网络准入管理系统参数
网络准入管理系统参数
★
提供原厂商针对本项目的授权函及至少三年的售后服务承诺函。
资质要求
★
1.公安部《计算机信息系统安全专用产品销售许可证--终端接入控制(一级)》
2.国家保密局《涉密信息系统产品检测证书(网络访问控制产品)》
3.国家版权局《计算机软件著作权登记证书》
违规外联
违规外联
1.能够针对3G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测,不接受间歇性ping外网地址的探测方式。
2.能够针对违规外联终端进行即时断网,断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式,并能够实时通知管理员。
3.准入设备能够支持按照用户角色定义、限制员工的内网访问范围,防止其越权访问操作。
3.支持Hub下多个终端需分别认证才能入网和只需一台认证即可全部入网两种认证机制。
终端
管理
终端识别
支持当前主流智能终端设备的安全准入控制,能够自动识别主流手机、智能能终端入网引导界面的自主定制功能,至少包括界面标题、界面LOGO、界面说明文字等。
3.支持Syslog报警信息的定向输出。
系统管理
虚拟监控台
为了方便管理员从整体上把握网络安全态势,系统提供虚拟监控台功能。通过集中的仪表、数值显示快速进行安全态势的把握,主要包括:报警、安全风险等级、全网终端数、清理终端数、安检和规律、安检项状态分布。
移动端设备管理
移动端管理平台可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启。
2.能够提供移动终端入网的设备注册功能。
认证检查
1.苹果应用商店提供支持iOS的安全准入app下载安装;支持Android客户端自动生成,以及自动签名等功能。
网络准入控制系统评价指标分析
AD(Active Directory)是基于 windows 系统的强大有效的安全管理工具,由于在目录 中包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策 略] 的信息,网络准入控制系统可以从中获取到相比其他认证系统/接口更为详细的管理 信息,一套好的网络准入控制系统甚至应该能够提供 AD 环境下的单点登录功能,为机构 提供更多的管理便捷性。
7. 生物指纹认证
随着生物信息技术的发展,利用个人特征进行识别的人员管理模式在众多行业/管理模式 中均得到了应用,如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性,且无 需人员进行预先设置和记忆,因此具有其他记忆/携带类认证方式所不具有的突出优点。 网络准入控制系统可以选择利用用户已有/采购中的的指纹识别系统作为入网人员身份 的采集点,并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理,从 而更适合高端用户基于边界的用户认证管理需求。
设备识别。帮助用户对所有接入网络的终端设备进行迅速的识别,根据 ip、MAC、 操作系统、硬盘 ID 等指纹完整地给出接入设备的形态,从而帮助管理者区分内部 设备与外部设备,授权设备与非授权设备,已注册设备与未知设备等多种管理形态。
用户认证。依托于网络准入控制系统强大完善的认证系统,能够提供给管理者基于 用户的角色管理,赋予不同的用户不同的访问权限、所使用设备的安全配置要素及 网络行为准则。
系统补丁(patch)健康保障。如果操作系统不及时更新补丁,那么任何漏洞都会 变成 0day 威胁,从而对设备、使用者甚至是机构造成巨大的威胁和损失。网络准 入控制系统需要依托 microsoft 每月补丁更新,为用户提供更合适的补丁分级管 理机制,确保检测过的补丁具有更高的稳定性和安全针对性。最佳的处理方式则应 该是由网络准入控制系统自身集成补丁服务器,这样就不需要用户再额外搭建 WSUS 等补丁设施,从而有效降低内网管理的 TCO。
网络安全准入系统
网络安全准入系统网络安全准入系统(Network Security Access Control System)是指通过一系列的技术手段,来对网络的访问者进行身份验证和访问控制的一种系统。
其主要目的是保护网络资源免受未经授权的访问、攻击或滥用。
