解決方案
SOLUTION
終端準(zhǔn)入控制系統(tǒng)
終端準(zhǔn)入控制解決方案
面臨現(xiàn)狀
內(nèi)部網(wǎng)絡(luò)中往往存在著大量的重要數(shù)據(jù)或機(jī)密信息,為了防止重要信息外泄,很多單位實(shí)施了內(nèi)、外網(wǎng)物理隔離。即便如此,仍會(huì)有很多危險(xiǎn)威脅著內(nèi)網(wǎng)的安全,終端的非法接入行為即是內(nèi)網(wǎng)重要數(shù)據(jù)流失和引入病毒的主要隱患之一。對(duì)于已經(jīng)實(shí)施了物理隔離的內(nèi)網(wǎng)而言,嚴(yán)格有效的網(wǎng)絡(luò)準(zhǔn)入管理是最為重要的安全管理措施。
面臨問題
非法接入者常常通過仿冒網(wǎng)內(nèi)合法計(jì)算機(jī)的IP和計(jì)算機(jī)名、與網(wǎng)內(nèi)合法的任一設(shè)備或任一終端通過直連、私接路由的方式躲避網(wǎng)絡(luò)準(zhǔn)入管理產(chǎn)品的監(jiān)控,這些非法入網(wǎng)的途徑防不勝防,覬覦者時(shí)刻威脅著網(wǎng)絡(luò)的安全。
另一方面,由于單位的業(yè)務(wù)需求,對(duì)于入網(wǎng)的計(jì)算機(jī)不適合采用單一的管理方式,既要能夠防止非法入網(wǎng),又應(yīng)該允許一些合法的外來計(jì)算機(jī)臨時(shí)性入網(wǎng),而且對(duì)這些合法入網(wǎng)的外來計(jì)算機(jī)也需要進(jìn)行有效的管理,不能全網(wǎng)全盤開放,使其成為合法的入侵者。而對(duì)于網(wǎng)內(nèi)新增的合法計(jì)算機(jī)或者合法的外來計(jì)算機(jī),也不能隨意的任其入網(wǎng),因?yàn)樗芸赡艹蔀椴《镜膫鞑フ摺R虼耍挥袑?shí)施完整的管理和必要的檢查才能真正地保證網(wǎng)絡(luò)安全。
另外,根據(jù)企業(yè)需要,可能需要對(duì)入網(wǎng)的計(jì)算機(jī)安裝一些必要的軟件,例如管理軟件或殺毒軟件等。但隨著時(shí)間的推移,很難保證這些軟件都能夠正常被運(yùn)行。重新部署,即浪費(fèi)人力物力,又無法保證不會(huì)再次流失。
綜上所述,用戶面對(duì)的不是簡(jiǎn)單的網(wǎng)絡(luò)準(zhǔn)入管理產(chǎn)品品牌或技術(shù)層面的篩選,而是對(duì)解決方案實(shí)用性的評(píng)估和選擇。
解決方案
威盾終端準(zhǔn)入管理解決方案是通過定義一個(gè)可信域,允許可信域內(nèi)的計(jì)算機(jī)互相訪問,而禁止非可信域內(nèi)的計(jì)算機(jī)與可信域內(nèi)的計(jì)算機(jī)進(jìn)行通訊,從而杜絕任何形式的非法入網(wǎng),徹底防止非法計(jì)算機(jī)利用直插網(wǎng)線、仿冒內(nèi)網(wǎng)合法計(jì)算機(jī)IP和計(jì)算機(jī)名、直連網(wǎng)內(nèi)合法計(jì)算機(jī)、私接路由這些常見和難以管理的方式違規(guī)入網(wǎng)。
同時(shí),對(duì)于外來合法入網(wǎng)的計(jì)算機(jī),如廠家服務(wù)人員或各類外協(xié)人員攜帶的計(jì)算機(jī),當(dāng)其接入網(wǎng)絡(luò)時(shí)可同步實(shí)施嚴(yán)格的管理,有效限制其訪問的網(wǎng)絡(luò)范圍,既可保證外來計(jì)算機(jī)在限定的網(wǎng)絡(luò)空間內(nèi)順利的完成工作,又可以防止其觸及網(wǎng)內(nèi)高密級(jí)區(qū),威脅敏感信息的安全。另外,對(duì)所有合法進(jìn)入網(wǎng)絡(luò)的計(jì)算機(jī)在入網(wǎng)前將進(jìn)行必要的安全檢查,確保每臺(tái)計(jì)算機(jī)都符合既定的安全規(guī)范,防止其成為病毒攜帶者威脅網(wǎng)絡(luò)安全和穩(wěn)定。
