終端準入控制系統(tǒng)(NAC)
終端準入控制系統(tǒng)是天擎終端安全管理系統(tǒng)中的一個子系統(tǒng)��,主要為企事業(yè)單位解決核心業(yè)務(wù)訪問準入�、入網(wǎng)安全合規(guī)性要求,實現(xiàn)用戶和設(shè)備的網(wǎng)絡(luò)實名制認證管理���、網(wǎng)絡(luò)邊界接入安全防護����、終端接入發(fā)現(xiàn)和定位�����、接入的追溯和審計等管理問題,保護企業(yè)網(wǎng)絡(luò)資源不受非法設(shè)備接入所引起的各種威脅�����,在有效管理用戶和終端接入網(wǎng)絡(luò)行為的同時���,也達到規(guī)范管理計算機終端的目的�。
【產(chǎn)品功能】
核心資源訪問準入控制
“注冊/認證→入網(wǎng)”�、“安裝天擎→入網(wǎng)”、“注冊/認證→安裝天擎→入網(wǎng)”����,三種靈活方式滿足企業(yè)不同的入網(wǎng)需求。
網(wǎng)絡(luò)邊界端口級準入控制
通過標準802.1x協(xié)議�����,在網(wǎng)絡(luò)接入層做準入認證�����,根據(jù)認證授權(quán)情況確定是否能訪問網(wǎng)絡(luò)���,可聯(lián)動入網(wǎng)合規(guī)性檢查�,根據(jù)檢查結(jié)果下發(fā)網(wǎng)絡(luò)訪問權(quán)限。802.1x認證可提供端口級的強準入認證方案����,并支持認證授權(quán)、安全檢查���、隔離修復(fù)�����、訪問控制 “一站式”的全流程入網(wǎng)準入管理����,使內(nèi)部終端接入管理變得安全���、可控、透明���。
安全檢查項目
可檢查防火墻是否啟用�、系統(tǒng)空密碼���、U盤是否開自動啟動�����、遠程桌面是否開啟���、文件共享是否開啟����、Guest賬號是否開啟����、IE代理是否開啟、IP獲取方式�、是否登錄域、服務(wù)黑白名單����、進程黑白名單、軟件黑白名單����、殺毒軟件、外聯(lián)訪問能力���、 補丁及補丁完整性���、注冊表�、注冊表關(guān)鍵值是否存在�����、關(guān)鍵位置文件�����、指定路徑文件存在性��、操作系統(tǒng)等��。
訪客注冊申請
支持訪客入網(wǎng)全流程管理��,支持訪客用戶注冊申請��、訪客認證��、用戶審批流程�,經(jīng)管理員審批或系統(tǒng)自動審批后才能認證入網(wǎng)����,審批結(jié)果可郵件通知用戶����。
第三方認證源聯(lián)動
提供多種認證源認證方式��,支持本地用戶�����、AD認證�、LDAP認證、E-mail認證����、HTTP認證、第三方Radius認證�����,適應(yīng)用戶不同網(wǎng)絡(luò)環(huán)境��,滿足用戶集中管理統(tǒng)一認證的入網(wǎng)需求���。
安全管理與訪問控制
利用動態(tài)檢測技術(shù)和安全策略管理����,可針對接入用戶和終端進行網(wǎng)絡(luò)訪問控制功能。
認證綁定管理
支持多種條件綁定認證���,即用戶��、終端��、交換機���、VLAN、交換機端口���、時間等進行組合綁定認證�,提高認證入網(wǎng)的安全性�����。
動態(tài)在線會話
支持認證用戶在線狀態(tài)詳情查看���,讓管理員可以實時掌握用戶或終端接入網(wǎng)絡(luò)使用情況�����,并支持用戶違規(guī)強制下線和鎖定功能�����,確保具有安全隱患的接入用戶和終端對網(wǎng)絡(luò)不造成影響�����。
強制隔離
正常的802.1x認證成功后���,如果認證會話沒有過期網(wǎng)絡(luò)會持續(xù)可用。產(chǎn)品專有的認證客戶端可以實時接收認證服務(wù)器的控制指令�����,管理員可以在任何時候強制在線的用戶和終端下線�、注銷當前登錄的網(wǎng)絡(luò),確保非正常情況下可對終端入網(wǎng)進行控制和處理�。
例外設(shè)備管理
企業(yè)用戶網(wǎng)絡(luò)中存在大量的啞終端設(shè)備,如網(wǎng)絡(luò)打印機�、視頻會議系統(tǒng)等設(shè)備,并分散在各地����。 終端準入控制系統(tǒng)提供設(shè)備的白名單管理����,添加到白名單的合法設(shè)備可以直接接入網(wǎng)絡(luò)�����,反之非法設(shè)備不允許接入�����,此方式可適應(yīng)于多種認證技術(shù)方式�����,如Portal和802.1x認證方式�。