网络安全准入系统的主要功能包括身份验证、权限控制和安全监控。
首先,网络安全准入系统通过用户身份验证来保证网络只有合法的用户能够访问。
这一步骤通常包括使用用户名和密码、双因素认证或者生物特征识别等方式来验证用户身份。
只有通过身份认证的用户才能进入系统,这样可以有效防止黑客利用有效的账号密码进行攻击。
另外,网络安全准入系统还可以与企业现有的用户管理系统进行集成,实现账号的自动创建和禁用。
其次,网络安全准入系统可以根据用户的身份和角色来进行权限控制。
通过设置不同级别的权限,可以确保每个用户只能访问其拥有权限的资源,并且限制对敏感数据的访问。
例如,只有具有管理员权限的用户才能修改系统设置和访问敏感数据,普通用户只能访问其需要的数据和功能,从而提高系统的安全性。
最后,网络安全准入系统可以实时监控网络流量,检测并阻止异常的访问行为。
通过持续监测网络流量、分析用户行为和异常日志,可以及时发现并响应潜在的安全威胁。
准入系统可以自动阻止来自未知IP地址或存在异常行为的用户的访问请求,从而提高网络的安全性。
除了以上的功能,网络安全准入系统还可以提供企业级防火墙、入侵检测与防御、加密通信等其他安全功能。
此外,准入系统还可以集成其他网络安全设备和系统,如防病毒系统、入侵防御系统等,实现全面的网络安全保护。
总之,网络安全准入系统是一种重要的网络安全保护手段,通过身份验证、权限控制和安全监控等功能,可以保护企业网络免受未经授权的访问、攻击或滥用。
通过使用网络安全准入系统,企业可以提高网络的安全性,减少潜在的数据泄露和网络攻击的风险。
画方网络准入管理系统-NAM40资料
规范检查
硬件变动检查 软件资产变动检查 操作系统及SP版本检查 操作系统补丁检查 安装软件黑白名单检查 进程黑白名单检查 系统服务黑白名单检查 文件黑白名单检查 注册表黑白名单检查 反病毒软件检查 USB外设检查 违规外联检查 。。。。。。
资产管理
获取硬件信息:CPU/内 存/硬盘/主板等信息,自 动生成快照并监测变动
IP管理
支持IP/MAC绑定 支持MAC和多IP绑定 支持根据终端类型下发IP
地址 支持接入VLAN检查 IP冲突检查 支持MAC仿冒检查 支持IP变化告警 支持IP地址可视化管理 支持IP地址统计 支持IP地址实名制审计 支持双网互联检查,自动
修复双网互联问题 。。。。。。
获取主机型号 获取操作系统版本 获取终端类型 获取主机名 获取软件安装列表,自动
生成快照并监测变动 获取主机补丁列表,并自
动打补丁 。。。。。。
5
更 智能
终端信息智能识别 终端漏洞智能修复 网络边界智能发现
更 易用
秒级部署方案 可视化管理 Portal引导 统一入网策略
产品优势
更 灵活
Who
Where
What
5
功能介绍
上网行为审计
网络准入控制
应用服务监控
NAM
IP地址管理
桌面安全运维管理
网络设备运维管理
5
网络准入控制
网络准入控制技术
支持DHCP准入控制技术 支持ARP准入控制技术 支持SNMP准入控制技术 支持802.1X准入控制技术 支持VG准入控制技术 支持SPAN准入控制技术 支持Agent准入控制技术 支持自动发现IP/MAC 支持自动发现终端类型 支持自动发现操作系统 支持自动发现网卡厂商 支持自动发现主机名 支持自动发现接入位置 。。。。。。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
网络准入控制V10
网络准入控制(NAC)目录1.网络准入概述 (1)2.准入方式 (1)2.1. 802.1x准入控制 (2)2.1.1. 802.1X的工作过程 (2)2.2. CISCO EOU准入控制 (3)2.3. DHCP准入控制 (3)2.4. ARP准入控制 (4)2.5. 网关型准入控制 (4)2.6. H3C Portal准入控制 (4)2.6.1. Portal系统组成 (4)2.6.2. Portal原理 (5)3.准入技术的比较 (5)1.网络准入概述网络准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。
借助NAC,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。
NAC系统组件:终端安全检查软件;网络接入设备(接入交换机和无线访问点);策略/AAA服务器。
