NAC解決方案說(shuō)明

NAC解決方案說(shuō)明TippingPoint2023公司簡(jiǎn)介2023年初，TippingPointRSA安全峰會(huì)上退出了IPS產(chǎn)品，令當(dāng)時(shí)的與會(huì)者嘆為觀止。20233COM收購(gòu)。目前3Com公司的一個(gè)子公司，是為合作公司、政府機(jī)構(gòu)、效勞供給商以及學(xué)術(shù)機(jī)構(gòu)供給基于網(wǎng)絡(luò)的入侵防范系統(tǒng)的主要供給商。IPS市場(chǎng)的特征比方間諜軟件防護(hù)和多路千兆吞吐量市TippingPointVoIP安全、帶寬治理、層“推舉配置”等這些全部功能的入侵防范系統(tǒng)。2023NAC,作為NACIPS無(wú)法防范內(nèi)部特別流量和TippingPointIPS聯(lián)動(dòng)做到真正的實(shí)時(shí)特別行為的隔離。部署說(shuō)明NAC技術(shù)簡(jiǎn)介網(wǎng)絡(luò)準(zhǔn)入把握(NAC進(jìn)展了特地設(shè)計(jì)，可確保為訪問(wèn)網(wǎng)絡(luò)資源的全部終端設(shè)備PDA等)供給足夠保護(hù)，以防范網(wǎng)絡(luò)安TippingPoint參與的市場(chǎng)領(lǐng)先的打算，NAC引起了媒體、分析公司及各規(guī)模機(jī)構(gòu)的廣泛關(guān)注。NAC的優(yōu)勢(shì)安全報(bào)告稱，雖然安全技術(shù)多年來(lái)始終在進(jìn)展且安全技術(shù)的失、數(shù)據(jù)損壞或毀壞以及生產(chǎn)率降低等問(wèn)題，給機(jī)構(gòu)帶來(lái)了巨大的經(jīng)濟(jì)影響。明顯，僅憑傳統(tǒng)的安全解決方案無(wú)法解決這些問(wèn)題。TippingPoint公司開(kāi)發(fā)出絡(luò)環(huán)境中的全部設(shè)備都符合安全策略。NAC允許您分析并把握試圖訪問(wèn)網(wǎng)絡(luò)的全部設(shè)備。通過(guò)確保每個(gè)終端設(shè)備都符合企業(yè)安全策略(例如運(yùn)行最相關(guān)的、最先進(jìn)的安全保護(hù)措施)，機(jī)構(gòu)可大幅度削減甚至是消退作為常見(jiàn)感染源或危害網(wǎng)絡(luò)的終端設(shè)備的數(shù)量。大幅度提高網(wǎng)絡(luò)安全性雖然大多數(shù)機(jī)構(gòu)都使用身份治理及驗(yàn)證、授權(quán)和記帳(AAA)機(jī)制來(lái)驗(yàn)證用戶并為其安排網(wǎng)絡(luò)訪問(wèn)權(quán)限，但這些對(duì)驗(yàn)證用戶終端設(shè)備的安全狀況幾乎不起任何作大風(fēng)險(xiǎn)之中。公司領(lǐng)導(dǎo)的行業(yè)打算之上的一系列技術(shù)和解決方案。NAC使用網(wǎng)絡(luò)根底設(shè)施對(duì)試圖訪問(wèn)網(wǎng)絡(luò)計(jì)算資源的全部設(shè)備執(zhí)行安全策略檢NAC(PCPDA等)訪問(wèn)網(wǎng)絡(luò)，并把握不符合策略或不行治理的設(shè)備訪問(wèn)網(wǎng)絡(luò)。(LAN、WAN、無(wú)線或遠(yuǎn)程訪問(wèn)設(shè)備)都將自動(dòng)申請(qǐng)已安裝的客戶端或評(píng)估工具供給終端設(shè)備的安全通過(guò)組件更使設(shè)備到達(dá)策略符合水平。NAC執(zhí)行的某些安全策略符合檢查包括：推斷設(shè)備是否運(yùn)行操作系統(tǒng)的授權(quán)版本。通過(guò)檢查來(lái)查看操作系統(tǒng)是否安裝了適當(dāng)補(bǔ)丁，或完成了最的熱修復(fù)。推斷設(shè)備是否安裝了防病毒軟件以及是否帶有最的系列簽名文件。