NAC解决方案说明

NAC解决方案说明TippingPoint 2008
公司简介
TippingPoint Technology,Inc是一家总部在美国的高科技企业。

2002年初，在当时连IDS都罕为人知的时期，TippingPoint公司在全球RSA安全峰会上退出了全球第一款基于硬件NP+FPGA(ASIC)架构的IPS产品，令当时的与会者叹为观止。

2002 TippingPoint公司成功的在美国纳斯达克上市，2005年被3COM收购。

目前TippingPoint作为3Com公司的一个子公司，是为合作公司、政府机构、服务提供商以及学术机构提供基于网络的入侵防御系统的主要提供商。

由于它在2002年建立了第一个基于网络的入侵防御系统而成为了IPS市场的先驱，并且它通过第一个将创新的IPS特征比如间谍软件防护和多路千兆吞吐量市场化来继续领导着这个领域。

TippingPoint是唯一提供VoIP安全、带宽管理、层对层保护以及以在安装之后无需调整的默认的“推荐配置”来准确地阻隔恶意流量等这些所有功能的入侵防御系统。

TippingPoint 公司于2007年推出了基于接入控制的安全补充方案NAC,作为IPS的合理有效的补充。

NAC的推出解决了边界网关IPS无法防御内部异常流量和网络安全的盲点，除此以外NAC可以很好的和TippingPoint IPS联动做到真正的实时异常行为的隔离。

部署说明
NAC技术简介
网络准入控制(NAC) 进行了专门设计，可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护，以防御网络安全威胁。

作为著名防攻击、安全性和管理产品制造商TippingPoint参与的市场领先的计划，NAC引起了媒体、分析公司及各规模机构的广泛关注。

NAC的优势
据2005 CSI/FBI安全报告称，虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元，但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。

机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题，给机构带来了巨大的经济影响。

显然，仅凭传统的安全解决方案无法解决这些问题。

TippingPoint公司开发出了将领先的网关安全和管理解决方案结合在一起的全面的安全解决方案，以确保网络环境中的所有设备都符合安全策略。

NAC允许您分析并控制试图访问网络的所有设备。

通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施)，机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。

大幅度提高网络安全性
虽然大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户并为其分配网络访问权限，但这些对验证用户终端设备的安全状况几乎不起任何作用。

如果不通过准确方法来评估设备‘状况’，即便是最值得信赖的用户也有可能
在无意间通过受感染的设备或未得到适当保护的设备，将网络中所有用户暴露在巨大风险之中。

NAC是构建在TippingPoint公司领导的行业计划之上的一系列技术和解决方案。

NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。

实施NAC 的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等) 访问网络，并控制不符合策略或不可管理的设备访问网络。

通过运行NAC，只要终端设备试图连接网络，网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。

随后将这些资料信息与网络安全策略进行比较，并根据设备对这个策略的符合水平来决定如何处理网络访问请求。

网络可以简单地准许或拒绝访问，也可通过将设备重新定向到某个网段来限制网络访问，从而避免暴露给潜在的安全漏洞。

此外，网络还能隔离的设备，它将不符合策略的设备重新定向到修补服务器中，以便通过组件更新使设备达到策略符合水平。

NAC执行的某些安全策略符合检查包括：
1.判断设备是否运行操作系统的授权版本。

2.通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复。

3.判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。

4.确保已打开并正在运行防病毒技术。

5.判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软
件。

6.检查设备的企业镜像是否已被修改或篡改。

7.NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。

实施NAC解决方案的某些优势包括：
1. 帮助确保所有的用户网络设备都符合安全策略，从而大幅度提高网络的安全性，不受规模和复杂性的影响。

通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击，机构可将注意力放在主动防御上（而不是被动响应）。

2. 通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒、安全性和管理软件的价值。

3. 检测并控制试图连接网络的所有设备，不受其访问方法的影响(如路由器、交换机、无线、VPN和拨号等)，从而提高企业永续性和可扩展性。

4. 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。

5. 降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。

组件：
TippingPoint NAC Policy Server (NPS)
TippingPoint NPS是TippingPoint NAC解决方案的中央管理控制台，它容纳主要的NAC数据库、提供与外部后端办公室系统（例如LDAP或Active Directory）的界面、当成一个RADIUS server以处理认证请求、提供逻辑以决定网络政策、以及提供网管使用者界面等。