NAC系统基本工作原理:当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、VPN等)进行交互通讯。
然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。
当终端及使用者符合策略/AAA服务器上定义的策略后,策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。
通过网络准入一般可以实现以下功能:◆用户身份认证从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全。
◆终端完整性检查通过身份认证的用户还必须通过终端完整性检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。
◆终端安全隔离与修补对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。
◆非法终端网络阻断能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。
2.准入方式目前常用的准入控制:➢802.1x准入控制➢CISCO EOU准入控制➢DHCP准入控制➢ARP准入控制➢网关型准入控制➢H3C Portal准入控制2.1.802.1x准入控制802.1x准入控制:802.1x协议是基于Client/Server的访问控制和认证协议。
网络准入控制系统参数
支持主流的杀毒软件版木、病毒库和运行情况的检查,
20.
安检规范支持评分、设置修复期限,终端用户在允许期内即使不修复可正常使用网络。
21.
安全基线检查(IinUX/国产操作系统)
支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。
3.
高可用
支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。
4.
支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置策略生效时间。
7.
终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。
8.
支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。
9.
管理
管理页面布局及内容支持自定义,内容包括但不限于系统自身接口状态、流量等。
10.
客户端
支持安全客户端(Agen1)、安全控件、无客户端等多种模式;提供
26.
报警信息
支持系统报警、网络报警、终端报警等报警类型超过20种以上自定义报警类型。支持报警信息通过SySIOg、邮件进行输出。
27.
报表
支持提供每日/周/月入网报告及终端安全评估报告。
28.
产品资质
公安部《计算机信息系统安全专用产品销售许可证》
29.
国家局《计算机软件著作权登记证书》
30.
中国国家信息安全产品认证证书
windows网络准入规则
windows网络准入规则1、网络准入控制功能介绍1)终端强制准入控制与入网流程化管理通过在公司网络核心交换机上旁路部署网络准入控制设备,通过策略路由与交换机联动,且不会影响流量,实现对全网的强制准入控制。
入网终端必须按照单位的安全要求,完成人员身份认证---终端注册---管理员审核---终端安全检查---终端访问权限授权与管理等一系列的入网流程,只有符合单位各项安全规范制度才能接入网络。
而对于不符合单位安全规范要求的终端,能够提供友好的web重定向,引导其快速完成入网流程,成功入网,如下图:2)双实名制强认证通过实名身份将用户(人)和终端(机器)计算机分离开来,对使用人员需要进行身份认证(可支持多样化认证方式:用户名密码、Ukey认证、短信网关系统联动认证等),对终端需要进行注册审核,保障了接入网络的人员合法的同时,又保障终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。
3)可强制配置的终端安全基线配置检查与智能修复针对当前终端的安全现状与集团检查要求,终端在入网后需按照单位自主制定的安全规范进行安全检查,对杀毒软件、系统补丁、计算机名称、双网卡连接、屏幕保护、共享账户、Guest等等安全基线配置进行检查,并提供一键式智能修复功能,提供终端运维效率。
