ACK内网规范管理解决方案(实名制准入控制硬件)教学材料

1、,内网规范管理 -主动防御，源头控制,邵永刚总经理 沈阳蓝思特信息技术有限公司 13840231029 024-62156099 QQ:471871176 syg12,创新更安全,概述,北京艾科网新科技有限公司（ACK） ACK公司基本介绍 ACK创新历程 内网安全现状 内网混乱及及分析 内网需要规范管理 内网规范管理解决方案 方案的整体架构 ACK创新产品系列 ACK十大特色功能 产品资质 成功案例,ACK公司基本介绍,2007年成立，总部设在北京； 2011年，首推内网规范管理的理念； 专业致力于研究、开发、推广网络准入技术和实名制ID网络； 拥有全部自主知识产权，4项中国专利、2项美国专利； 2002年，ACK创建者创办A10，研发的产品获得日本和美国的InterOp国际大奖； 创始人员来自于HP、Motorola、Juniper、Yahoo、华为等高科技公司 拥有政府、电信运营商、电力、金融、大型企业等众多案例；,ACK创新历程,ACK首创 “实名制ID网络”概念,ACK首创第一代DHCP准入控制技术,ACK推出实名制 ID网管平台（IDNac）,ACK推出实名制 ID日志存储

2、设备（IDLog）,ACK首创“动态安全域”技术,ACK推出实名制 ID运维设备（IDGuard）,ACK首创“内网规范管理”解决方案,ACK推出实名制 ID准入网关（IDWall）,ACK首创第二代DHCP准入控制技术,ACK成立，专注创新、专注安全,2007年4月,2007年4月,2007年6月,2007年10月,2008年9月,2008年11月,2009年10月,2010年9月,2010年10月,2011年3月,内网混乱,安全威胁多 病毒、木马层出不穷 内网DDOS攻击 系统补丁不全漏洞攻击 无线安全隐患 智能终端、移动设备的安全问题 员工绕过防火墙访问 管理难题多 任何人和终端均可进入网络； IP使用失控，私改IP现象严重； 员工私自安装软件、开启危险服务； 主机和设备维护缺乏必要监管； 无法快速定位威胁的源头； 没有统一的安全策略；,内网混乱的本质原因,一切安全风险皆来自于人带来的威胁； 利用内网先天安全性不足； 现有安全技术多为被动防御技术； 管理手段较为单一； 法规遵从意识不足；,内网需要规范管理,内网安全 先管人,ACK内网规范管理 解决方案,ACK内网规范管理架构,A

3、CK创新产品系列,ACK的十大特色功能,实名准入控制,终端健康检查,访客管理,高可用性,全网日志储存,IP地址管理,网络边界监护,网络威胁定位,网络访问控制,网络运维管理, 高风险 较危险 ,危险降低 更安全, 简化管理 难于管理 ,- 更安全 - 更容易管理 -,支持六种准入控制技术(802.1x/EoU/DHCP/ARP/SNMP准入控制技术）,功能一、实名制准入控制,支持六种准入控制技术 802.1X /EOU / DHCP /ARP/网关准入/SNMP 免客户端、免插件 LDAP/CA/Radius/AD认证 强大的用户管理 内置多因素认证技术 CA/动态密码卡/Ukey/手机短信等 10分钟旁路部署，不改网络结构,功能一、实名制准入控制,功能二、终端健康检查,终端认证 设备分类识别 强制插件安装 强制安全隔离,入网前检查,入网后检查,安全隔离,安全修复,不合法不合规,功能二、终端健康检查,终端认证 设备分类识别 强制插件安装 强制安全隔离 终端合规性检查 安全修复向导 免插件软件识别,功能二、终端健康检查,终端认证 设备分类识别 强制插件安装 强制安全隔离 终端合规性检查 安

4、全修复向导 免插件软件识别,功能三、实名制IP管理,基于ID统一分配IP地址 传统基于MAC分配IP可以伪造；,Computer1:MAC1,Computer2:MAC2,Computer3:MAC3,DHCP 服务器,192.168.1.1,192.168.1.2,192.168.1.3,User1,User2,User3,Computer1:MAC1,Computer2:MAC2,Computer3:MAC3,10.168.1.1,10.168.1.2,10.168.1.3,User1,User2,User3,用户认证,192.168.1.1,192.168.1.2,192.168.1.3,功能三、实名制IP管理,基于ID统一分配IP地址 传统基于MAC分配IP可以伪造； 动态划分安全域 多元绑定 IPAM监测 IP地址使用统计 非法IP阻塞,功能三、实名制IP管理,基于ID统一分配IP地址 传统基于MAC分配IP可以伪造； 动态划分安全域 多元绑定 IPAM监测 IP地址使用统计 非法IP阻塞,功能四、访客管理,访客网与办公网隔离 利用现有网络，不改变网络配置 访客入网无物理限制