確保已翻開(kāi)并正在運(yùn)行防病毒技術(shù)。推斷是否已安裝并正確配置了個(gè)人防火墻、入侵防范或其他桌面系統(tǒng)安全軟件。檢查設(shè)備的企業(yè)鏡像是否已被修改或篡改。NAC隨后依據(jù)上述問(wèn)題的答案做出基于策略的明智的網(wǎng)絡(luò)準(zhǔn)入決策。實(shí)施NAC解決方案的某些優(yōu)勢(shì)包括：幫助確保全部的用戶網(wǎng)絡(luò)設(shè)備都符合安全策略，從而大幅度提高網(wǎng)絡(luò)的安的攻擊，機(jī)構(gòu)可將留意力放在主動(dòng)防范上〔而不是被動(dòng)響應(yīng)〕。和治理軟件的價(jià)值。檢測(cè)并把握試圖連接網(wǎng)絡(luò)的全部設(shè)備，不受其訪問(wèn)方法的影響(如路由器、交換機(jī)、無(wú)線、VPN和撥號(hào)等)，從而提高企業(yè)永續(xù)性和可擴(kuò)展性。防止不符合策略和不行治理的終端設(shè)備影響網(wǎng)絡(luò)可用性或用戶生產(chǎn)率。本錢。TippingPointNACPolicyServer(NPS)NAC解決方案的中心治理把握臺(tái)，它容納主要〔LDAPActiveDirectory〕的server以處理認(rèn)證懇求、供給規(guī)律以打算網(wǎng)絡(luò)政策、以及NACNAC系統(tǒng)所需的全部配置數(shù)據(jù)，包括與后端辦公室系統(tǒng)建立界面所需的數(shù)據(jù)、802.1X交換器設(shè)備列表、驅(qū)動(dòng)網(wǎng)絡(luò)政策引擎的數(shù)據(jù)、具體的端點(diǎn)連線記錄以及它們的安全狀態(tài)評(píng)估結(jié)果。NAC政策執(zhí)行所需的全部效勞。再者，NPS與安裝在企業(yè)DHCP租約(lease)執(zhí)政策執(zhí)行(DHCPenforcement)功能，可以修改使用者的IP路徑至修復(fù)網(wǎng)站。TippingPointNACPolicyEnforcer(NPE)TippingPointNPE是一種具備即時(shí)分析力氣的裝置(in-lineappliance)，依據(jù)使用置訪問(wèn)規(guī)章，而不會(huì)像傳統(tǒng)以端口為根底(port-based)的網(wǎng)絡(luò)區(qū)段劃分方法受到地inline政策執(zhí)行工具，確保唯有合法使用者NACPolicyServerNACPolicyEnforcer支持約802.1QVLAN中繼(Trunking)。NACPoliceServer(NPS策略效勞器)：負(fù)責(zé)定制策略、認(rèn)證代理〔radius，、DHCP效勞、WEB門戶〕：NPS聯(lián)動(dòng)，8021X認(rèn)證、重定向效勞NACClient〔客戶端〕：移動(dòng)終端、無(wú)線終端和主機(jī)部署方式NPS旁路就近連接在二層交換機(jī)的內(nèi)側(cè)。工作流程如下客戶端發(fā)送接入懇求到交換機(jī)NPE，NPENPS進(jìn)展處理〔地理位置、IP、用戶信息、MAC地址等〕A/V對(duì)來(lái)推斷是否用戶身份合法假設(shè)用戶身份合法，則讓其通過(guò)。反之進(jìn)展隔離。部署方式IPS+NAC當(dāng)客戶端接入后再次下載了病毒進(jìn)展網(wǎng)絡(luò)攻擊，IPS可以進(jìn)展網(wǎng)關(guān)攔截SMSNPSVLAN削減網(wǎng)絡(luò)安全弱點(diǎn)讓未授權(quán)使用者和裝置遠(yuǎn)離網(wǎng)絡(luò)NAC環(huán)境內(nèi)，每一臺(tái)裝置及其使用者都必需承受嚴(yán)格的認(rèn)IT治理人員能夠分級(jí)管控訪問(wèn)特定網(wǎng)絡(luò)資源的使用者和裝置。