4)终端快速定位管理与网络透视功能项目实现了一个全网安全管理和展示的平台,能够对全网拓扑进行展示。
在拓扑图上可以全面展示网络中的各种系统设备、网络连接等信息。
能够从整体上首先把握网络的运行和安全状况。
在拓扑展示图上可以进一步向下细化定位,直至每台终端设备。
也可以通过设备向上检索,找到其连接的交换机,及该交换机在网络中的位置、运行情况和安全状态等信息。
如下图:5)网络边界管理NAC设备可以充分维护网络边界的完整性。
当网络中有非法接入的NAT设备、HUB设备、WIFI设备时,ASM通过网络中的网络数据进行分析,对网络设备进行信息采集,可以快速展示出当前网络中的边界设备连接状态。
网络准入控制使用说明
网络准入控制使用说明IP-guard的桌面管理系统可以详细地对计算机的操作行为进行详细的审计和严格的控制,但是仍然有一些用户通过重新格式化并安装操作系统,设置个人防火墙等等手段逃避行为监管。
而即使当管理员及时发现这种情况以后,重新再部署桌面管理客户端都是一件繁琐和恼人的工作。
IP-guard网络准入控制功能就是为了解决这一问题而诞生的。
IP-guard 网络准入控制系统是一套专业的硬件系统,能够对访问指定网络(如企业内网、服务器等)的计算机进行严格的合规性审核,只有合规的计算机才能连入访问,未合规的计算机可根据需要将其引导至隔离区进行修复,或者完全阻断其访问。
更可以与IP-guard 15大模块集成应用,避免内网PC脱离IP-guard管控。
有效的保证内网安全策略的执行,同时杜绝非法连入带来的外泄风险。
1网络架构IP-guard网络准入控制功能的工作模式有两种:网桥模式和路由模式。
企业内的网络常见的网络简易拓扑结构:IP-guard的网桥控制模式:使用网桥模式,可以对网络结构和配置不做任何修改,直接将准入设备串接进网络中需要进行控制的地方(多数是重要的应用服务器或者网关处),对通过其的网络通讯进行控制。
IP-guard的路由控制模式:对核心交换机启用策略路由,对跨网段的访问进行控制。
这种控制方式需要核心交换机支持策略路由。
2控制流程当计算机或其他网络终端设备接入网络时,设备端会询问其提供验证的信息。
当安装了客户端的计算机通过身份认证以后,就可以访问正常的网络。
而没有通过认证的计算机则会被放入到隔离区或完全阻断网络访问。
同时对于一些无法安装客户端的网络终端设备,例如网络打印机,系统可以通过配置白名单的方式允许这些网络设备接入网络。
对于一些外来的或者特殊权限的计算机,也可以通过设置白名单,或者开辟特殊用户的方式允许他们不安装客户端的情况下访问部分或者全部网络。
非法客户端准入控制器3部署3.1设备介绍IP-guard网络控制设备(以下称控制器),分为三个型号:IPG-1000:5个百兆网卡,无管理端口;RESET键用于恢复出厂设置;IPG-2000:3个千兆网卡,其中管理端口为EMP;IPG-3000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;IPG-4000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;说明对于有管理端口的控制器,管理端口的IP固定为190.190.190.190,初始配置使用管理端口;对于没有管理端口的控制器,出厂设置下任一端口的IP均为190.190.190.190,初始配置可使用任一端口;BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
网络准入控制管理系统
检查本地操作系统防火墙的开启、账号及密码策略的规范要求。
6
交换机管理
应能提供管理交换机的模拟视图,根据交换机的端口数量自动生成交换机的模拟视图,并能通过交换机模拟视图确定端口的物理开启/关闭情况。
应能提供交换机端口的统计列表,统计内容包含交换机端口名、初始VLAN、当前VLAN以及端口的开启/关闭情况。
10
★资质要求
投标产品必须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。(提供资质证明)
产品厂家必须具备该产品的《计算机软件著作权登记证书》。(提供资质证明)
