終端準(zhǔn)入控制系統(tǒng)(NAC)
終端準(zhǔn)入控制系統(tǒng)是天擎終端安全管理系統(tǒng)中的一個(gè)子系統(tǒng),主要為企事業(yè)單位解決核心業(yè)務(wù)訪問(wèn)準(zhǔn)入、入網(wǎng)安全合規(guī)性要求�����,實(shí)現(xiàn)用戶(hù)和設(shè)備的網(wǎng)絡(luò)實(shí)名制認(rèn)證管理、網(wǎng)絡(luò)邊界接入安全防護(hù)�����、終端接入發(fā)現(xiàn)和定位��、接入的追溯和審計(jì)等管理問(wèn)題��,保護(hù)企業(yè)網(wǎng)絡(luò)資源不受非法設(shè)備接入所引起的各種威脅�����,在有效管理用戶(hù)和終端接入網(wǎng)絡(luò)行為的同時(shí)�����,也達(dá)到規(guī)范管理計(jì)算機(jī)終端的目的���。
【產(chǎn)品功能】
核心資源訪問(wèn)準(zhǔn)入控制
“注冊(cè)/認(rèn)證→入網(wǎng)”����、“安裝天擎→入網(wǎng)”��、“注冊(cè)/認(rèn)證→安裝天擎→入網(wǎng)”����,三種靈活方式滿(mǎn)足企業(yè)不同的入網(wǎng)需求。
網(wǎng)絡(luò)邊界端口級(jí)準(zhǔn)入控制
通過(guò)標(biāo)準(zhǔn)802.1x協(xié)議�,在網(wǎng)絡(luò)接入層做準(zhǔn)入認(rèn)證,根據(jù)認(rèn)證授權(quán)情況確定是否能訪問(wèn)網(wǎng)絡(luò)���,可聯(lián)動(dòng)入網(wǎng)合規(guī)性檢查����,根據(jù)檢查結(jié)果下發(fā)網(wǎng)絡(luò)訪問(wèn)權(quán)限����。802.1x認(rèn)證可提供端口級(jí)的強(qiáng)準(zhǔn)入認(rèn)證方案,并支持認(rèn)證授權(quán)��、安全檢查、隔離修復(fù)���、訪問(wèn)控制 “一站式”的全流程入網(wǎng)準(zhǔn)入管理����,使內(nèi)部終端接入管理變得安全����、可控、透明�����。
安全檢查項(xiàng)目
可檢查防火墻是否啟用����、系統(tǒng)空密碼、U盤(pán)是否開(kāi)自動(dòng)啟動(dòng)�、遠(yuǎn)程桌面是否開(kāi)啟、文件共享是否開(kāi)啟���、Guest賬號(hào)是否開(kāi)啟�����、IE代理是否開(kāi)啟��、IP獲取方式����、是否登錄域����、服務(wù)黑白名單、進(jìn)程黑白名單�、軟件黑白名單、殺毒軟件���、外聯(lián)訪問(wèn)能力����、 補(bǔ)丁及補(bǔ)丁完整性����、注冊(cè)表、注冊(cè)表關(guān)鍵值是否存在��、關(guān)鍵位置文件�����、指定路徑文件存在性、操作系統(tǒng)等��。
訪客注冊(cè)申請(qǐng)
支持訪客入網(wǎng)全流程管理����,支持訪客用戶(hù)注冊(cè)申請(qǐng)、訪客認(rèn)證��、用戶(hù)審批流程�����,經(jīng)管理員審批或系統(tǒng)自動(dòng)審批后才能認(rèn)證入網(wǎng)���,審批結(jié)果可郵件通知用戶(hù)�����。
第三方認(rèn)證源聯(lián)動(dòng)
提供多種認(rèn)證源認(rèn)證方式���,支持本地用戶(hù)、AD認(rèn)證、LDAP認(rèn)證��、E-mail認(rèn)證�����、HTTP認(rèn)證����、第三方Radius認(rèn)證�,適應(yīng)用戶(hù)不同網(wǎng)絡(luò)環(huán)境,滿(mǎn)足用戶(hù)集中管理統(tǒng)一認(rèn)證的入網(wǎng)需求�����。
安全管理與訪問(wèn)控制
