清肺排毒颗粒的功效与作用深信服科技有限公司
2010年06月21日
目录
圆珠笔尖
第1章背景综述 (1)
升华仪
第2章SANGFOR NAC的组件 (2)
2.1NAC安全硬件网关 (2)
2.2NAC客户端组件 (2)
第3章SANGFOR NAC的功能 (3)
3.1网络准入控制 (3)
3.2防病毒软件检测 (4)
3.3Windows补丁检测 (5)
3.4非法外联线路检测 (6)
3.5USB防拷贝 (7)
第4章SANGFOR NAC的优势 (9)
小型洗衣粉生产设备
4.1丰富的身份认证方式 (9)
准入控制系统
4.2虚拟化的多隔离区 (9)
4.3详细的日志和统计报表 (9)
4.4易用性:系统托盘 (10)
4.5可扩展性:上网行为管理 (10)
第1章背景综述
近年来,在企业网中,新的安全威胁层出不穷,给组织带来各种风险:
虽然大多数组织都制定了身份认证与授权制度,并采用技术手段实现基于用户身份与职权的访问权限 分配。但是,对于用户终端设备的安全状况却缺乏“评估”与“管理”,尤其当来自外部网络的终端设备可以随意接入内网时,内网的其他用户由于未得到适当的保护而暴露在巨大的安全隐患面前;
病毒、蠕虫、间谍软件等各种形式的恶意软件成为企业网中大量安全事故的根源,他们引起系统崩溃、网络瘫痪,造成系统中断、数据泄密、收入损失、数据损坏,给机构业务带来巨大影响;
在企业网中,任何一台安全状态不佳的终端都可能成为整个网络的安全短板,即使是最值得信赖的用户也有可能无意间通过已被感染的终端,或者在业务访问、娱乐访问中不慎引入风险;已感染的终端除了在内网中不断寻下一个受害者,并使其感染之外,甚至可能将终端上存储的资料不断外发,落入不法分子之手;
即便组织投入大量资金购买防病毒软件、防病毒网关等安全防护设备,安全意识不足的用户却不理会管理员的一再强调,任由系统漏洞存在、不安装防病毒软件或不及时升级病毒库;而管理员靠人工查、隔离、修复这些不符合安全策略的终端不但费时、费力、低效,且治标不治本; 风险除了来自网络应用,用户私自使用3G、无线、路由器等在组织规定的上网线路之外的非法外联线路,将办公用电脑带离办公地点,通过USB口随意读取移动存储设备、拷贝组织机密文件,不受限制地通过网络外发文件等等行为,埋下数据泄密事件的隐患。
显然,仅靠传统的安全解决方案无法应对这些问题,于是,出现了融合网络准入、终端安全、桌面管理的综合解决方案。在这些方案中,传统的网络设备厂商提出的方案基于基础交换设备、安全服务器与终端客户端的联动,需要客户配套或者更换成同一品牌的基础网络设备,成本高,实施周期长;而软件厂商提出的方案侧重桌面管理功能,在终端安装管理软件工作量大,维护难。
据此,深信服科技推出了轻量级NAC(网络准入控制)解决方案,,只需在出口处部署一台硬件网关,通过向内网终端自动推送一个轻量级的客户端控件,即可实现对接入内网终
端的网络准入控制和安全隔离,执行安全级别检查,限制非法外联线路,禁用USB拷贝功能。 实施深信服NAC方案的客户能够允许符合安全策略的可信终端访问内网其他设备、访问网络,对不符合安全策略的终端强制实施策略,以加强终端的主动防御能力。NAC帮助客户构建“终端+网关”的双向安全机制,提高网络的整体安全级别,降低泄密风险。
第2章SANGFOR NAC组件
2.1NAC安全硬件网关
NAC安全硬件网关是深信服NAC方案的统一管控中心,负责用户身份认证、终端安全级别评估、终端管理、安全策略管理、安全策略下发以及日志审计功能。
用户身份认证。提供多种认证手段,精准识别用户身份,包括IP/MAC认证、web认证、第三方认证服务器联动(AD、LADP、Radius、Proxy、POP3等)、USB-key认证等; 终端安全级别评估,根据NAC客户端组件上报的终端安全状态,评估终端安全级别,方便管理员制定差异化的管理策略;
终端管理。依据终端安全级别评估结果,将不同级别的终端放入不同的隔离区,对隔离区内的用户提供基于身份、安全级别的访问权限配置;
安全策略管理与下发。管理员可制定基于用户身份、安全级别的策略,包括终端安全级别定义、隔离区定义、隔离区权限定义等,并下发安全策略至终端,由NAC客户端组件强制执行;
日志审计。NAC网关收集NAC客户端组件上报的终端信息,并形成安全日志,为管理员及时发现并修补安全短板、监控整网运行状况提供事实依据。
2.2NAC客户端组件
NAC安全客户端是安装在用户终端上的轻量级控件,依据NAC硬件网关的策略配置对用户终端进行安全级别评估、网络准入控制、非法外联线路检测、USB防拷贝、终端应用程序使用情况统计等,主要
功能包括:
检测用户终端的安全级别。包括防病毒软件的安装情况、软件版本,病毒库的版本与更新情况,终端操作系统版本,操作系统补丁更行情况。这些信息由NAC安全客户端收
集并提交到NAC硬件网关,作为对终端准入的判断与执行安全策略的依据;
实施安全策略。NAC安全客户端接受NAC硬件网关下发的安全策略并强制终端执行,包括主动向用户发起安全检测提示,强制执行远程应用程序,对安全级别不足的用户进行访问权限控制;
监控终端系统安全状况。包括定期检测终端安全级别、安全策略强制执行的结果返回,终端应用程序的应用情况统计,用于后期安全评估报表的输出;
检测非法外联线路。NAC安全客户端可检测终端是否通过非企业网线路访问外部网络,包括无线路由、3G上网卡、拨号网络等,并根据管理员设定的安全策略禁用非法外联线路;
USB防拷贝。NAC安全客户端可根据管理员设定的策略,在不影响其他USB设备正常工作的情况下禁
止USB存储设备的使用。
第3章SANGFOR NAC功能
3.1网络准入控制
病毒、蠕虫、间谍软件等新兴网络安全威胁持续损害客户利益并使机构遭受损失,互联网资源的日益丰富、移动计算机的普及进一步加剧了威胁。用户能够从家里、公共热点连接互联网或办公室网络,并在无意中将威胁带进办公室环境,进而感染网络。
对此,深信服NAC方案进行了专门设计,网络准入控制功能对网络接入终端强制进行身份认证和安全评估,为访问网络资源的终端设备提供足够保护,以防御网络安全威胁。网络准入控制功能评估终端安全级别并依据评估结果,将不同用户、不同安全级别的终端隔离出来,形成独立的隔离区,拒绝隔离区中的终端与正常通过安全策略检测的终端进行通讯,从而有效的限制了病毒、蠕虫和间谍软件等损害网络安全。
另克
网络准入控制功能的隔离效果:
新接入网络的终端,未通过认证时,默认不能与安全区内的终端通信,管理员可选将其加入未认证的用户隔离区中,限制其外网访问权限、服务器区访问权限;
接入网络的终端,通过认证后,会根据管理员配置的网络准入控制策略检测用户是否通过评估,通过安全评估的用户会进入安全用户区,安全用户区不能和未通过评估的隔离区通讯;未通过安全评估的用户不能和安全用户区内的用户通讯;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议