11
案例要求
提供1000点以上大规模部署案例的验收证明2个及以上,并提供书面证明。
12
★产品授权及服务
投标时提供原厂商针对本项目的授权函及至少三年质保与售后服务承诺函,本次安全产品涉及网络安全,中标产品厂商提供原厂技术支持人员进行标书要求的安全功能验证测试。
提供IP地址分配表,能够通过图示直观的查看各网段中未分配、开机、关机的数量和分布情况。
能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。
提供未关机终端自动统计功能,并能够按照部门、时间段等条件生成统计报表。
9
移动存储设备管理
管理员可以通过对存储介质统一注册、授权的方式来加强管理存储介质的使用范围和权限,并支持存储介质分区加密,未经标识的存储介质将不能在企业内正常使用。
并发认证性能不低于10000次/分钟。
准入设备应至少提供安全客户端(Agent)、安全控件、无客户端等多种可供自定义的部署、管理模式。
安全客户端模式部署时,客户端程序应支持功能自选功能,以优化客户端兼容性和系统资源耗用。
网络准入控制管理系统
网络准入控制管理系统
序号
指标
功能参数要求
1
硬件要求
★拥有自主知识产权,硬件设备无需配置服务器或第三方系统软件。
★服务器最大可支持的节点终端/许可点≥300/300。
★许可点可扩展:今后超过300个许可点后,每增加1许可点(服务器最大可支持的节点终端/许可点)报价≤50元/个。
硬件支持至少1U机架结构,千兆电口≥2个。
13
其他说明
打黑色星标符号为关键指标项,必须符合,不能出现负偏离,否则视为无效标
针对不同注册状态的存储介质制定不同的控制策略,能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制。
支持查询存储介质的类型、设备名称、设备插入时间、设备拔出时间、设备使用IP地址、类型代码、设备容量、厂家名称、产品名称、该存储介质使用人、操作系统用户名、备注信息。
支持使用存储介质的终端信息显示,包括:设备名称、IP地址信息、所在部门、所在位置、联系人、联系电话、E-Mail地址、设备状态(开机、关机)、最后在线时间等。
5
安全管理
★要求设备提供内置旁路模块,在设备发生异常的情况下,能够有效地保证网络链路的畅通。
可自定义软件检查条目,设置黑白名单,入网前和入网后的检查。
可自定义检查防病毒软件的安装运行情况。
检查计算机CPU、硬盘信息,防止硬件变更。
检查计算机是否使用了代理服务。
建立内网的安全域,针对单个设备或多个设备进行安全域的划分。
支持短信认证模式,用户在登记入网手机号码后,能够在手机上接收到入网的短信验证码,并在IE页面上利用短信验证码实现身份认证入网。
能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,提供临时入网码,支持来宾设备与受访人员进行一对一绑定功能,并可以生成对应的审计报表。
网络安全准入系统
网络安全准入系统网络安全准入系统1、引言1.1 目的1.2 范围1.3 定义和缩写词汇2、系统概述2.1 简述网络安全准入系统的功能和背景 2.2 系统结构2.3 系统模块介绍3、准入流程3.1 用户请求准入3.2 准入申请审核3.3 审核结果通知3.4 准入权限配置4、准入条件4.1 用户身份验证4.2 访问权限控制4.3 安全策略合规性检查5、安全控制5.1 安全访问控制5.2 数据传输加密5.3 登录认证措施5.4 会话管理5.5 安全审计6、异常处理6.1 安全事件检测与响应 6.2 安全事件报告6.3 应急演练与恢复7、审计和监督7.1 审计流程7.2 监督措施7.3 审计报告附件:附件1:用户准入申请表格附件2:安全策略合规性检查清单法律名词及注释:1、用户身份验证:通过用户提供的凭证(如用户名和密码)来确认用户身份的过程。
2、访问权限控制:根据用户的身份、角色和需求对不同资源进行控制和管理的措施。
3、安全策略合规性检查:对系统中的安全策略进行评估和检查,确保其符合适用法律法规和标准要求。
4、安全访问控制:通过身份认证和授权来限制用户对系统资源的访问。
5、数据传输加密:使用加密算法对数据进行加密,确保传输过程中数据的机密性和完整性。
6、登录认证措施:验证用户身份合法性的各种方式,如密码、证书、生物识别等。
