网巡网络准入系统方案
创建时间:2024-05-14
近年来国际国内网络安全事件频发,信息资源在不同程度上存在着各种各样的安全风险。并且随着信息技术的迅速发展和内网中有效安全机制的缺乏,内部漏洞对重要资源造成的威胁远远大于从互联网穿越防火墙造成的入侵,而传统的防护技术如防火墙、IDS等均无法有效地进行防范。
随着业务的拓展,网络不断的扩展和日趋复杂,对内对外服务不断增多,保障网络的安全运行是非常重要的。如果网络在安全方面稍微有点漏洞,就有可能被黑客利用,截取帐号密码、更改或删除数据,后果相当严重,直接带来无法估量的经济损失。采用网络安全技术和产品,部署网络安全系统,可以极大地提高网络系统的安全性,减少安全隐患,防止恶意侵害的发生。
灵犀网安致力于为广大用户提供信息网络安全服务和解决方案,在长期的信息安全实践中,对内网资源的保障有着深刻的体会,并将它完全融合于我们的安全设计理念和设计体系之中。
在用户的网络安全设计过程中,我们在充分了解用户的网络结构和安全环境之上,对用户的安全需求进行了认真、细致的分析。在为用户进行安全设计过程中,坚持深层防御战略的信息安全整体解决方案建议书 设计思想和设计理念,力图实现对用户网络系统全方位、多层次的安全体系,从主机、网络和网络边界几个层面为用户建设一个安全的网络环境,保障系统的正常运作。
在对用户的网络环境和安全需求进行全面分析后,提出了我们针对用户的安全解决方案并对方案进行了详细描述和特点介绍。用户还可以从方案中得到建议方案的配置细节。我们在为用户提供本方案的同时,还在附件中对上述方案中相关配置所涉及到的产品进行了详细的描述。
| 网巡网络准入系统 | |
| 功能 | 功能详解 |
| 准入技术 | 1、支持高级别安全性的准入控制,如802.1X认证、DHCP认证 |
| 2、镜像准入:支持网络镜像准入,tcpreset方式准入,准入设备旁路在核心交换机,通过获取核心的网络镜像数据来控制网络设备的准入。 | |
| 3、ARP准入:系统支持ARP准入认证,通过该认证方式,可以快速识别接入层交换机的终端接入,终端接入时,不需要访问任何网络数据,系统可以在1秒内侦测并报警,可根据测率对其进行放行或者阻断。 | |
| 4、提供Radius认证,支持无线控制器接入mac地址认证。 | |
| 5、提供DHCP服务器功能,支持分配地址IP-MAC静态绑定,并提供批量静态绑定功能。 | |
| 准入认证模式 | 1、客户端模式准入:终端需安装准入客户端并经合规检测后符合管理员指定的要求方可入网。 |
| 2、无客户端模式准入:准入支持无客户端模式网络准入,精确识别所有网络设备并加以限制。 | |
| 哑终端认证与防伪检查 | 1、系统支持对无线设备、自助机、信息屏等哑终端接入。 |
| 2、系统能通过终端指纹识别技术鉴别非法哑终端并阻断其入网。 | |
| 哑终端认证需注册并经管理员审核后方可入网。 | |
| 全网资产统计与展示 | 1、可以统计网络资产在线率和在线离线设备数量以及入网、阻断的设备数量和入网率。 |
| 2、以饼状图形式展示设备在线率,以饼状图形式展示设备入网率。 | |
| 3、系统可以在全网资产功能节点界面展示出网络设备ip、设备类型、系统信息、准入状态、入网规则、设备在线时长、最后网络活动时间、设备位置、是否IP/MAC绑定、设备添加时间、资产识别时间,阻断原因、交换机刷新时间、交换机缓存MAC地址。支持自定义设备类型,操作系统、位置信息。 | |
| IP地址池 | 支持全网IP地址管理,以图形画形式展示每个网段内的IP使用情况并用不同设备图标展示占用IP的设备类型,包括:交换机、打印机、Windows/MacOS/信创/安卓/IOS系统设备、网桥、网关、存储、路由器、虚拟机、调制解调器、NAS、UNIX,鼠标挪动在相应IP上可展示当前IP的设备MAC地址信息、设备类型信息和操作系统信息。 |
| 入网模式 | 系统支持自定义制作入网策略,通过阻断客户端入网、安全基线检测、客户端注册身份认证、入网审批等策略及流程达到合规入网。 |
| 入网日志 | 系统可记录设备入网时间以及设备入网时网络状态,可记录网络设备入网阻断及网络放行的原因。 |
| 网络设备管理 | 可以添加网络交换机设备,显示交换机的在线情况,通过设置SNMP协议获取并以图像形式展示当前交换机的网口使用情况,如连接以及多连接情况以及交换机下所有网络设备真实的IP/Mac地址。可显示网络交换机的位置信息、产品型号、运行时间等。可详细记录交换机的端口信息、VLAN信息(包括VLAN名称)、IP地址表、路由表、转发表、ARP表信息。 |
| 安全态势 | 对于未经授权的设备,准入系统可识别并报警。包括终端的IP地址变化、MAC地址变化、终端设备变化。 |
| 外联准入 | 系统提供外联准入功能,终端不需要安装客户端即可检测终端违规外联情况,可对该情况进行报警。系统可记录网络设备违规外联的时间,以及外联访问的域名信息。支持例外指定域名检测,包括外联设备的IP地址、MAC地址、设备类型、外联发生时间。 |
| 阻断页面 | 系统可灵活设置准入阻断页面以及页面内容,提供四种阻断页面设置类型,包括:仅提示阻断;提示阻断并提示下载客户端;阻断并提示账号登录;阻断并提示访客登录。 |
| 终端软件安装 | 提供软件下载中心,对系统检测不合规终端可按管理员要求进行软件安装。 |
| 安全基线检查 | 终端安装准入客户端可进行安全基线检测,检测内容包括系统版本检测,防火墙开关检测、计算机名称前缀检测、域规则检测、IE代理检测、安装软件检测、运行程序检测、补丁检测、文件检测以及注册表信息检测。支持自定义检测内容。系统对终端检测后,验证合规,合规则入网,不合规禁止入网,检测不合规时即时阻断终端入网,并在管理端与终端同时弹窗提示详细违规信息,增加跳转网页链接,可下载管理员要求的合规项软件进行安装,终端完成管理员规定的合规要求并通过管理员进行身份确认后方可入网。 |
| 访客申请认证 | 第三方外来接入设备可进行临时访客认证,管理员可根据申请信息进行临时放行终端入网。可自定义设置临时入网时间。 |
| 入网流程 | 以图形化展示入网流程策略设置包括以下节点:1、阻断;2、安全基线检测;3、身份认证;4、入网审批;5、成功入网。其中安全基线检测和身份认证两个节点可以点击选择相关策略。身份认证和入网审批可以点击开启或关闭。 |
| 入网审批 | 系统可将终端身份注册信息以及安全基线检查结果反馈在入网审核界面。管理人员可根据这些信息来确认终端是否可以放行入网。 |
| 组织结构 | 系统支持创建相应用户以及部门,可灵活设置每个功能的账号权限,方便限制子账号运维权限。 |
| 日志管理 | 系统可记录所有账号的登录和操作以及账号登录的IP地址、操作时间。 |
| 登录日志 | 系统可记录终端游客账号以及认证账号的登录IP、设备类型、操作系统、Mac地址、登录时间、登录信息以及账号登录类型。 |
