深圳联软NAC方案重点.pptVIP

Agenda 一、准入控制技术概述 二、802.1x准入控制技术介绍 三、Cisco NAC准入控制简介 四、DHCP准入控制技术简介 五、ARP干扰技术简介 六、UniAccess准入控制解决方案 DHCP准入控制 终端连接到网络时，DHCP服务器给终端分配一个临时的IP和路由，使得终端只能访问有限的资源 终端通过安全检查之后，重新获取一个IP，此时可以正常访问网络 不是真正意义上的准入控制 Microsoft的NAP最初采用此解决方案 NAP后来又支持802.1x, IPsec等 DHCP准入控制的优点和缺点 优点: 费用低，通过更换DHCP服务器软件即可实现 缺点 用户如果手工设置IP，可以绕开准入控制 终端如果感染ARP广播病毒，可以继续破坏网络 Agenda 一、准入控制技术概述 二、802.1x准入控制技术介绍 三、Cisco NAC准入控制简介 四、DHCP准入控制技术简介 五、ARP干扰技术简介 六、UniAccess准入控制解决方案 ARP干扰 通过ARP干扰实现准入控制 制造IP地址冲突 ARP spoofing ARP poisoning 技术实现简单，利用了ARP协议本身的一些缺陷 主要是一些国内厂商在采取该技术 ARP干扰的优势和劣势 优点: 技术简单，实现成本低 缺点: 在网络上产生ARP广播，可能会影响网络的正常运行 要求在每个网段部署一个干扰器 Agenda 一、准入控制技术概述 二、802.1x准入控制技术介绍 三、Cisco NAC准入控制简介 四、DHCP准入控制技术简介 五、ARP干扰技术简介 六、UniAccess准入控制解决方案 UniAccess安全接入管理产品 综合型桌面管理产品 集准入控制、安全管理、传统桌面管理功能于一体 以解决桌面安全管理问题为主，同时兼顾传统桌面管理需求 努力成为世界领先的终端安全管理产品 安全管理 传统桌面管理 网络准入控制 强制遵守组织安全策略 禁止非法用户随意接入 软件部署 资产发现 使用监控 远程维护 设备定位 防病毒管理 补丁管理 策略遵循 漏洞管理 安全加固 个人防火墙 UniAccess网络准入控制技术 支持基于802.1x协议的准入控制 支持多厂商网络设备 支持Cisco EoU认证准入控制 比802.1x更灵活，组网更方便 支持通过探测器(ARP干扰)实现准入控制和HTTP访问重定向 同时支持802.1x和NAC准入控制技术(一个Agent) 可以验证终端硬件ID防止非法电脑接入 同一个Agent 支持 Cisco 网络设备 支持 华为 网络设备 …… 全球第一家 UniAccess网络准入控制的认证内容 认证项目1：用户名和密码 防止外来人员私自安装Agent接入网络 认证项目2: 终端的安全设置 检查终端的防病毒、补丁、操作系统的各种安全设置等 认证项目3: 终端的ID: 硬件ID: MAC+主板+硬盘+CPU 终端重新安装OS后“硬件ID”不变 防止内部用户将外来终端接入网络 或者，防止内网机器接入到外网 Agent ID: 每次安装时随机生成 防止用户私自卸载Agent之后，再将Agent重新安装 认证项目4: 终端从哪个交换机端口接入 可以限定终端只能从指定的交换机端口接入 管理员可自定义:终端接入时需认证的项目！ VPN/拨号接入 Radius 内部网络 Active Directory LDAP 一个用户账户实现对网络访问 一个客户端支持所有访问方式 策略集中设置、部署、监视、统计 支持多台Radius保障接入服务可靠性 远程访问 Wireless LAN UniAccess网络准入控制部署示意图 用户认证 802.1x接入 HUB接入 远程分支机构 移动终端 台式机 打印机 桌面终端 分支机构 DB LeagView 后台服务器 准入策略 准入控制服务的高可用性 高可用性的意义 准入控制服务停止导致终端无法接入网络 准入控制相关的后台组件 网络设备(接入层交换机/路由器、汇聚层交换机/路由器) Radius 数据库：准入控制策略 LDAP/AD: 用户账户验证 UniAccess接入控制高可用性措施 Radius双机备份 策略缓存技术，DB发生故障不影响准入控制服务 用户账户缓存技术，LDAP服务器故障不影响准入控制服务 AAA down Policy与一键式撤防技术 终端接入网络的处理过程(1) 未安装Agent的终端(外来访客/内部终端) 802.1x方式接入: 自动设置到“访客VLAN” 任何HTTP访问，探测器强制弹出提醒页面: 如果是内部终端，提醒其安装Agent 如果是外来终端，提醒其联系管理员之后才能访问Intern