7、会话管理:对用户在系统中的会话进行管理和控制,确保用户会话的安全性和有效性。
8、安全审计:对系统中的安全事件和操作进行监控和记录,以便日后审计和分析。
9、安全事件检测与响应:对系统中的异常行为和安全事件进行实时监测和快速响应。
10、应急演练与恢复:针对系统的安全事件或灾难进行演练和恢复措施的制定和执行。
11、审计报告:整理和总结系统安全审计结果的报告。
网络准入控制系统、局域网接入控制软件使用方法
网络准入控制系统、局域网接入控制软件使用方法大势至网络准入控制系统(百度自己搜索下载吧)是一款面向企事业单位的局域网网络安全防护系统,可以防止蹭网、禁止非单位电脑接入局域网、进行IP和MAC绑定、禁止局域网代理、防止网络嗅探等。
具体设置如下:安装步骤首先运行LANProtector.exe,安装主程序,直接点击下一步直至完成即可;然后运行winpcap.exe,安装抓包程序,同样直接下一步;如果有加密狗,则需要安装加密狗驱动(试用版无需安装)。
配置方法依次点击开始-程序-大势至网络准入控制系统,初次使用需要配置网段,点击软件左上角“配置网段”,如果您只有一个网段选择“配置单网段”,然后选择当前上网所用网卡,最后点击确定。
图:添加单网段如果您有多个网段,则您需要选择“配置多网段”,然后添加各个网段对应的IP 段即可。
如下图所示:添加多网段添加完毕之后,点击“确定”,然后点击“启动管理”即可,点击后面的”停止监控“即可实时停止控制。
(三)功能说明1、黑名单与白名单点击“启动管理”后,即可扫描到所有主机,同时扫描到的主机默认都在黑名单显示,您可以按住shift键全选,然后点击下面的“移至白名单”即可将所有主机移动到白名单,反之您也可以将单个或部分主机选中后点击“移至黑名单”即可移动到黑名单。
如下图所示:2、隔离选项可选择“禁止黑白名单互访”和“禁止黑名单访问外网”。
其中“禁止黑白名单互访”不仅可以阻止黑名单电脑访问白名单电脑,而且还可以阻止白名单电脑主动访问黑名单电脑,从而实现双向隔离;而“禁止黑名单电脑访问外网”是禁止黑名单电脑访问互联网。
3、隔离强度这里可以选择:高、中、弱等三个选项,分别代表软件的隔离强度。
4、IP变更时自动隔离勾选后,一旦白名单电脑修改IP地址,则自动会将其放入黑名单并自动隔离,以此实现禁止电脑修改IP地址的目的。
5、静态绑定IP和MAC勾选“静态绑定IP和MAC”并点击“管理”,弹出“IP和MAC静态绑定表”,如果点击“从白名单获取”,则系统自动获取当前白名单电脑的IP和MAC地址,也可点击“手工添加绑定”并自行输入要绑定的IP地址和MAC地址,最后点击“保存配置”即可。
网络准入控制使用说明
网络准入控制使用说明网络准入控制使用说明IP-guard的桌面管理系统可以详细地对计算机的操作行为进行详细的审计和严格的控制,但是仍然有一些用户通过重新格式化并安装操作系统,设置个人防火墙等等手段逃避行为监管。
而即使当管理员及时发现这种情况以后,重新再部署桌面管理客户端都是一件繁琐和恼人的工作。
IP-guard网络准入控制功能就是为了解决这一问题而诞生的。
IP-guard 网络准入控制系统是一套专业的硬件系统,能够对访问指定网络(如企业内网、服务器等)的计算机进行严格的合规性审核,只有合规的计算机才能连入访问,未合规的计算机可根据需要将其引导至隔离区进行修复,或者完全阻断其访问。
更可以与IP-guard 15大模块集成应用,避免内网PC脱离IP-guard管控。
有效的保证内网安全策略的执行,同时杜绝非法连入带来的外泄风险。
1网络架构IP-guard网络准入控制功能的工作模式有两种:网桥模式和路由模式。
企业内的网络常见的网络简易拓扑结构:IP-guard的网桥控制模式:使用网桥模式,可以对网络结构和配置不做任何修改,直接将准入设备串接进网络中需要进行控制的地方(多数是重要的应用服务器或者网关处),对通过其的网络通讯进行控制。
IP-guard的路由控制模式:对核心交换机启用策略路由,对跨网段的访问进行控制。
这种控制方式需要核心交换机支持策略路由。
2控制流程当计算机或其他网络终端设备接入网络时,设备端会询问其提供验证的信息。
当安装了客户端的计算机通过身份认证以后,就可以访问正常的网络。
而没有通过认证的计算机则会被放入到隔离区或完全阻断网络访问。
