ACK—实名制网络接入控制(NAC)解决方案.ppt

实名制接入控制方案 需求分析 网络安全 - 要求接入控制 CTG-MBOSS - 要求建立MPLS-VPN的MSS, BSS, OSS安全域及子安全域 安全域的划分 - 访问授权策略非常复杂 要求可以按部门、按接入方式、按访问的安全域、按访问源定义访问策略 接入管理和控制 目前网络接入的两种方案 代表厂家： Cisco，华为 厂家目的： 希望用户淘汰老旧设备，更新新的交换机。 带来问题： 不支持老旧设备 要求安装客户端（因为建立在802.1x基础上） 不同厂家的客户端和交换机兼容性不好 目前网络接入的两种方案 代表厂家： Symantec 厂家目的： 希望用户购置新的软件。 带来问题： 每台设备必须购置、安装客户端 要求改变网络结构，加装在线设备 对未装客户端的设备无法进行接入控制 新的接入方案：实名制接入方案 代表厂家：ACK 公司 厂家目的： 不卖交换机、不卖客户端软件，只卖接入设备 带来优点： 老旧交换机、Hub和各厂家802.1x交换机都支持（不更换设备） 不用安装客户端 不改变网络结构 DHCP情况下，还能查找IP的使用者，实现内网实名制 统一网络接入设备的管理 1. 明确网络接入设备 统一网络接入设备的管理 端口IP/MAC 绑定法 802.1x 接入控制 实名制接入控制 桌面、终端软件 ≠ 接入控制 固定IP最好采取IP集中管理，中心配发 几种接入控制方法的比较 统一网络接入设备的管理 3. 建立网络保护区 统一用户终端的管理 确定身份，区分部门，明确级别 实名网址的管理 实名网址的管理 用户登录过程和信息及时通知 实名接入控制的优点 固定IP，集中管理，中心下发 内外网物理隔离后的防护 内外网逻辑隔离 接入双因素认证 即可按人，也可按终端控制接入 实名网络审计 彻底解决网络堵塞 信息及时通 关于固定IP的探讨 固定IP的探讨 固定IP ＝ 终端自设IP ？ 固定IP - 不可中心下发 ？ 固定IP - 不能按人下发 ？ 只有固定IP，才能按人管控 ？ 终端自设IP的问题 私改IP、误改IP - 无法上网 终端自设IP - 网络阻塞 维护成本高，浪费人力 无法支持移动办公 解决方法 采用实名中心IP配发 内外网隔离后的防护 防止误接交换机，将内外网互联 防止内外网终端设备内外网错误接入 两种内外网隔离方法比较 满足等保要求 . Copyright?北京艾科网信科技有限公司 ACK Networks, Inc. Copyright? 北京艾科网信科技有限公司 Confidential 因缺乏对内部人员和厂家人员接入办公网络进行维护、操作的安全管控措施，会引发了安全事件，需实施网络接入管控等技术手段。 原因分析 缺少接入管理 缺少网络边界保护 缺少身份鉴别和认 证 缺少实名访问控制和授权管理 缺少实名审计 解决方法 统一网络接入设备管理 统一用户、终端管理 实名网址管理 实名日志审计 事件列举 窃取保密文件 不明终端接入 网络时断时续 无法断定病毒源 私接Hub …… 私改网址 1. 交换机厂家方案 2. PC软件厂家解决方案 实名接入方案 2. 选择接入控制方法 √ ×/√ × 按人控制和审计 √ × × 信息及时通知 √ × × 根除网络堵塞 不需要 必须 不需要 安装客户端 × √ × √ √ 802.1x接入 × √ × × × 端口IP/MAC绑定 接入控制方法比较? √ 细分内网安全域 ? √ 802.1x交换机 ? √ 老旧交换机 ? √ 无线AP ? √ VPN ? 实名制接入控制 接入设备及功能 ? ? 4. 按人、按终端进行接入管理 研发，小李 访客，小王 解职员工：小刘！ 人事，经理小杨 5. 按部门细分安全子网 内网 财务网 行政网 合作单位 研发部 销售部 6. 通过隔离区，按人建立安全子网 李四 访客，小王 学生，小杨 隔离区 进行认证 销售网 访客网 财务办公网 lihongmei ******* 隔离区 秘书，小李 内网 老总办公网 … 下班前请将报表交给我 小李：订11：00去广州机票 内容 小李待办事件? ? 提示：明日汽车尾号为 2,7禁行 ? … ? 7：15 am 王总 ? 7：00 am 刘总 ? 来自 ? ? 外网 外网 外网 内网 内网 内网 X X 不必须 必须 一人双机 ? 不需要 必须 重复布线 ? 不必须 必须 新加网络设备 ? 要求及成本 ? √ × 网络纵深隔离 ? × √ 电磁波隔离 ? 老旧建筑、资金有限 新建的、投资允许的 试用单位 短 长 实施周期 √ √ √ 物理隔离 两种内外网隔离方法比较? √ 防止病毒传播 ? √ 防止内外网互访 ? √ 防止信息外泄 ? 实现的功能 ?