利用動(dòng)態(tài)檢測(cè)技術(shù)和安全策略管理���,可針對(duì)接入用戶(hù)和終端進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制功能�。
認(rèn)證綁定管理
支持多種條件綁定認(rèn)證�����,即用戶(hù)���、終端�����、交換機(jī)�、VLAN、交換機(jī)端口�����、時(shí)間等進(jìn)行組合綁定認(rèn)證����,提高認(rèn)證入網(wǎng)的安全性。
動(dòng)態(tài)在線會(huì)話(huà)
支持認(rèn)證用戶(hù)在線狀態(tài)詳情查看��,讓管理員可以實(shí)時(shí)掌握用戶(hù)或終端接入網(wǎng)絡(luò)使用情況��,并支持用戶(hù)違規(guī)強(qiáng)制下線和鎖定功能�,確保具有安全隱患的接入用戶(hù)和終端對(duì)網(wǎng)絡(luò)不造成影響。
強(qiáng)制隔離
正常的802.1x認(rèn)證成功后��,如果認(rèn)證會(huì)話(huà)沒(méi)有過(guò)期網(wǎng)絡(luò)會(huì)持續(xù)可用����。產(chǎn)品專(zhuān)有的認(rèn)證客戶(hù)端可以實(shí)時(shí)接收認(rèn)證服務(wù)器的控制指令����,管理員可以在任何時(shí)候強(qiáng)制在線的用戶(hù)和終端下線����、注銷(xiāo)當(dāng)前登錄的網(wǎng)絡(luò),確保非正常情況下可對(duì)終端入網(wǎng)進(jìn)行控制和處理���。
例外設(shè)備管理
企業(yè)用戶(hù)網(wǎng)絡(luò)中存在大量的啞終端設(shè)備,如網(wǎng)絡(luò)打印機(jī)�����、視頻會(huì)議系統(tǒng)等設(shè)備���,并分散在各地��。 終端準(zhǔn)入控制系統(tǒng)提供設(shè)備的白名單管理��,添加到白名單的合法設(shè)備可以直接接入網(wǎng)絡(luò)�����,反之非法設(shè)備不允許接入���,此方式可適應(yīng)于多種認(rèn)證技術(shù)方式���,如Portal和802.1x認(rèn)證方式。
用戶(hù)管理
除具有和多種第三方認(rèn)證源聯(lián)動(dòng)認(rèn)證外�����,還具有本地用戶(hù)管理庫(kù)系統(tǒng)���,支持賬號(hào)的有效期管理����、可在線用戶(hù)數(shù)量限制��、用戶(hù)認(rèn)證后VLAN的動(dòng)態(tài)切換�、用戶(hù)自注冊(cè)和審批流程、密碼重置等管理功能���,并支持LDAP/AD服務(wù)器的組織架構(gòu)和用戶(hù)的導(dǎo)入和更新�、用戶(hù)和組織映射關(guān)系導(dǎo)入等��。
主機(jī)身份識(shí)別
支持主機(jī)快速認(rèn)證方式�����,提供開(kāi)機(jī)即入網(wǎng),認(rèn)證過(guò)程后臺(tái)執(zhí)行�����,不影響用戶(hù)日常習(xí)慣��。其主機(jī)身份主要根據(jù)終端的MID標(biāo)識(shí)符作為產(chǎn)生主機(jī)身份算法的因子����,安全強(qiáng)度大于傳統(tǒng)的MAC方式認(rèn)證,可避免用戶(hù)更改MAC地址來(lái)偽造其他主機(jī)身份繞過(guò)準(zhǔn)入控制的缺陷���。
接入和安檢日志報(bào)表
支持詳盡的接入認(rèn)證和安全檢查日志報(bào)表功能,可提供接入認(rèn)證日志和報(bào)表����、安檢日志和報(bào)表、安全檢查統(tǒng)計(jì)分析等多維度信息數(shù)據(jù)的查詢(xún)審計(jì)���,并可形成報(bào)表查詢(xún)和導(dǎo)出����,管理員一目了然,管理員可通過(guò)數(shù)據(jù)全方位的追溯和分析終端接入和安全狀態(tài)�����。
【產(chǎn)品亮點(diǎn)】
“一站式”管理