同时对于一些无法安装客户端的网络终端设备,例如网络打印机,系统可以通过配置白名单的方式允许这些网络设备接入网络。
对于一些外来的或者特殊权限的计算机,也可以通过设置白名单,或者开辟特殊用户的方式允许他们不安装客户端的情况下访问部分或者全部网络。
非法客户端准入控制器3部署3.1设备介绍IP-guard网络控制设备(以下称控制器),分为三个型号:IPG-1000:5个百兆网卡,无管理端口;RESET键用于恢复出厂设置;IPG-2000:3个千兆网卡,其中管理端口为EMP;IPG-3000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;IPG-4000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;说明对于有管理端口的控制器,管理端口的IP固定为190.190.190.190,初始配置使用管理端口;对于没有管理端口的控制器,出厂设置下任一端口的IP均为190.190.190.190,初始配置可使用任一端口;BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
网络准入控制系统功能简介
网络准入控制系统(ASM入网规范管理系统)特点概述ASM(Admission Standard Management入网规范管理系统),是盈高科技自主知识产权的集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM入网规范的功能特点主要有以下几点:1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
使用户从设备和人员两方面进行网络边界的划定。
2、广泛的网络适应ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。
采用先进的设备特征采集技术,能够自动识别多种设备,有效的对设备进行标示和固定。
自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。
3、安检策略丰富完善ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。
根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。
这就使用户能够快速进行安全规范应用。
4、安全定位灵活多样ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。
可以进一步向下细化定位,直至每台终端设备。
也可以通过终端设备向上检索,找到其连接的网络设备。
终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Hub管理
★
1.能够发现内网私接的Hub、傻瓜交换机等非网管设备,当多台计算机通过Hub接入网络时,能够及时产生告警通知管理员。
2.准入设备能够采用VLAN隔离、逻辑关闭端口等方式禁止Hub下联计算机接入网络。(提供产品界面截图证明,并加盖原厂商公章)
3.支持Syslog报警信息的定向输出。
系统管理
虚拟监控台
为了方便管理员从整体上把握网络安全态势,系统提供虚拟监控台功能。通过集中的仪表、数值显示快速进行安全态势的把握,主要包括:报警、安全风险等级、全网终端数、清理终端数、安检和规律、安检项状态分布。
移动端设备管理
移动端管理平台可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启。
自定义安全检查
通过检测终端文件路径、指定文件版本、大小、MD5,注册表的项、注册表值,进程,服务名称、服务状态,进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。可以灵活的全访问的对终端进行安全检查和修复。
桌管系统联动
能够在IE页面检查出主流的桌面管理系统(包括Landesk、北信源、威盾、盈高、圣博润等)客户端是否安装并正常运行,能够在IE页面显示出检查结果。
资源
管理
软件检查
1.终端安装软件
3.软件产品授权,支持进行windows、office、WPS的产品授权信息进行检查
报警信息
1.可以提供紧急、重要、次要、提示等多个级别自定义报警模式。