威盾終端準(zhǔn)入管理解決方案主要分為三方面:
終端合法檢查,檢查終端入網(wǎng)的合法性,比如:終端是否安裝了客戶端,終端的IP/MAC是否合法等。
終端合規(guī)檢查,檢查終端計(jì)算機(jī)環(huán)境是否符合規(guī)范要求,例如:終端是否安裝了指定的殺毒軟件,終端是否修復(fù)了操作系統(tǒng)補(bǔ)丁,不允許上網(wǎng)的終端是否上過網(wǎng)等。
終端權(quán)限管理,對(duì)合法、合規(guī)聯(lián)入的終端進(jìn)行權(quán)限的管理控制,例如:聯(lián)入內(nèi)網(wǎng)的終端不能外聯(lián),聯(lián)入內(nèi)網(wǎng)的終端只能訪問指定的服務(wù)器,聯(lián)入內(nèi)網(wǎng)的終端只能使用與業(yè)務(wù)相關(guān)的應(yīng)用程序等。
無客戶端準(zhǔn)入管理
隨著企業(yè)的發(fā)展,越來越多的合作伙伴或者客戶需要接入到公司內(nèi)網(wǎng),但對(duì)于需要安裝客戶端的終端來說,這無疑給管理員和客戶都帶來的麻煩。威盾終端準(zhǔn)入管理方案根據(jù)此類用戶需求,通過在LDAP服務(wù)器中配置臨時(shí)入網(wǎng)賬戶組,在此組下的終端才能以無客戶端形式的進(jìn)入企業(yè)內(nèi)網(wǎng),選擇性的訪問部分網(wǎng)絡(luò)。這樣既能滿足客戶的臨時(shí)性需求,又能同時(shí)保證企業(yè)的內(nèi)網(wǎng)安全。
無客戶端的終端在初次訪問網(wǎng)絡(luò)時(shí),系統(tǒng)重定向到入網(wǎng)申請(qǐng)頁面。終端用戶提交入網(wǎng)申請(qǐng)后,等待管理審核,審核通過管理員將在臨時(shí)入網(wǎng)賬號(hào)組中分配終端申請(qǐng)人賬號(hào)。申請(qǐng)人通過分配的臨時(shí)入網(wǎng)賬號(hào),通過網(wǎng)頁登錄時(shí),可臨時(shí)訪問網(wǎng)絡(luò)。
VPN環(huán)境的準(zhǔn)入管理
隨著企業(yè)的發(fā)展,需要分支機(jī)構(gòu),在外辦公人員、合作伙伴在互聯(lián)網(wǎng)環(huán)境下,通過VPN接入內(nèi)網(wǎng),但VPN只保證了通訊過程的安全性,對(duì)于入網(wǎng)的終端并沒有進(jìn)行有效的管控,這就可能導(dǎo)致入網(wǎng)的終端給企業(yè)帶來安全威脅。威盾準(zhǔn)入管理方案可以實(shí)現(xiàn)接入終端在撥號(hào)連接后跳轉(zhuǎn)到到radius服務(wù)器進(jìn)行認(rèn)證,認(rèn)證通過后,再由radius服務(wù)器轉(zhuǎn)發(fā)VPN認(rèn)證信息到VPN服務(wù)器完成認(rèn)證。從而提升VPN接入環(huán)境下的終端準(zhǔn)入管理。
CA準(zhǔn)入認(rèn)證管理
威盾終端準(zhǔn)入管理可有效聯(lián)動(dòng)第三方CA服務(wù)器,完成證書信息有效性的驗(yàn)證,然后再將證書序列號(hào)取出,用LDAP用戶信息進(jìn)行匹配,若匹配到用戶信息則CA證書被認(rèn)為認(rèn)證通過。可有效增加用戶的管理級(jí)別,提高管理顆粒度,使得管控涵蓋終端與使用人。
非終端類型設(shè)備的準(zhǔn)入