NAC数据库包含NAC系统所需的所有配置数据，包括与后端办公室系统建立界面所需的数据、802.1X交换器设备列表、驱动网络政策引擎的数据、详细的端点连线记录以及它们的安全状态评估结果。

NPS提供支持802.1X NAC政策执行所需的全部服务。

再者，NPS与安装在企业DHCP服务器的TippingPoint DHCP Plug-in通讯，利用端点的DHCP租约(lease)执行访问政策。

通过DHCP政策执行(DHCP enforcement)功能，可以修改使用者的租约以控制名称服务并设置静态IP路径至修复网站。

TippingPoint NAC Policy Enforcer (NPE)
TippingPoint NPE是一种具备即时分析能力的装置(in-line appliance)，根据使用者和装置标准提供访问控制。

它允许网络管理者根据使用者身份识别和装置类型设置访问规则，而不会像传统以端口为基础(port-based)的网络区段划分方法受到地点限制。

随着越来越多行动装置连接到网络，以及企业员工流动性的提高，网络周界加速模糊化。

一旦顾问、承包商和访客等外界人员获得内部网络的访问权限，企业即必须部署一套以身份识别为基础的inline政策执行工具，确保唯有合法使用者才能访问其获得授权的资源。

NAC Policy Enforcer和NAC Policy Server协同作业，它会收到有关任何新的网络连接的最新政策，同时也会收到所有有关使用者认证状态以及时间和位置规则的变更信息。

一台单一NAC Policy Enforcer支持约500名使用者，约500 Mb/s的流量，以及802.1Q VLAN 中继(Trunking)。

NAC Police Server (NPS策略服务器)：负责定制策略、认证代理（radius，tacacs，ldap）、DHCP服务、WEB门户
NAC Police Enforcer （NPE 策略执行器）：负责和NPS联动，8021X认证、HTTP重定向服务
NAC Client（客户端）：移动终端、无线终端和主机
部署方式
NPE串联在路由器和交换机的中间，而NPS旁路就近连接在二层交换机的内侧。

工作流程如下
1.客户端发送接入请求到交换机
2.交换机将请求转发到NPE，NPE将请求内容发送NPS进行处理
（地理位置、IP、用户信息、MAC地址等）
3.NPS将请求通过预先设定的认证方式进行处理，根据返回的A/V对来判断
是否用户身份合法
4.如果用户身份合法，则让其通过。

反之进行隔离。

部署方式IPS+NAC
5.当客户端接入后再次下载了病毒进行网络攻击，IPS可以进行网关拦截
6.IPS将源地址进行隔离，并且通过SMS通知NPS
7.NPS通过配置交换机，将该客户端隔离出VLAN
减少网络安全弱点
让未授权使用者和装置远离网络
在一个TippingPoint NAC环境内，每一台装置及其使用者都必须接受严格的认证、授权、以及安全状态遵循方面的检查。

未授权使用者不得访问网络，而未通过检查的装置则根据发现的安全弱点而引导其进行修补，然后才能授予其访问权。

这些措施让IT管理人员能够分级管控访问特定网络资源的使用者和装置。

依照任务、装置类别、状态、地点和时段限制访问
针对个别使用者、装置或使用者与装置群组定义访问政策。

这些政策让管理者可以依照端点状态、地点和时段实施访问控制。

多重访问控制方法 - 包括802.1X、DHCP和In-Line Blocking
一台单一的TippingPoint NAC Policy Server可以利用多种政策执行整个网络的访问管理，包括802.1X和DHCP认证、TippingPoint NAC Policy Enforcer的in-line 政策执行、以及这些方法的任意组合。

连线前与连线后端点监控，降低恶意软件攻击风险
TippingPoint NAC解决方案提供连线前与连线后之端点状态监控，预防恶意软件侵入网络。

任何未遵循政策的装置，将根据发现的安全弱点而引导，从而对其进行修补，通过检测后才授予访问权。

IPS整合确保所有数据流与内容都接受连线后检测
TippingPoint NAC将与TippingPoint入侵防御系统Intrusion Prevention System IPS)实现互操作，确保阻断每一端点的所有恶意流量，而可疑或未遵循政策的流量将会触发其他政策控制操作，包括阻断、隔离检查、预警或流量管制。

