网络准入解决方案一.网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大,连接范围越来越广泛,使用人员越来越众多、终端系统越来越庞杂,终端所面临的各种安全问题也越来越突出。在当前的信息网络应用环境下,网络管理者普遍面临如下终端安全问题:1、网络边界不清晰网络中有多少台终端在工作?有没有外来终端入侵?有多少网络设备?终端连接状况如何?2、使用人员难以确定谁在操作终端?有没有人进行越权访问?有没有进行非法操作?如何尽快发现和管理?3、BYOD带来巨大挑战BYOD(BringYourOwnDevice,自带设备办公)设备是否有漏洞?安全设置是否符合安全规定?带离办公区后会不会被攻击?是否会将外部的攻击带入办公区?4、终端安全状况不清晰终端的操作系统环境是否安全?终端的软件环境是否合规?终端是否符合安全基线要求?5、各种安全制度难以落实针对终端和网络使用的各项安全制度,是否能够快速落实和检查?6、防护系统众多难以整合各种防护系统如何进行统一管理?各防护系统的安全数据如何整合?二:盈高网络准入解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shapinginfrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。策略实施policyimplementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。评估与管理evaluation&managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。三、方案特色1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USBKEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。2、广泛的网络适应ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设备,有效的对设备进行标示和固定。自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。3、安检策略丰富完善ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。这就使用户能够快速进行安全规范应用。4、安全定位灵活多样ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。可以进一步向下细化定位,直至每台终端设备。也可以通过终端设备向上检索,找到其连接的网络设备。终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。可以从宏观和微观两方面进行考量。5、安全功能持续扩展ASM6000提供了弹性化的系统设计。支持多种扩展模块进行热插拔。用户可以根据自身管理需要选择。同时盈高科技也在不断开发各种安全功能模块以满足用户不断增长的安全需求。6、弹性化客户端ASM6000提供客户端弹性化,以满足不同用户的需求。支持的种类包括:零客户端、自消融客户端、完全客户端。甚至可以根据用户的规则进行设定,在同一个信息系统中进行三种客户端的混合部署。7、支持分布式部署ASM6000提供了控制器(ASC)产品,可以在网络规模特别大,网络结构特别复杂的情况下,将控制器部署在网络的不同区域,由中心设备统一对控制器进行管理,很好的适应巨系统的部署。8、高可靠的自身安全性ASM6000采用了专用安全操作系统(INFOGOOS)和专用的硬件平台。避免了通用系统的一系列不安全因素。在可用性方面采用了监控平台、自逃生、双机热备(HA)等众多高可用性技术。系统内置了看门狗(WatchDog),当系统出现故障或者网线松动的时候,将自动开启ByPass模式。9、简单易用的用户操作ASM6000采用自动安全检查和一键式修复的用户操作界面,不论是PC使用者或是移动终端使用者均可实现入网操作“零培训”。10、完全支持移动智能终端ASM6000能够支持包括IOS、Android在内的众多移动智能终端。面对越来越多的智能手机和平板电脑的使用者,对他们进行管理也不再是难事。六、产品性能规格产品规格ASM6300ASM6500ASM6700机架结构1u1u/2u2u工作口标配4个1000MBASE-T接口,部分可配标配4个1000MBASE-T接口,可配置4标配4个1000MBASE-T接口,可配置4置4个1000M光口个1000M光口个1000M光口,部分可配置2个10G光口每秒事务数(次/秒)800-20003500-70008000-22000最大吞吐量Mbps300-10001500-28003000-4000七、产品部署1、典型环境部署将盈高入网规范管理系统ASM6000通过旁路连接,部署在网络核心交换机上。启用PBR或MVG等方式,开启网络准入。根据对终端安全、管理的不同要求,对网络拓扑进行展示,对各种网络设备进行定位、状态管理、故障管理;可以与第三方身份认证系统进行整合,实现单点登录;对接入终端进行安全扫描和修复。实现基础的安全准入管理功能,完善内网安全。2、复杂环境部署对于特别复杂的网络环境,用户在一个网络中使用的网络产品型号繁多,对于不同网络部分控制要求不同,远程的分支机构管理困难。因此可以采用分布式部署方式,中心部署ASM6000,可以采用双机热备。分支部署数个控制器(ASC)。实现网络终端统一安全管理和信息汇总。