LANDesk终端安全准入

LANDeskSoftwareConfidential蓝代斯克（北京)信息技术有限公司LANDesk®终端安全准入服务透明网络的安全隐患透明网络安全隐患没有安全准入产品的网络威胁报告及仪表盘根源在哪里？外来电脑的随意接入隐患!!!PC没有安全准入产品的网络威胁iPad无线手持设备的随意接入危险!!!带来的后果？没有安全准入产品的网络威胁SwitchPCPCPCPCPCPC非法交换机、非法无线HUB、网络打印机的非法接入等高风险!!!如何来解决？没有安全准入产品的网络威胁泛滥网络访问运维部门只能干着急!!!网络威胁带来的问题病毒木马恶意破坏数据泄露带来的问题等等问题…怎么解决这些问题杜绝一切非法接入,安全检查未达标，进行隔离修复，只要入网就必须合规。LANDesk终端安全准入解决方案安全准入来解决问题概述目前大多数企业构建的还是开放式的网络，虽然在互联网接入层部署了防火墙等安全防护设施，但从内网的接入层，却依然采用开放式的网络架构，这种开放性给企业业务开展确实能够带来便捷，但随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫、网络钓鱼以及黑客程序等等不断从内网带来威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问严重影响了企业IT基础设施的安全和稳定，因此必须构建新一代的内部网络安全防御体系，即网络准入控制系统。信息安全相关法案、标准国家信息系统安全标准GB17859-1999GB/T20279—2006GB/T20270—2006•条款4.2.1自主访问控制，计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。•条款5.1.1.1访问控制，在信息物理传导上使内外网络隔断，确保外部网不能通过网络连接侵入内部网；同时阻止内部网信息通过网络连接泄露到外部网；应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能力。•条款5.4.1访问控制策略，网络强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略。国际标准BSISO/IEC17799•条款9.4网络访问控制，应当控制对内部和外部网络服务的访问，与网络服务的不安全的链接会影响到整个组织。只应向用户提供对那些特别授权他们使用的服务进行直接访问。这种控制对于同敏感或者关键业务应用软件的联网或者同处于高风险地区的用户的联网都是十分重要的。•条款12.2安全策略和技术符合性的检查，应当定期检查系统是否符合安全运行标准。系统合规性检测涉及对操作系统的测试，以确保正确地执行了硬件和软件管理措施，应当审查技术平台和信息系统是否符合安全运行标准。LANDesk主动评估安全接入产品型号LNAC-500小型网络LNAC-1000中小型网络LNAC-3000大中型网络LNAC-5000大型网络LANDesk终端安全准入产品三大功能LNAC产品功能特性网络安全风险评估帮助管理员随时了解网络安全状况，提高内部安全管理水平防止非授权进入网络有效防止外部计算机非授权进入网络，内部计算机实名进入网络计算机健康安全检查内部不符合安全规范禁止入网，终端安全标准化管理，多达50几项的安检策略LANDesk终端安全准入产品实现流程凭证规则放行原则Security准备接入的终端计算机（身份凭证）满足准则（安全规则）允许准入（安全接入）用户网络LANDesk终端安全准入产品控制流程LNAC准入控制的流程图你是谁？你符合要求吗？接入网路身份不合法，拒绝进入！不合格，在限制区域内引导进行修复。LANDesk终端安全准入产品实名认证LANDesk终端安全准入产品典型部署图WAP受保护的工作网络来宾访客区隔离区隔离区SwitchHubPatchServerAppServerVirusServerPCPrinterPCGuest或非法计算机工作计算机并通过安全评估工作计算机未通过安全评估修复服务器HA用户身份识别①完美支持与AD、LDAP无缝整合②支持内建用户（支持用户批量导入导出）③兼容微软802.1认证。④支持被动式无客户端方式认证。⑤支持主动式客户端认证主机身份识别①支持主动式客户端认证②采用主机识别码方式认证（比单纯MAC模式更加安全可靠）LANDesk认证方式LANDesk认证方式Uplink支持802.1x认证的switch不支持802.1x认证的switchMac-basedauthenticationuplink不启用802.1x认证Port-basedauthentication802.1X首先是一个认证协议它的最终目的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通过。LANDesk认证方式用户身份识别①支持无客户端通过IE友好界面进行实名认证入网②完美支持与AD、LDAP用户信息导入③支持内建用户（支持用户批量导入导出）④采用旁路部署，不改变企业现有网络环境，实施简单。LANDesk认证方式DHCP服务器未认证主机已认证主机互联网网关汇聚/核心交换机接入交换机LAS服务器Ip:192.168.1.52Mask:255.255.255.0Gateway:192.168.1.2Dns:192.168.1.254工作区地址Ip:1.1.1.52Mask:255.255.255.0Gateway:LAS服务器Dns:LAS服务器隔离区地址DHCP请求DHCP请求DHCP回应DHCP回应LANDesk认证方式①企业内部终端审批为合法例外。②新进入终端默认必须认证，审批授权后才能入网。③一键式开关控制，操作简单便捷。