依照任務(wù)、裝置類別、狀態(tài)、地點(diǎn)和時(shí)段限制訪問(wèn)以依照端點(diǎn)狀態(tài)、地點(diǎn)和時(shí)段實(shí)施訪問(wèn)把握。多重訪問(wèn)把握方法-802.1X、DHCPIn-LineBlockingServer可以利用多種政策執(zhí)行整個(gè)網(wǎng)絡(luò)的訪Enforcerin-line政策執(zhí)行、以及這些方法的任意組合。連線前與連線后端點(diǎn)監(jiān)控，降低惡意軟件攻擊風(fēng)險(xiǎn)TippingPointNAC解決方案供給連線前與連線后之端點(diǎn)狀態(tài)監(jiān)控，預(yù)防惡意軟件侵修補(bǔ)，通過(guò)檢測(cè)后才授予訪問(wèn)權(quán)。IPS整合確保全部數(shù)據(jù)流與內(nèi)容都承受連線后檢測(cè)PreventionSystemIPS)實(shí)現(xiàn)互操作，確保阻斷每一端點(diǎn)的全部惡意流量，而可疑或未遵循政IPS的分層式安全措施，為安全人員供給前所未有的管控力氣，能夠自動(dòng)對(duì)全部使用者、裝置、流量和內(nèi)容執(zhí)行網(wǎng)絡(luò)訪問(wèn)與安全政策管控。降低NAC配置本錢與簡(jiǎn)潔性彈性部署方案簡(jiǎn)化配置與擴(kuò)大程序TippingPointNAC解決方案供給彈性，幫助將網(wǎng)絡(luò)訪問(wèn)把握部署到各式各樣的組態(tài)鍵性較低的區(qū)段，然后逐步擴(kuò)大。單一、基于Web的治理把握臺(tái)NAC解決方案，而不管NACPolicyServer可治理10,000端點(diǎn)。簡(jiǎn)易的政策創(chuàng)立和治理NACPolicyServer治理把握臺(tái)供給一個(gè)格外直觀且簡(jiǎn)潔使用的治理界面，幫助建且加速解決方案的整體部署時(shí)間。減輕IT人員的訪客設(shè)置負(fù)荷訪客訪問(wèn)權(quán)，以及建立、分組和把握多階層訪客，例如IT負(fù)荷與本錢。具體預(yù)警加速問(wèn)題辨識(shí)與排解drill-downIT人員辨識(shí)和排解問(wèn)對(duì)現(xiàn)有使用者而言具有透通性而無(wú)需升級(jí)網(wǎng)絡(luò)ActiveDirectoryWindowsMacLinux、XP和Vista)ActiveMacintosh(10.x)Linux操作系統(tǒng)，幫助(posturecompliance)檢測(cè)功能將檢查操作系統(tǒng)類別、補(bǔ)丁和熱補(bǔ)丁，確認(rèn)后才授予訪問(wèn)權(quán)。支持?jǐn)?shù)百種防毒、反間諜和個(gè)人防火墻軟件套件TippingPointNAC解決方案供給涵蓋數(shù)百種防毒、反間諜和個(gè)人防火墻軟件套件的對(duì)使用者透通的臨時(shí)性用戶端狀態(tài)檢測(cè)代理程序Web的把握臺(tái)治理，而且可以使用永久性的狀態(tài)檢查客戶軟件執(zhí)行。再者，狀態(tài)檢查可間隔時(shí)間完全可以自由設(shè)置。無(wú)需升級(jí)網(wǎng)絡(luò)NAC解決方案與現(xiàn)有的認(rèn)證數(shù)據(jù)庫(kù)整合，并且運(yùn)用現(xiàn)有的網(wǎng)絡(luò)802.1XDHCP，因此不需要進(jìn)展昂貴的網(wǎng)絡(luò)升級(jí)。RADIUS、ActiveDirectoryLDAP認(rèn)證效勞ActiveDirectory、(TippingPointNACPolicyServer之內(nèi))。NACPolicyServer能夠和現(xiàn)有或部署的名目根底設(shè)施協(xié)同作業(yè)，包括Directory，而不需要變更現(xiàn)知名目。再者，它可以支持802.1X802.1X當(dāng)成一種認(rèn)證和政策執(zhí)行方法。