迪普自安全园区网解决方案

溯能力，真正实现了“网随人动，安全无忧”
让网络更简单、智能、安全
杭州迪普科技股份有限公司
Step1：iNAC实现无客户端认证
支持旁挂扩容方式，实现网络的安全接入，现 网“零改动”
Step2：管理平台实现策略联动
同步整网策略，提供内网行为溯源，用户侧 “零感知”
iNAC
iNAC
Step3：部署安全接入交换机
感知用户信息，联动安全策略，网络安全从 接入开始
Step4：部署深度安全策略
对深度威胁及高阶攻击严防死守，实现全面 网络安全
自安全网络整体构架
网管平台
DPX17000
防火墙 防火墙 入侵防御 WAF ……
数据中心
防火墙
入侵防御 负载均衡
防火墙
入侵防御 负载均衡
互联网
入侵防御 WAF ……
DPX19000/17000
DPX8000/DPX17000
iNAC iNAC
楼宇1
DPX8000/DPX17000
iNAC iNAC
通过管理平台将全网策略自动同步
全网溯源 安全可见
用户信息感知和全网回溯
管理平台
用户 账号 访问权限
一卡通系统 教学资源区 网上选课系统
接入点
教学楼7层A区
访问目的
教学资源区 一卡通系统 教务管理区
时间
07:58 14:37 19:03
异常行为
无 无 越权访问 是否阻断：是 否
小明
Xiaoming
横向白名单 纵向黑名单的流量管控模型
横向白名单：横向流量默认阻断、按需放通
纵向黑名单：纵向流量默认放通、按需阻断
重重防护 轻松部署
递进的安全策略实现安全按需部署
威胁策略 业务策略 行为策略
适用于所有接入用户，一 旦违反行为策略即冻结 只有具备权限的用户才能 访问特定的业务和资源 实现对深度威胁及高阶攻 击的有效防护
楼宇2
DPX8000/DPX17000
楼宇3
策感 略知 同用 步户 下信 发息
......
汇聚层
iNAC
iNAC
LSW安全接入交换机
AP
LSW安全接入交换机
AP
LSW安全接入交换机
AP
......
终端接入层
四个步骤完成自安全网络演进
互联网
防火墙
防病毒
行为审计 DDoS防护 其它安全设备
网管平台
策感 略知 同用 步户 下信 发息
应用安全及威胁感知
IPS / WAF / 抗DDoS
基于用户或用户组的策略 认证及行为检测
异常用户
异常用户
接入交换机可联动安全策略，御威胁于网络之外
统一管理平台
统一管理平台下发策略
简化网络管理、简化运维 楼宇3
楼宇1
楼宇2
策略动态下发，并实现从核心到
接入层的联动
接入层执行策略
安全网络从接入安全开始 接入层自动执行管理平台下发的策略，无 需在接入层设备上进行复杂的策略配置
传统内网防护手段无法解决新形势下的内网安全问题
无客户端 轻松接入
无客户端部署 无感知漫游
无客户端部署
适应所有终端及操作系统的灵活认证方式
智能终端通过Web认证
非智能终端通过IP/MAC认证
整网无感知漫游
用户可实现“一次认证，永久接入“
首次认证通过后
自动记录用户信息并同步至整网
黑白名单 纵横交控
迪普科技自安全园区网解决方案
内网安全问题越来越受到重视
非法访问
病毒扩散
内网
……
财务
人力
研发
市场
……
网络攻击
内网威胁具有易进入、传播快、危害大等特点
2017年爆发的WannaCry勒索病毒进入内网后即可通过445端口传播
在内网传播速度极快 对内网造成了极大破坏
传统内网防护手段面临的挑战
Internet
外网
防火墙 防病毒 行为审计 DDoS防护 Web防护 其它安全设备
内网安全状态不可见 没有针对内网行为的管理和回溯机制 基于IP部署安全策略 无法面向用户和业务部署，管理困难 无管控的共享网络 病毒及攻击横向传播无法控制
....Biblioteka Baidu.
核心层面
内网
.接入层面 .....
.终端层面 .....
基于终端软件的接入认证 体验差、兼容性差、维护不便
肉鸡检测
打印机防护
物联终端防护
ARP攻击防护
IP冲突检测
ACL
基于用户身份的整网策略随行
管理平台
策略同步
在办公区使用台式电脑
用户 基于用户 身份的策略 资源 业务
业务资源A 业务资源B 业务资源C
在休息区使用手机
在会议室使用笔记本电脑
以用户或用户组为Key值，面向用户/业务/资源进行细粒度安全策略控制 无需手动调整策略，降低网络复杂度，网络“极简”管理
用户价值回顾
无客户端接入 黑白名单流量模型
全网行为回溯
无需安装客户端 一次认证，永久接入
纵向放通，横向按需 减少横向互访威胁
自动感知用户信息 全时整网行为回溯
重重防护 轻松部署
递进的安全策略 立体化安全防护
接入交换机策略联动 网络安全从接入做起
策略整网跟随 无需手动调整
最佳实践-山东大学
迪普科技的自安全网络成功部署于山东大学，通 过无客户端认证解决了多样终端接入和移动办 公问题，通过内网行为策略和业务策略提升 了内网的安全管控能力，同时提供内网行为回
图书馆3层 实验楼11层
接入交换机智能感知用户状态，定位用户所处网络位置 针对异常行为、用户访问情况，管理平台自动生成日志，全面掌握用户内网行为
迪普科技“自安全“园区网部署方式
01001001 00100000 01100001 01101101 00100000 01011010 01100101 01110010 01101111 01100110 01101100 01100001 01100111 00101110