ACK—实名制网络接入控制(NAC)解决方案

代表厂家： Symantec 厂家目的： 希望用户购置新的软件。 带来问题：


每台设备必须购置、安装客户端 要求改变网络结构，加装在线设备 对未装客户端的设备无法进行接入控制
Copyright©北京艾科网信科技有限公司
.
新的接入方案：实名制接入方案
实名接入方案

代表厂家：ACK 公司 厂家目的： 不卖交换机、不卖客户端软件，只卖接入设备 带来优点：
.
几种接入控制方法的比较
接入控制方法比较
接入设备及功能
VPN 无线AP 老旧交换机 802.1x交换机 细分内网安全域 安装客户端 根除网络堵塞
端口IP/MAC绑定
802.1x接入
实名制接入控制
× × ×
√
√ √
√ √ √ √ √
不需要
×
√
×
不需要
×
必须
信息及时通知
按人控制和审计
× × ×
× × × /√
交换机
Hub
服务器区
无线接入
办公2区
.
Copyright©北京艾科网信科技有限公司
统一网络接入设备的管理
2. 选择接入控制方法


端口IP/MAC 绑定法 802.1x 接入控制 实名制接入控制 桌面、终端软件 ≠ 接入控制 固定IP最好采取IP集中管理，中心配发


Copyright©北京艾科网信科技有限公司
解决方法
• 统一网络接入设备管 理
• 不明终端接入
• 网络时断时续 • 无法断定病毒源 • 私接Hub • 私改网址 ……
• 统一用户、终端管理
• 缺少实名访问控制 和授权管理
• 缺少实名审计
• 实名网址管理
• 实名日志审计
Copyright©北京艾科网信科技有限公司
.
目前网络接入的两种方案
1. 交换机厂家方案



代表厂家： Cisco，华为 厂家目的： 希望用户淘汰老旧设备，更新新的交换机。 带来问题：


不支持老旧设备 要求安装客户端（因为建立在802.1x基础上） 不同厂家的客户端和交换机兼容性不好
Copyright©北京艾科网信科技有限公司
.
目前网络接入的两种方案
2. PC软件厂家解决方案


老旧交换机、Hub和各厂家802.1x交换机都支持（不 更换设备） 不用安装客户端 不改变网络结构 DHCP情况下，还能查找IP的使用者，实现内网实名制
Copyright©北京艾科网信科技有限公司
.
统一网络接入设备的管理
1. 明确网络接入设备
ISP
交换机
交换机
管理中心
核心交 换机
办公1区

固定IP的探讨


固定IP ＝ 终端自设IP ？ 固定IP -> 不可中心下发 ？ 固定IP -> 不能按人下发 ？ 只有固定IP，才能按人管控 ？ 私改IP、误改IP -> 无法上网 终端自设IP -> 网络阻塞 维护成本高，浪费人力 无法支持移动办公

终端自设IP的问题


二级
（同左） 数据加密 非法外联 按用户控制资 源访问和分配 记录用户行为
三级
双因素认证 系统完整性。重要 信息可恢复。 非法接入。不同等 级边界控制。 对非法用户访问报 警 审计统计、报警。 防篡改、可再用 分级控制用户访问 一个平台，集中管 理 本地、异地备份和 恢复 认证信息加密
ACK实现效果
专线逻辑隔离
√ √ √ √
×
要求Baidu Nhomakorabea成本
√ √ √
×
网络纵深隔离
√
重复布线 新加网络设备
必须 必须
不需要 不必须
一人双机
实施周期 试用单位
必须
长 新建的、投资允许的
不必须
短 老旧建筑、资金有限
Copyright©北京艾科网信科技有限公司
.
满足等保要求
技术措施及要求
1. 身份鉴别 2. 完整性、保密性 3. 边界防护 4. 资源控制 5. 安全审计 6. 访问控制 7. 安全管理平台 8. 备份和恢复 9. 密码技术
人事，经理小杨

确定身份，区分部门，明确级别
Copyright©北京艾科网信科技有限公司 .
实名网址的管理
5. 按部门细分安全子网
财务网
内网
行政网 合作单位
销售部 研发部
Copyright©北京艾科网信科技有限公司
.
实名网址的管理
6. 通过隔离区，按人建立安全子网
李四
财务办公网
访客，小王
隔离区 进行认证
销售网
访客网
学生，小杨
Copyright©北京艾科网信科技有限公司
.
用户登录过程和信息及时通知
隔离区
老总办公网 内网
小李待办事件
来自
7：00 am 刘总 7：15 am 王总
lihongmei
内容
秘书，小李 小李：订11：00去广州机票
下班前请将报表交给我 … 提示：明日汽车尾号为 2,7禁行
…
*******
实现静态口令、动态口令双因素认 证 口令、日志加密。用户、策略、日志等 信息定期备份、校验及恢复。 无论终端是否装客户端，都可防止非法 接入和边界控制。 按用户控制服务器等资源访问。对非法 接入报警。 对终端及用户的入网和下网记录和审计 。存储网络的日志。 按部门、按级别控制用户及终端对不同 安全域及服务器的访问。 建立了统一的网络安全管控平台。实现 用户统一集中管理。 实现用户、策略等重要信息本地和异地 的备份和恢复。 通过HTTPS，EAP，CHAP等协议实现认证 信息（用户名，口令）加密。 .
Copyright©北京艾科网信科技有限公司
谢谢各位专家!
ACK Networks, Inc. Copyright© 北京艾科网信科技有限公司
Confidential
实名制接入控制方案
ACK Networks, Inc. Copyright© 北京艾科网信科技有限公司
Confidential
需求分析
网络安全 -> 要求接入控制 CTG-MBOSS -> 要求建立MPLS-VPN的 MSS, BSS, OSS安全域及子安全域 安全域的划分 -> 访问授权策略非常复 杂
Copyright©北京艾科网信科技有限公司
.
实名接入控制的优点



固定IP，集中管理，中心下发 内外网物理隔离后的防护 内外网逻辑隔离 接入双因素认证 即可按人，也可按终端控制接入 实名网络审计 彻底解决网络堵塞 信息及时通
Copyright©北京艾科网信科技有限公司
.
关于固定IP的探讨

要求可以按部门、按接入方式、按访问的安 全域、按访问源定义访问策略
Copyright©北京艾科网信科技有限公司
.
接入管理和控制
因缺乏对内部人员和厂家人员接入办公网络进行维护、操作的安全管控 措施，会引发了安全事件，需实施网络接入管控等技术手段。 事件列举
• 窃取保密文件
原因分析
• 缺少接入管理
• 缺少网络边界保护 • 缺少身份鉴别和认 证
√
√
√
.
Copyright©北京艾科网信科技有限公司
统一网络接入设备的管理
3. 建立网络保护区
ISP
交换机
交换机
管理中心
核心交 换机
办公1区
交换机
Hub
服务器区
无线接入
办公2区
.
Copyright©北京艾科网信科技有限公司
统一用户终端的管理
4. 按人、按终端进行接入管理
研发，小李
访客，小王
解职员工：小刘！
解决方法

采用实名中心IP配发
Copyright©北京艾科网信科技有限公司 .
内外网隔离后的防护
外网
内网
外网
外网
内网
内网
X


防止误接交换机，将内外网互联 防止内外网终端设备内外网错误接入
Copyright©北京艾科网信科技有限公司
X
.
两种内外网隔离方法比较
两种内外网隔离方法比较
物理隔离
实现的功能 防止信息外泄 防止内外网互访 防止病毒传播 电磁波隔离