Layer3網(wǎng)絡(luò)透通性Layer2橋接器，且通常部署Layer2Layer3網(wǎng)絡(luò)而言具有透Layer3IP地址配置。改善透亮度以及網(wǎng)絡(luò)的使用與訪問(wèn)報(bào)告快速掃描全部聯(lián)網(wǎng)裝置的現(xiàn)在和歷史活動(dòng)與狀態(tài)Web的把握臺(tái)供給先進(jìn)的報(bào)態(tài)。報(bào)表可用于即時(shí)系統(tǒng)分析、歷史分析、政策遵循稽核以及系統(tǒng)故障排解等。(dashboard)顯示現(xiàn)在的系統(tǒng)狀態(tài)，包括的連接數(shù)、簡(jiǎn)要?dú)v史認(rèn)DashboardNACPolicyServer各項(xiàng)組件的狀態(tài)速覽。其他報(bào)表包括：地址、IP地址和使用者名稱區(qū)分網(wǎng)絡(luò)連接，以及裝置的狀態(tài)評(píng)估。即時(shí)監(jiān)控、顯示和記錄全部使用者、會(huì)話、應(yīng)用程序與效勞。即時(shí)追蹤全部使用者活動(dòng)、權(quán)限、狀態(tài)與位置。個(gè)別或整體裝置狀態(tài)的具體信息。維護(hù)使用者與裝置訪問(wèn)稽核記錄以簡(jiǎn)化政策遵循治理NACPolicyServer維護(hù)一個(gè)完整的使用者與裝置訪問(wèn)稽核追蹤記錄，以簡(jiǎn)化內(nèi)部安全政策稽核程序和外界法規(guī)遵循治理。以身份識(shí)別為根底的政策治理WebSSHv2訪問(wèn)的命令列介面(CLI)以使用者角色任務(wù)為根底的訪問(wèn)把握整合外部使用者名目LDAP10,000使用者黑名單、白名單和例外MAC地址地址允許或拒絕訪問(wèn)4定義訪問(wèn)規(guī)章，支持通配符(wildcard)和范圍端點(diǎn)狀態(tài)檢查永久性和臨時(shí)性的用戶端狀態(tài)代理程序可配置的連接后狀態(tài)檢查間隔時(shí)間終端使用者自我修復(fù)、MacOSXLinux登錄支持?jǐn)?shù)百種防毒、反間諜軟件和個(gè)人防火墻軟件套件狀態(tài)更效勞支持＂setandforget＂政策建立訪問(wèn)政策執(zhí)行、DHCP、in-lineblocking，以及這些方法的任意組合(EAP)802.1X認(rèn)證portalWebportal)500名以上的并行使用者· NACPolicyEnforcer協(xié)議包括：802.1Dbridging802.1Dspanningtree802.1QVLANtrunking/translation802.1Xport-authentication- 802.310Base-T- 802.3u100Base-TX- 802.3z1000Base-SX/T歷史報(bào)表即時(shí)系統(tǒng)分析、歷史分析、政策遵循稽核以及系統(tǒng)故障排解有關(guān)使用者、裝置和裝置狀態(tài)的關(guān)聯(lián)信息MAC、IP和使用者名稱關(guān)聯(lián)全部網(wǎng)絡(luò)連接依據(jù)使用者、群組、位置、狀態(tài)和目的地追蹤網(wǎng)絡(luò)使用NACPolicyServer供給多重可定制化報(bào)表預(yù)警成功案例－1加坡星遠(yuǎn)集團(tuán)123年歷史的50億25位的上市公司。業(yè)務(wù)20多個(gè)國(guó)家和地區(qū)，并擁有諸多國(guó)際著名的產(chǎn)品品牌。其房地產(chǎn)業(yè)務(wù)主要包括住宅、商場(chǎng)、酒店式公寓等工程。位于加坡黃金地段山頂?shù)绤^(qū)域的騰寶廣42023IT根底架構(gòu)做了全SITC2023A4的信息架構(gòu)平臺(tái)。在騰寶的整個(gè)設(shè)計(jì)過(guò)程中