終端準(zhǔn)入控制系統(tǒng)具備從終端發(fā)現(xiàn)����、認(rèn)證授權(quán)、安全檢查���、隔離修復(fù)����、訪問(wèn)控制���、安全評(píng)估等一站式安全準(zhǔn)入控制功能���,還可以和天擎終端安全管理系統(tǒng)其他子系統(tǒng)聯(lián)動(dòng),如殺毒管理�����、桌面運(yùn)維管理��、安全審計(jì)、安全基線等子系統(tǒng)�����,組成完整的內(nèi)網(wǎng)安全管理整體解決方案���,避免用戶(hù)二次投資�,節(jié)約用戶(hù)的信息安全管理和投入成本�。
多種入網(wǎng)認(rèn)證憑證
支持用戶(hù)名密碼、主機(jī)MID�����、MAC�、快速認(rèn)證應(yīng)用準(zhǔn)入等多種憑證認(rèn)證方式,支持多條件綁定認(rèn)證入網(wǎng)��,兼容與AD���、LDAP等集成認(rèn)證, 設(shè)備預(yù)留開(kāi)放接口可和其他具有接口的第三方廠商設(shè)備,如防火墻����、Radius等服務(wù)器設(shè)備聯(lián)動(dòng)�����。
入網(wǎng)檢查修復(fù)一條龍
支持30余項(xiàng)安全檢查和修復(fù)行為���,隔離不安全入網(wǎng)終端,進(jìn)行引導(dǎo)式修復(fù)��,修復(fù)成功以后才能入網(wǎng)�,時(shí)刻保障客戶(hù)的入網(wǎng)安全基準(zhǔn)線,并提供不斷更新的安全檢查引擎和規(guī)則庫(kù)升級(jí)���,具有較好的可擴(kuò)展增值性����。
網(wǎng)絡(luò)環(huán)境適應(yīng)性強(qiáng)
不升級(jí)改變網(wǎng)絡(luò)��,不造成單點(diǎn)故障����,不影響網(wǎng)絡(luò)性能,支持企業(yè)內(nèi)部準(zhǔn)入控制需求�,使內(nèi)部網(wǎng)絡(luò)管理變得安全、透明����、可控�。產(chǎn)品采用旁路部署方式��,不造成單點(diǎn)故障����,支持單服務(wù)器多物理網(wǎng)絡(luò)認(rèn)證技術(shù),支持有無(wú)客戶(hù)端的認(rèn)證��,支持有線和無(wú)線的認(rèn)證���,兼容國(guó)內(nèi)外大多數(shù)常用交換機(jī)���,支持多種入網(wǎng)認(rèn)證技術(shù),兼容多種第三方認(rèn)證源認(rèn)證��,內(nèi)置Radius認(rèn)證引擎����、安全檢查引擎�、設(shè)備發(fā)現(xiàn)引擎,支持集中和分布式部署方式�����。
支持多種容災(zāi)方式
提供多個(gè)高速千兆端口、雙冗余電源�,支持光口擴(kuò)展、NMC擴(kuò)展���,支持雙機(jī)熱備�、一鍵交換機(jī)恢復(fù)����、軟Bypass、域認(rèn)證緩沖����、第三方認(rèn)證源異常自動(dòng)放行等多種逃生方式,確保準(zhǔn)入系統(tǒng)或用戶(hù)環(huán)境在各階段�、各環(huán)節(jié)有可能出現(xiàn)問(wèn)題的地方都有逃生響應(yīng)方案,確保非正常情況下不影響用戶(hù)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正常運(yùn)行����,可靠性高。
細(xì)?�;脑L問(wèn)控制
系統(tǒng)支持強(qiáng)大的訪問(wèn)控制功能,可基于下發(fā)動(dòng)態(tài)VLAN��、主機(jī)ACL���、Ghost VLAN���、自身策略化訪問(wèn)控制等多種訪問(wèn)控制機(jī)制實(shí)現(xiàn)用戶(hù)和終端的接入認(rèn)證訪問(wèn)權(quán)限管理,主機(jī)ACL可精細(xì)到通訊協(xié)議���、IP地址��、端口通訊����、黑白名單等更加細(xì)化訪問(wèn)控制能力����。
【使用場(chǎng)景】