企業(yè)的現(xiàn)實(shí)網(wǎng)絡(luò)當(dāng)中,不可避免的存在打印機(jī)、刻錄機(jī)等設(shè)備,威盾終端準(zhǔn)入管理方案能夠?qū)崿F(xiàn)實(shí)現(xiàn)對(duì)打印機(jī)、掃描儀等非終端計(jì)算機(jī)設(shè)備的入網(wǎng)例外配置。提高網(wǎng)內(nèi)設(shè)備的識(shí)別準(zhǔn)確度,可讓企業(yè)管理員清楚的知道哪個(gè)是終端,哪個(gè)是打印等設(shè)備。避免管理盲點(diǎn)。
部署方式
產(chǎn)品能夠支持網(wǎng)橋,旁路,策略路由等多種部署模式,適應(yīng)各種網(wǎng)絡(luò)環(huán)境和接入方式。
使用準(zhǔn)入網(wǎng)關(guān)作為管理服務(wù)器,旁路連接在核心交換機(jī)上。負(fù)責(zé)終端集中管理。這樣不但能夠?qū)崿F(xiàn)全面無漏洞的準(zhǔn)入管理,同時(shí)能夠分擔(dān)準(zhǔn)入管理壓力,使準(zhǔn)入控制響應(yīng)速度更快。
部署方案
準(zhǔn)入網(wǎng)關(guān)應(yīng)能夠?qū)?duì)每一個(gè)試圖進(jìn)入網(wǎng)絡(luò)的終端準(zhǔn)入控制,阻止非法終端訪問重要的業(yè)務(wù)服務(wù)器。采用瀏覽器重定向機(jī)制,當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)并訪問重要服務(wù)器時(shí),準(zhǔn)入網(wǎng)關(guān)會(huì)檢查其是否安裝了管理平臺(tái)客戶端軟件,若未安裝客戶端的計(jì)算機(jī)使用瀏覽器訪問網(wǎng)絡(luò),將自動(dòng)彈出友好的提醒網(wǎng)頁,指導(dǎo)用戶主動(dòng)安裝客戶端并與管理員聯(lián)系獲得訪問授權(quán),終端用戶安裝客戶端程序并獲得管理員的授權(quán)后,即可訪問服務(wù)器。
旁路模式部署優(yōu)勢(shì)體現(xiàn):
旁路模式部署起來比較靈活方便,只需要在交換機(jī)上面配置鏡像端口即可。不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。
旁路模式分析的是鏡像端口拷貝過來的數(shù)據(jù),對(duì)原始傳遞的數(shù)據(jù)包不會(huì)造成延時(shí),不會(huì)對(duì)網(wǎng)速造成任何影響。
旁路模式準(zhǔn)入設(shè)備一旦故障或者停止運(yùn)行,不會(huì)影響現(xiàn)有網(wǎng)絡(luò)。不會(huì)產(chǎn)生單點(diǎn)失敗的故障。
準(zhǔn)入機(jī)制只分析數(shù)據(jù)包中特定的很小部分,即可判斷終端合法性進(jìn)行分析,不會(huì)造成網(wǎng)絡(luò)擁堵,既準(zhǔn)入設(shè)備不會(huì)成為網(wǎng)絡(luò)瓶頸。
準(zhǔn)入機(jī)制對(duì)多VLAN、VPN、NAT等各種復(fù)雜的網(wǎng)絡(luò)環(huán)境都有完整的支持和管控。
方案優(yōu)勢(shì)
無需網(wǎng)絡(luò)設(shè)備支持,適用于任何類型網(wǎng)絡(luò);
無需修改任何網(wǎng)絡(luò)配置,不受防火墻限制;
有效控制仿冒合法IP和計(jì)算機(jī)名入網(wǎng);
有效控制與網(wǎng)內(nèi)計(jì)算機(jī)直連入網(wǎng);
有效控制私接路由入網(wǎng);
針對(duì)跨互聯(lián)網(wǎng)連接的窄帶網(wǎng)絡(luò)提供小于300K的客戶端,下載安裝更快。