5、 访客入网需员工授权 访客权限控制 访客入网审计,功能五、网络威胁定位,定位到人和交换机端口 非法接入定位 异常终端定位 私接设备定位 交换机异常互联定位 增强可视性,功能六、网络边界监控,分布式的边界监控 设备“网络指纹”识别 内外网互联监控 非法外联监控,假冒网络设备,IDNAC HA-备,IDNAC HA-主,内网边界,内网边界,Firewall,Trunk,Trunk,H3C,Dlink Sw,HUB,IDSensor,网络设备,3G网卡上网,汇聚层,功能七、网络访问控制,访问权限控制 控制入网位置 保护核心资源 远程终端准入 安全联动,数据库,ERP,OA,各类应用资源,IDNac A100,IDWall,准入成功,VPN/Firewall,stop,准入失败,认证成功,功能八、全网日志管理,高性能日志收集 日志海量存储 实名日志搜索和审计 实名日志报表 满足等保要求,IDLog L200/L210/L2000/L2100,功能九、网络运维管理,设备维护单点登录 维护权限集中管理 操作行为实名审计 高安全性,IDGuard,功能十、高可用性,集中式热备 分布式灾备 应急逃生

6、分级分权管理,IDMonitor,ACK产品资质,公司资质,产品资质,ACK成功案例,案例汇总,电信。电力。金融。政府。企业,某大企业全网部署 四级部署,某大企业案例分析,某大企业特点： 规范大：中国三大企业之一。人数： 150万，终端数 100万，收入 1万亿； 分级管理：4级管理（集团 省 地 县）； 网络复杂：仅交换机品牌、型号 200; 需要解决问题： 边界破损：网络边界被破坏（私接终端、Hub、路由器、无线AP、3G网卡）； 终端脱缰：不装和卸载桌面软件； 网络混乱：无人清楚内网当前有多少终端、有多少IP、有多少设备、有多少人在上网。IP地址管理混乱、交换机端口绑定混乱、管理手段落后（手工绑定错误不断、经常造成安全事故）；,领导总结：“安全不是用量来衡量的！非法设备，只要有一台，就会危害全网；脱缰终端只要有一个，就可能机密外泄！”；,某大企业案例分析,解决方法： 规范管理：采用ACK内网规范管理解决方案，全网实施“ID网管平台”； 分级管控：上级单位定“大规定”，下级单位定“小政策”，各级单位只管“人员”； 加强可视性：不出集团，就可看到乡供电所的终端情况； 解决混乱：彻底解

7、决“网络管理混乱”问题； 试点效果： 发现多个“脱缰”终端； 发现多个“非法”设备； 实现了静态IP，中心下发； 实现了全网的“可视、可控、可查”；,某大部委：证书 + 准入,IDNAC对内网的实现准入控制，核查吉大证书和检查终端合规性。,IDWall与IDNAC联动，核查用户身份，根据终端访问目的，检查认证强度和权限。,IDWall对关联单位进入部委网络进行用吉大证书认证后进行终端合规检查。,只有通过吉大证书认证和终端合规检查，才能进入上级部委内部网络。,IDWall同时对外来终端的访问按单位、按部门、按人进行不同的路径限制。,国家电力监管委员会,项目背景： 国家电力监管委员会（以下简称电监会）是电力行业的监管者，根据国务院授权，行使行政执法职能，统一履行行业监管职责。根据国家信息系统等级保护的要求，需要进一步完善电监会的网络安全建设，实现网络层的接入控制。,部署后效果： 达到等级保护要求：接入认证、网络终端管理、用户管理和授权； 及时发现定位ARP病毒源； 非法接入终端的阻断和报警； 不改变用户网络结构，完全兼容原有网络设备，极大保护了早期投资； 用户自服务，每个用户自己维护密码；

8、,用户：“我们测试了多个品牌，ACK的产品对网络的要求最低，兼容性最高，有推广的价值！”,韶关发电厂,面临的威胁： 任何人、任何终端任意接入办公网，内部资源没有保障； 办公网用户私自篡改IP/MAC地址，试图仿冒高级权限的用户终端，绕过防火墙策略上网； IP冲突，管理员无法定位冲突源；,韶关发电厂邹主任：“ACK的产品不错，不少困扰多年的安全问题解决了！”,部署后效果： 所有用户认证后才能入网，隔离非法用户； 所有终端符合内网规范才能入网； 阻断篡改IP/MAC地址的终端； 协助发现各种ARP攻击和异常流量； 各种非法和不合规接入直接报警；,广东移动茂名分公司,项目背景： 中国移动的BSS是一个独立封闭的网络，网维部门有大量的外维人员，负责不同领域的维护，人员流动性大，管理松散，存在较多网络安全隐患，一旦出现安全事故，难以追究直接责任人；,部署后效果： 全面兼容现有的Cisco、华为、傻瓜交换机； 外维人员接入网络自动获取IP，自动认证，首次入网的外维人员进入自助服务页面注册，管理员审批后生效； 外维人员自带终端首次入网，自动进行终端注册，自动登记终端的硬件信息； 自动授权，根据用户ID分配相应权限的IP； 监控区的主机免身份认证，自动校验终端的硬件信息，避免非法终端冒充监控主机；,用户郑工：“产品简单易用，运行稳定，2年多来没有出现意外状况！”,

《ACK内网规范管理解决方案(实名制准入控制硬件)教学材料》由会员youn****329分享，可在线阅读，更多相关《ACK内网规范管理解决方案(实名制准入控制硬件)教学材料》请在金锄头文库上搜索。