用戶管理
除具有和多種第三方認證源聯(lián)動認證外,還具有本地用戶管理庫系統(tǒng)�,支持賬號的有效期管理、可在線用戶數(shù)量限制�����、用戶認證后VLAN的動態(tài)切換�����、用戶自注冊和審批流程、密碼重置等管理功能�����,并支持LDAP/AD服務(wù)器的組織架構(gòu)和用戶的導(dǎo)入和更新��、用戶和組織映射關(guān)系導(dǎo)入等���。
主機身份識別
支持主機快速認證方式,提供開機即入網(wǎng)��,認證過程后臺執(zhí)行����,不影響用戶日常習(xí)慣。其主機身份主要根據(jù)終端的MID標識符作為產(chǎn)生主機身份算法的因子���,安全強度大于傳統(tǒng)的MAC方式認證�,可避免用戶更改MAC地址來偽造其他主機身份繞過準入控制的缺陷�����。
接入和安檢日志報表
支持詳盡的接入認證和安全檢查日志報表功能�,可提供接入認證日志和報表��、安檢日志和報表���、安全檢查統(tǒng)計分析等多維度信息數(shù)據(jù)的查詢審計,并可形成報表查詢和導(dǎo)出����,管理員一目了然,管理員可通過數(shù)據(jù)全方位的追溯和分析終端接入和安全狀態(tài)�。
【產(chǎn)品亮點】
“一站式”管理
終端準入控制系統(tǒng)具備從終端發(fā)現(xiàn)、認證授權(quán)��、安全檢查����、隔離修復(fù)、訪問控制�����、安全評估等一站式安全準入控制功能�����,還可以和天擎終端安全管理系統(tǒng)其他子系統(tǒng)聯(lián)動�����,如殺毒管理、桌面運維管理���、安全審計、安全基線等子系統(tǒng)�,組成完整的內(nèi)網(wǎng)安全管理整體解決方案����,避免用戶二次投資,節(jié)約用戶的信息安全管理和投入成本�����。
多種入網(wǎng)認證憑證
支持用戶名密碼��、主機MID�����、MAC�、快速認證應(yīng)用準入等多種憑證認證方式,支持多條件綁定認證入網(wǎng)�,兼容與AD���、LDAP等集成認證, 設(shè)備預(yù)留開放接口可和其他具有接口的第三方廠商設(shè)備,如防火墻��、Radius等服務(wù)器設(shè)備聯(lián)動�����。
入網(wǎng)檢查修復(fù)一條龍
支持30余項安全檢查和修復(fù)行為����,隔離不安全入網(wǎng)終端,進行引導(dǎo)式修復(fù)���,修復(fù)成功以后才能入網(wǎng)��,時刻保障客戶的入網(wǎng)安全基準線����,并提供不斷更新的安全檢查引擎和規(guī)則庫升級��,具有較好的可擴展增值性���。
網(wǎng)絡(luò)環(huán)境適應(yīng)性強
不升級改變網(wǎng)絡(luò)�,不造成單點故障,不影響網(wǎng)絡(luò)性能���,支持企業(yè)內(nèi)部準入控制需求�,使內(nèi)部網(wǎng)絡(luò)管理變得安全���、透明���、可控。產(chǎn)品采用旁路部署方式��,不造成單點故障�,支持單服務(wù)器多物理網(wǎng)絡(luò)認證技術(shù)��,支持有無客戶端的認證�,支持有線和無線的認證,兼容國內(nèi)外大多數(shù)常用交換機�����,支持多種入網(wǎng)認證技術(shù)�,兼容多種第三方認證源認證,內(nèi)置Radius認證引擎���、安全檢查引擎�����、設(shè)備發(fā)現(xiàn)引擎��,支持集中和分布式部署方式��。
支持多種容災(zāi)方式
提供多個高速千兆端口���、雙冗余電源��,支持光口擴展��、NMC擴展��,支持雙機熱備����、一鍵交換機恢復(fù)����、軟Bypass、域認證緩沖、第三方認證源異常自動放行等多種逃生方式����,確保準入系統(tǒng)或用戶環(huán)境在各階段、各環(huán)節(jié)有可能出現(xiàn)問題的地方都有逃生響應(yīng)方案����,確保非正常情況下不影響用戶網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正常運行,可靠性高�。
細粒化的訪問控制
系統(tǒng)支持強大的訪問控制功能��,可基于下發(fā)動態(tài)VLAN�、主機ACL、Ghost VLAN����、自身策略化訪問控制等多種訪問控制機制實現(xiàn)用戶和終端的接入認證訪問權(quán)限管理����,主機ACL可精細到通訊協(xié)議、IP地址�、端口通訊、黑白名單等更加細化訪問控制能力����。
【使用場景】