2.支持系统报警、网络报警、终端报警等类别,超过20种以上自定义报警类型。
2.能够提供移动终端入网的设备注册功能。
认证检查
1.苹果应用商店提供支持iOS的安全准入app下载安装;支持Android客户端自动生成,以及自动签名等功能。
2.可提供手机或智能终端强制VPN拨号认证管理。
3.支持基于Android系统对安全管家、金山手机卫士、NQ Mobile Security、瑞星手机安全软件等安全应用程序的状态安全检查。支持进行基于Android的安装软件、运行进程等的安全检查。
3.支持Hub下多个终端需分别认证才能入网和只需一台认证即可全部入网两种认证机制。
终端
管理
终端识别
支持当前主流智能终端设备的安全准入控制,能够自动识别主流手机、智能终端等设备,并自动进行分类。
移动终端入网
1.提供独立的智能终端入网引导界面的自主定制功能,至少包括界面标题、界面LOGO、界面说明文字等。
来宾管理
能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,提供临时入网码,支持来宾设备与受访人员进行一对一绑定功能,并可以生成对应的审计报表。
接入审核
能够针对不同的角色或设备类别有选择的开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。
终端安全加固
能够通过傻瓜式的漏洞修复模式为用户提供简单、形象的漏洞自我修复功能,完全不需要管理员的介入即可完成终端安全风险项修补。
网络准入管理系统
网络准入管理系统
指标项
功能描述
基本要求
系统要求
具有独立自主知识产权,须为标准机架式硬件产品,除自身硬件设备外,产品功能的实现无需额外增加服务器等设备。
性能要求
★
1U机架结构;单电源;标准配置6个1000MBASE-T接口;每秒事务数(TPS):≥800(次/秒),最大吞吐量:≥300Mbps,最大并发连接数:500(条);最大支持认证终端数220.(含违规外联监控模块、移动存储介质管理模块、远程桌面管理模块。)
4.实现相同子网不同VLAN的终端设备之间通讯的系统,提供自主知识产权证明资料复印件并加盖厂商公章。
5.准入设备可支持端口镜像准入技术,通过对交换机镜像数据的实时分析,能够及时发现并阻断非授权终端的接入。
设备私接管理
NAT设备
1.具有NAT识别和检测机制能够及时发现网内私接的小路由器、无线AP、随身WIFI等NAT设备,帮助清查通过网中网隐藏的真实网络终端。
产品授权及服务
★
提供原厂商针对本项目的授权函及至少三年的售后服务承诺函。
资质要求
★
1.公安部《计算机信息系统安全专用产品销售许可证--终端接入控制(一级)》
2.国家保密局《涉密信息系统产品检测证书(网络访问控制产品)》
3.国家版权局《计算机软件著作权登记证书》
认证
管理
短信认证
支持短信认证模式,用户在登记入网手机号码后,能够在手机上接收到入网的短信验证码,并在IE页面上利用短信验证码认证入网。
自助账号申请
支持用户在认证页面自行进行账号的申请。用户可自行提交用户名、密码、姓名、电话、部门、E-Mail等信息。管理员审核通过后,用户即可使用该账号进行认证。有效解决用户账号和密码创建和分
违规外联
违规外联
1.能够针对3G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测,不接受间歇性ping外网地址的探测方式。
2.能够针对违规外联终端进行即时断网,断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式,并能够实时通知管理员。
3.准入设备能够支持按照用户角色定义、限制员工的内网访问范围,防止其越权访问操作。
准入技术
★
1.准入设备须原生支持802.1x标准协议,无需第三方RADIUS服务器支持。
2.准入设备支持基于多厂商VirtualGateway的VLAN隔离技术,实现无客户端环境下端口级准入控制。(提供产品界面截图证明,并加盖原厂商公章)
3.准入设备支持基于策略路由技术的准入控制模式,入网设备在访问网内关键资源时,将被强制隔离、引导至认证管理页面,同时支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。(提供产品界面截图证明,并加盖原厂商公章)