企業(yè)全網(wǎng)部署,四級部署,某大企業(yè)案例分析,某大企業(yè)特點：,規(guī)范大：,中國三大企業(yè)之一。人數(shù)：,150,萬，終端數(shù),100,萬，收入,1,萬億；,分級管理：,4,級管理（集團,省,地,縣）；,網(wǎng)絡(luò)復(fù)雜：,僅交換機品牌、型號,200;,需要解決問題：,邊界破損：,網(wǎng)絡(luò)邊界被破壞（私接終端、,Hu

13、b,、路由器、無線,AP,、,3G,網(wǎng)卡）；,終端脫韁：,不裝和卸載桌面軟件；,網(wǎng)絡(luò)混亂：,無人清楚內(nèi)網(wǎng)當(dāng)前有多少終端、有多少,IP,、有多少設(shè)備、有多少人在上網(wǎng)。,IP,地址管理混亂、交換機端口綁定混亂、管理手段落后（手工綁定錯誤不斷、經(jīng)常造成安全事故）；,領(lǐng)導(dǎo)總結(jié)：,“安全不是用量來衡量的！非法設(shè)備，只要有一臺，就會危害全網(wǎng)；脫韁終端只要有一個，就可能,機密外泄,！”；,某大企業(yè)案例分析,解決方法：,規(guī)范管理：,采用,ACK,內(nèi)網(wǎng)規(guī)范管理解決方案，全網(wǎng)實施“,ID,網(wǎng)管平臺”；,分級管控：,上級單位定“大規(guī)定”，下級單位定“小政策”，各級單位只管“人員”；,加強可視性：,不出集團，就可看到

14、鄉(xiāng)供電所的終端情況；,解決混亂：,徹底解決“網(wǎng)絡(luò)管理混亂”問題；,試點效果：,發(fā)現(xiàn)多個,“脫韁”,終端；,發(fā)現(xiàn)多個,“非法”,設(shè)備；,實現(xiàn)了靜態(tài),IP,，中心下發(fā)；,實現(xiàn)了全網(wǎng)的“可視、可控、可查”；,某大部委：證書,+,準(zhǔn)入,IDNAC,對內(nèi)網(wǎng)的實現(xiàn)準(zhǔn)入控制，核查吉大證書和檢查終端合規(guī)性。,IDWall,與,IDNAC,聯(lián)動，核查用戶身份，根據(jù)終端訪問目的，檢查認證強度和權(quán)限。,IDWall,對關(guān)聯(lián)單位進入部委網(wǎng)絡(luò)進行用吉大證書認證后進行終端合規(guī)檢查。,只有通過吉大證書認證和終端合規(guī)檢查，才能進入上級部委內(nèi)部網(wǎng)絡(luò)。,IDWall,同時對外來終端的訪問按單位、按部門、按人進行不同的路徑限制。,

15、國家電力監(jiān)管委員會,項目背景,：,國家電力監(jiān)管委員會（以下簡稱電監(jiān)會）是電力行業(yè)的監(jiān)管者，根據(jù)國務(wù)院授權(quán)，行使行政執(zhí)法職能，統(tǒng)一履行行業(yè)監(jiān)管職責(zé)。根據(jù)國家信息系統(tǒng)等級保護的要求，需要進一步完善電監(jiān)會的網(wǎng)絡(luò)安全建設(shè)，實現(xiàn)網(wǎng)絡(luò)層的接入控制。,部署后效果,：,達到等級保護要求：接入認證、網(wǎng)絡(luò)終端管理、用戶管理和授權(quán)；,及時發(fā)現(xiàn)定位,ARP,病毒源；,非法接入終端的阻斷和報警；,不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，完全兼容原有網(wǎng)絡(luò)設(shè)備，極大保護了早期投資；,用戶自服務(wù)，每個用戶自己維護密碼；,用戶：“我們測試了多個品牌，,ACK,的產(chǎn)品對網(wǎng)絡(luò)的要求最低，兼容性最高，有推廣的價值！”,韶關(guān)發(fā)電廠,面臨的,威脅：,任何人

16、,、,任何終端,任意,接入辦公網(wǎng),，,內(nèi)部資源,沒有保障；,辦公網(wǎng),用戶私自篡改,IP/MAC,地址，試圖仿冒高級權(quán)限的用戶終端，繞過防火墻策略上網(wǎng)；,IP,沖突，管理員無法定位沖突源；,韶關(guān)發(fā)電廠鄒主任：“,ACK,的產(chǎn)品不錯，不少困擾多年的安全問題解決了！”,部署后效果,：,所有用戶認證后才能入網(wǎng)，隔離非法用戶；,所有終端符合內(nèi)網(wǎng)規(guī)范才能入網(wǎng)；,阻斷,篡改,IP/MAC,地址的終端；,協(xié)助發(fā)現(xiàn)各種,ARP,攻擊和異常流量；,各種非法和不合規(guī)接入直接報警；,廣東移動茂名分公司,項目背景,：,中國移動的,BSS,是一個獨立封閉的網(wǎng)絡(luò)，網(wǎng)維部門有大量的外維人員，負責(zé)不同領(lǐng)域的維護，人員流動性大，管理松散，存在較多網(wǎng)絡(luò)安全隱患，一旦出現(xiàn)安全事故，難以追究直接責(zé)任人；,部署后效果,：,全面兼容現(xiàn)有的,Cisco,、華為、傻瓜交換機；,外維人員接入網(wǎng)絡(luò)自動獲取,IP,，自動認證，首次入網(wǎng)的外維人員進入自助服務(wù)頁面注冊，管理員審批后生效；,外維人員自帶終端首次入網(wǎng)，自動進行終端注冊，自動登記終端的硬件信息；,自動授權(quán)，根據(jù)用戶,ID,分配相應(yīng)權(quán)限的,IP,；,監(jiān)控區(qū)的主機免身份認證，自動校驗終端