VASTN终端准入控制方案一.pptVIP

完整的实名制接入控制，是全面ID网络管理的基础。 免客户端认证 Web界面强制认证，兼容任何终端类型（PC、笔记本、智能手机）和操作系统（要做主机健康检查，需加装终端插件）。 与AD域无缝整合 解决了终端网络准入和终端AD域登录的矛盾，使得终端的网络准入和AD域登录合二为一。 内置多因素、强认证 支持密码强度设定，弱口令字典编辑，动态密码卡、手机短信等多因素认证。 兼容现有网络，支持各种设备和方法的准入控制 支持现有各种网络设备（802.1x 交换机，可管理交换机，Hub，无线接入，VPN接入等）的接入控制。支持802.1x接入控制，DHCP接入控制。 不改变网络结构的准入控制 不需加装在线设备（如：网管设备），旁路部署，即可解决网络准入控制。 功能二、主机健康检查 符合企业网络管理规范的终端设备，才允许接入网络。 强制推送插件 终端首次接入网络时，强制下载主机健康检查插件。 入网扫描 终端接入办公内网前，立即扫描终端健康状况，检查规定软件是否安装到位，特征库是否及时更新。 安全隔离 对不合规终端放入隔离区，禁止与办公内网通讯，仅允许安装规定软件和版本升级。 软件兼容 兼容各类桌面、防病毒、补丁软件，具有定制功能。 功能三、实现内、外网隔离，防止“非法外联” 对内、外网的网络设备实现资源管理，保护网络边界，防止非法外联。 防止通过非法网络设备进行非法外联 实现内、外网设备资源管理。建立隔离区，防止非法网络设备（如：私带路由器联入互联网）接入网络，造成内、外网互通（如：用Hub联通内、外网）。。 强制终端软件安装，防止非法信息泄漏 对所有接入网络的终端强制安装终端软件。通过终端软件防止非法程序运行，移动介质非法使用。一经发现，禁止终端和使用者入网。 功能四、“安全域”划分和管理 根据ID，按人、按部门划分子网或VLAN，控制访问权限，限制危险扩散范围。 兼容802.1x和非802.1x网络，实现“安全域”划分 针对不同网络设备，可按人动态地实现子网的划分或VLAN的划分。 支持移动办公 当终端和人员变动办公位置后，依然可以被置于相同的安全域。 按人、按部门、按级别划分“安全域” 动态地按人、按部门、按级别分配IP，IP网段及VLAN。 功能五、精细到人和终端的网络管理 监控由DHCP分配的IP地址所在交换机端口位置，便于对网络应用进行追踪管理。 固定IP，中心下发，统一管理 对固定IP实行中心下发的管理方式，可以防止用户私改IP、私设IP。 动态IP，定位到人 在动态IP环境下，还随时定位到人。对每个人不同时候得到的IP进行审计。 定位人接入网络的位置 图形化显示交换机所有端口使用状况，如：有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户ID等。定位IP接入网络的交换机及端口。 功能六、来宾访客网 为访客提供不受物理位置限制、不影响内网安全的接入机制。 随时随地登录 外来访客或临时工作者不受物理位置的限制，可以从任意端口接入的来宾访客网。但其访问权限被严格控制。 内部员工准入 Web界面登录时，在认证界面选择“企业员工”，则进入主机健康检查和正常准入流程。 访客入网隔离 认证界面选择“访客”，则划入访客专网，同企业内网逻辑隔离。 访客网权限控制 安全设备根据访客网段IP地址设立单独的访问权限，如：只能访问Internet、只能收发邮件等。 功能七、私改IP地址的监控 监控IP地址使用状况，杜绝私改IP的行为，防止IP地址冲突。 自动收集终端信息 部署时自动收集网内IP-MAC地址等网络信息，无需人工添加。 IP地址使用监控 实时监测所有固定地址和动态分配地址使用状态。 及时阻断非法终端 发现私改IP行为立即予以阻断，不影响其他终端设备正常使用。 非法行为记录 记录非法操作用户ID、IP地址、MAC信息和时间，方便追查。 产品界面示例：办公网接入流程 1、用户发起DHCP申请 2、分配隔离网段IP 3、通过WEB触发认证页面 4、发送认证页面，进行认证 6、认证通过分配正常网段IP http 7、 正常访问网络资源 隔离IP http Accept 防火墙 Internet 交换机 　 正常IP DHCP 5、输入用户名及密码 产品界面示例：终端定位 以“人”为本，按ID管理网络 此端口下挂Hub，有多台终端接入网络 通过设备名称可以看到设备的位置 可以看到有多少台终端在这台交换机下 能看到交换机的端口号 能看到厂商的名称 产品界面示例：IP地址统一管理 以“人”为本，按ID管理网络 可以立即看到全网IP分布情况。 能看到IP的分配情况。 产品界面示例：IP地址实名查找 以“人”为本，按ID管理网络 即使在DHCP情况下，