结合NAC与in-line IPS的分层式安全措施，为安全人员提供前所未有的管控能力，能够自动对所有使用者、装置、流量和内容执行网络访问与安全政策管控。

降低NAC配置成本与复杂性
弹性部署方案简化配置与扩充程序
TippingPoint NAC解决方案提供弹性，协助将网络访问控制部署到各式各样的组态内，因此企业组织可以从小规模部署着手，先简单地部署到高风险区段或者商务关键性较低的区段，然后逐步扩充。

单一、基于Web的管理控制台
单一、基于Web的管理控制台，协助管理者轻易管理整个NAC解决方案，而不论采行何种认证与政策执行选项。

一台单一的TippingPoint NAC Policy Server可管理多达10,000端点。

简易的政策创建和管理
NAC Policy Server管理控制台提供一个非常直观且容易使用的管理界面，协助建立新访问政策和持续管理现有的政策。

这有助于将政策创建时间缩减至最小，并且加速解决方案的整体部署时间。

减轻IT人员的访客设置负荷
配置智慧型的client-less访客访问权，以及建立、分组和控制多阶层访客，例如承包商、行动员工和现场访客，而无需变更现有网络基础设施。

设置访客端点修补，减轻后续IT负荷与成本。

详细预警加速问题辨识与排除
立即的问题通告结合详细的drill-down深入分析报表，节省IT人员辨识和排除问题所需的时间，例如多名使用者认证失败、不明装置尝试访问或系统健康问题等。

对现有使用者而言具有透通性而无需升级网络
无缝Active Directory Windows 登录以及支持Mac和Linux
TippingPoint NAC解决方案支持无缝Windows (2000、XP和Vista) Active Directory 登录。

该解决方案也完全兼容Macintosh (10.x)和Linux操作系统，协助企业组织确保装置政策遵循。

状态政策遵循(posture compliance)检测功能将检查操作系统类别、补丁和热补丁，确认后才授予访问权。

支持数百种防毒、反间谍和个人防火墙软件套件
TippingPoint NAC解决方案提供涵盖数百种防毒、反间谍和个人防火墙软件套件的状态评估检查功能。

这项内置的状态政策遵循检测功能将检查：
对使用者透通的暂时性用户端状态检测代理程序
用户端状态政策遵循检测通过基于Web的控制台管理，而且可以使用永久性(persistent)或暂时性 (dissolvable)的状态检查客户软件执行。

再者，状态检查可设置成仅要求连线前检查或者包括连线前与连线后检查。

连线后的状态遵循检查间隔时间完全可以自由设置。

无需升级网络
由于TippingPoint NAC解决方案与现有的认证数据库整合，并且运用现有的网络政策执行服务，包括802.1X和DHCP，因此不需要进行昂贵的网络升级。

整合RADIUS、Active Directory和LDAP认证服务
使用者访问权是通过与现有使用者目录服务整合管控，包括Active Directory、LDAP和RADIUS，或者整合RADIUS 服务器的本地创建用户(TippingPoint NAC Policy Server之内)。

NAC Policy Server能够和现有或新部署的目录基础设施协同作业，包括RADIUS、LDAP和Active Directory，而不需要变更现有目录。

再者，它可以支持多重可延伸认证协定(EAP)类型和802.1X用户端，以利用802.1X当成一种认证和政策执行方法。

Layer 3网络透通性
TippingPoint NAC Policy Enforcer在网络上当成一个Layer 2桥接器，且通常部署在网络核心。

NAC Policy Enforcer在Layer 2作业，对于Layer 3网络而言具有透通性，因此并不需要变更您现有的Layer 3基础设施或IP地址配置。

改善透明度以及网络的使用与访问报告
快速扫描所有联网装置的现在和历史活动与状态
TippingPoint NAC Policy Server通过集中化的、基于Web的控制台提供先进的报表能力，让网络管理人员能够快速扫描现在或曾经连接网络的所有装置的活动与状态。

