LANDesk准入控制系统技术白皮书.docVIP

LANDesk准入控制系统 技术白皮书 蓝代斯克（北京）软件有限公司 2009年6月  目 录 1 LANDesk产品简介 1 2 产品架构 3 2.1 准入策略管理网络拓扑图（二级架构） 3 2.2 管理模式介绍 3 2.3 基于角色的管理 4 2.4 本地帐户管理 4 2.5 客户端部署方式 4 2.6 异构客户端支持 4 3 LANDesk准入管理系统解决方案 6 3.1 LANDesk网关准入解决方案 6 3.2 LANDesk 802.1x 解决方案 9 3.3 LANDesk IPSec 解决方案 13 3.4 LANDesk DHCP 解决方案 16 3.5 集成 Cisco NAC 解决方案 18 4 LANDesk准入管理系统功能介绍 23 4.1 安全性扫描客户端 23 4.2 补丁管理 24 4.3 配置警报 34 4.4 网络连接控制器 34 4.5 LANDesk更新 36 4.6 汇总核心服务器 37 5 LANDesk管理结构与支持环境 38 5.1 典型管理结构图 38 5.2 基本术语 38 5.3 LANDesk准入管理系统核心服务器安装条件及建议配置 39 5.4 客户端代理组件构成及说明 40 6 LANDesk准入系统其它功能 42 6.1 准入网关方案提供的功能 42 6.1.1 优化和分配带宽资源 42 6.1.2 控制与阻断 42 6.1.3 内网可靠可用性增强 43 6.1.4 防DOS攻击 43 6.1.5 防ARP欺骗 43 6.2 安全性扫描客户端其它功能 44 6.2.1 间谍软件查杀 44 6.2.2 防病毒更新 45 6.2.3 安全威胁分析器 46 6.2.4 自定义漏洞 48 6.2.5 应用阻隔器 49 7 LANDesk的管理目标 51 7.1 保证安全 51 7.2 实施控制 51 7.3 提高效率 51 7.4 减轻您的痛苦 51 附录：LANDesk LDAC网关部署模式及型号 53 LANDesk产品简介 虽然安全技术发展至今已经有了长足的进步，然而，病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是企业面临的主要问题。安全漏洞与日俱增，新的病毒不断充斥网络，原有的手工安装和分发升级文件包和补丁需要更多的人力资源，还会造成时间的迟滞，影响企业的运行效率，给企业带来损失。企业每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题，带来了巨大的经济影响。此外，未经授权的内部访问引发的盗取企业知识产权和客户数据的事件时有发生。随着企业网络外延的扩展，企业局域网开始对外部用户、合作伙伴、客户开放合适的权限需要耗费大量的财力和精力。由此，限制这些“非安全”，“非信任”的用户对局域网数据中心及其敏感数据的访问成为一个挑战。如何解决这些痛苦的管理问题？您需要一套高效和易于使用的准入控制解决方案。 传统的安全解决方案已经无法解决这些问题，大多数的网络安全解决方案仅仅是将内部系统和Internet隔离开来，在过去的几年中，整个IT安全领域对桌面准入系统寄予极高的期望。LANDesk作为桌面准入管理行业的领导厂商,开发和提供领先的桌面设备、服务器和移动设备准入管理的软件与服务。LANDesk准入管理管理系统作为一个完全集成的模块化系统，拥有准入扫描、补丁管理、安全套件等多个模块和插件。同时支持网关类型、802.1X类型、DHCP类型、IPSec VPN类型的准入控制形式。这套系统能实现企业IT设备全生命周期管理并且在企业信息资源管理系统发生意外损失时，能将损失减少到最低点，同时最大程度的提高IT的投资回报。 除了传统的准入控制方法外，LANDesk还独创性地提出“嵌入式网关 + 终端检测”的一体化解决方案，提供嵌入式的网络访问控制，结合客户端验证，确保只有授权且遵从策略的终端才能访问企业核心业务资源和数据中心。独特的阻止和隔离技术消除了对网络交换机和网络服务的依赖，简化了网络访问控制的部署， 准入网关利用与LANDesk安全扫描客户端联动，全面、准确和实时地获得企业网络上所有终端的关联状态信息，以及使用者的身份信息，。根据收集到的大量关联信息，对允许访问网络的终端进行细粒度授权。产品运行之后，LDAC立刻执行实时的终端状态发现和授权强制。在企业网络中任何未授权的终端都无法访问LDAC所保护的任何部分。 基于LANDesk策略服务器的策略引擎，IT管理人员可轻松地定义安全状态检查规则并下发至每台客户端执行检查，LANDesk安全扫描客户端将实时反馈终端的安全状态，并由LDAC执行阻断。LANDesk安全扫描客户端持续地监视终端状态，实时地发现企业网络上已授权终端的属性所发生的任何变化。一旦发现某台终端的特征发生了变化，LDAC