LANDesk认证方式ARP重定向未认证主机已认证主机互联网网关汇聚/核心交换机接入交换机LAS服务器子网网关重定向到回收重定向维持数据包实际流向数据包意愿流向数据包意愿流向数据包意愿流向TRUNKLANDesk分层防护1、链路层防护:802.1x协议2、协议层防护：ARP协议HTTP协议DHCP动态主机设置协议3、应用层防护：DNS域名解析服务认证方式支持多方式灵活的认证机制◆支持被动式无客户户端方式认证◆支持主动式客户端认证◆支持密码、终端多因素认证◆支持用户身份访问认证方式◆支持基于主机接入时间限制，管理授权用户接入使用时间◆支持主机身份的访问认证方式，按照主机或设备的硬件ID进行认证◆支持802.1x、DHCP、VPN、HUB、无线等网络接入访问管理◆多样化的用户认证方式，完美支持与AD、LDAP整合，支持内建用户◆支持基于用户身份接入点限制，管理者授权用户或终端只能在某接入点进行认证◆支持多物理网络隔离认证，互不影响，节约设备投入◆支持瘦客户机环境认证2、为什么要对内部计算机做健康性安全检查如今由于企业在网络出口处都已经安装配置了防火墙和IPS入侵检测等产品，对网络起到一定的保护作用，网络的边界的安全威胁也迅速缩小。但经过权威部分调查分析，大多数的网络安全隐患和威胁，都是出自于内部计算机和员工本身的问题。原因就是内部每台计算机的使用环境复杂，不能形成一定的标准化，如：补丁漏洞的更新参差不齐，防病毒软件安装升级的不统一，U盘的随意使用，用户密码设置的过于简单，随便更改和配置网络IP地址造成网络重名等等，一但有一台电脑出现了问题和漏洞，那么日益增多的病毒、木马、蠕虫以及黑客等就会趁机威胁和入侵企业内部网络资源。因此需要构建新一代的网络准入控制系统持续监视网络状态，快速发现网络接入设备和计算机终端，并利用其独特的健康性检查技术对计算机终端或用户进行安全评估检查，如计算机终端或用户未通过健康性安全检查不符合管理员的要求，立即将这个设备与网络上的其它设备隔离起来，同时依照安全策略条件引导计算机修复安全漏洞和弱点，满足管理员设定的安全条件后访问合法的网络资源。计算机健康安全检查意义1、经过权威部分调查分析，大多数的网络安全隐患和威胁，都是出自于内部计算机和员工本身的问题，原因就是内部每台计算机的使用环境复杂，不能形成一定的标准化。2、终端计算机安全的标准化，减少管理员的运维量和终端计算机的故障，提高工作效率。3、计算机终端或用户未通过健康性安全检查，立即将这个设备隔离起来，同时依照安全策略条件引导计算机修复安全漏洞和弱点，满足管理员设定的安全条件后访问合法的网络资源。LANDesk安全检查项目多达50几项安全检查和修复行为，提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性◆操作系统检查，OS版本，SP版本◆补丁检查，检查补丁完整性◆防病毒检查，检查防病毒的更新情况◆自定义软件，检查用户指定软件的存在，可联动防病毒软件或防火墙◆关键位置文件检查，检查指定位置文件存在性◆外设使用安全◆用户密码强度检查，检查认证用户的密码合规性◆支持主机系统屏保检查，帮组用户开启屏幕保护◆支持注册表检查，检查注册表关键值是否存在◆支持网络配置检查◆更多„„„„„网络安全风险评估主动安全风险评估是网络访问控制系统的另一特点，根据积极主动的安全防御建设思想，加强企业网络安全进行风险评估就显得尤为重要。能够帮助管理者实现企业网络总体安全风险评估、部门安全风险评估以及指定计算机终端安全风险评估，从而促使企业不断提高内部网络信息安全管理水平。风险报告LANDesk终端安全准入产品优势特性LANDesk安全准入产品特性LANDesk终端安全准入产品特性借助于创多B/S构架技术，整个系统的管理和设置全部基于Web方式，只要有浏览器的地方就可以直接管理，监控整个网络的接入行为和安全评估报告，真正现实走到那里管到那里。人性化的控制页面LANDesk终端安全准入产品特性严格灵活的接入安全控制支持多种认证方式，802.1X、portal、网关、AD结合、强制认证、多网络隔离认证等等，可根据企业网络情况灵活应用，不改变网络架构，部署简单，支持无客户端的认证方式，对复杂网络环境支持度高。LANDesk终端安全准入产品特性丰富可定制安全检查可对计算机进行安全检查，未通过检查的计算机进行隔离修复，修复成功才能入网，杜绝薄弱口的安全隐患状况扩散到整体网络，多达50几项安全检查和修复行为并提供不断更新的安全检查引擎和规则库升级，具有较好的扩展性，真正实现企业网络安全的标准化。LANDesk终端安全准入产品特性强大的接入预警监控信息非法用户接入预警非法终端接入预警非法时间接入预警非法地点接入预警网络安全检查预警等等……………...LANDesk终端安全准入产品特性丰富的网络安全评估报告各种网络安全状况的年报、季报、月报、周报、日报企业管理员通常对企业终端整体安全状况了解不多，不能全方位的了解终端安全的薄弱点，LNAC提供详细终端安全评估报告，管理员可以快速的定位安全隐患，迅速解决问题LANDesk终端安全准入产品特性强大的扩展联动功能LNAC可通过扩充模块的方式加载我们其他产品功能，如终端运维、安全审计等产品，给用户提供更多的安全管理功能和增值服务。LANDesk终端安全准入产品特性多种逃生方案快速恢复网络采用硬件Linux架构嵌入式操作系统提高了系统处理突发事件的应急能力和速度,LNAC提供多种逃生方案，支持双机热备、主副服务器、后台数据共享和多级级联管理模式。LANDesk终端安全准入产品特性LANDesk终端安全准入采用旁路侦听技术，所以并不影响整个网络的效率，也不需要对现有网络进行特殊的改造。不影响原有网络效率LANDesk终端安全准入产品特性LANDesk终端安全准入可完美支持企业域用户导入，对域用户登录账户进行信息安全审计，使访问得到全面的监控和记录。完美的支持企业域用户LANDesk终端安全准入产品特性可以按个人、部门和公司多个层次设定管理控制规则，并可以把多项不同类型