报表可用于即时系统分析、历史分析、政策遵循稽核以及系统故障排除等。

系统仪表板(dashboard)显示现在的系统状态，包括已知的连接数、简要历史认证图表以及已知连接装置的当前状态。

Dashboard包含一组图表，提供有关NAC Policy Server各项组件的状态速览。

其他报表包括：
·依照MAC地址、IP地址和使用者名称区分网络连接，以及装置的状态评估。

·即时监控、显示和记录所有使用者、会话、应用程序与服务。

·即时追踪所有使用者活动、权限、状态与位置。

·个别或整体装置状态的详细信息。

维护使用者与装置访问稽核记录以简化政策遵循管理
NAC Policy Server维护一个完整的使用者与装置访问稽核追踪记录，以简化内部安全政策稽核程序和外界法规遵循管理。

以身份识别为基础的政策管理
·&nbspNAC Policy Server 采用基于Web的管理控制台，以及通过SSH v2访问的命令列介面(CLI)
·以使用者角色任务为基础的访问控制
·整合外部使用者目录
—RADIUS、Active Directory与LDAP
·&nbspNAC Policy Server支持多达10,000使用者
·黑名单、白名单和例外
·将特定使用者关联到特定MAC地址
·根据MAC地址允许或拒绝访问
·&nbspinline政策执行，依照Layer 3和4定义访问规则，支持通配符(wildcard)和范围
端点状态检查
·永久性和暂时性的用户端状态代理程序
·可配置的连接后状态检查间隔时间
·终端使用者自我修复
·兼容Windows 2000、XP、Vista、Mac OS X和Linux
·无缝Active Directory Windows 登录
·支持数百种防毒、反间谍软件和个人防火墙软件套件
·状态更新服务支持＂set and forget＂政策建立
访问政策执行
·多重执行选项，包括802.1X、DHCP、in-line blocking，以及这些方法的任意组合
·支持多重可延伸认证协定(EAP)类别和802.1X认证
·可定制化的 captive login Web portal
·&nbspHTTP重导(重导流量至captive login Web portal)
·&nbspIn-line政策执行设备——支持500名以上的并行使用者
·&nbspNAC Policy Enforcer协议包括：
- 802.1D bridging
- 802.1D spanning tree
- 802.1Q VLAN trunking / translation
- 802.1X port-authentication
- 802.3 10Base-T
- 802.3u 100Base-TX
- 802.3z 1000Base-SX/T
历史报表
·即时系统分析、历史分析、政策遵循稽核以及系统故障排除- 有关使用者、装置和装置状态的关联信息
- 按照MAC、IP和使用者名称关联所有网络连接
- 按照使用者、群组、位置、状态和目的地追踪网络使用- NAC Policy Server提供多重可定制化报表
·&nbspSyslog、SNMP v1/2和Traps预警
成功案例－1 新加坡星远集团新加坡星远置业集团是拥有123年历史的
亚洲著名跨国上市公司，公司总资产超过50亿
美元，是新加坡排名前25位的上市公司。

业务
横跨房地产、食品、印刷及出版三大领域，遍布
全球20多个国家和地区，并拥有诸多国际著名
的产品品牌。

其房地产业务主要包括住宅、商
场、酒店式公寓等项目。

位于新加坡黄金地段山顶道区域的腾宝广
场被誉为新加坡的名片－位于亚太地区的定级白金写字楼。

楼群分为两栋主楼和4座辅楼群。

2006年被星远集团成功收购以后，对整个写字楼的IT基础架构做了全新的设计的部署。

并被SITC组织评为2007年安全级别为A4的信息架构平台。

在腾宝的整个设计过程中，在访问控制界面中。

NAC的作用起到了非常决定性的因素。

由于写字楼对接入住户的Internet访问要求非常严格和细致，在互联网接入层（Access Layer）部署了72台NAC系统服务器。

用来严格的控制多种访问区域、访问资源和用户信息。

网络基础架构如下：
在腾宝主楼的每个楼层中配置一台NPE，用来处理每个楼层的DHCP请求到NPS。

在4楼的网管中心部署了IPS和NPS集中对所有的NPE进行统一管理和分发策略。

在核心层，配置了两台HA的SMS用来做数字疫苗的下发和统一管理报表。

经过多层次的安全策略和访问管理，目前腾宝信息安全等级达到了亚太地区A4级别的要求。

产品信息。