互普威盾终端准入管理系统产品白皮书.docVIP

互普威盾终端准入管理系统技术白皮书 山高人为峰,盛世我责任 北京市朝阳区金桐西路10号远洋光华国际大厦A座2002~2005室 邮编：100020 ~ PAGE 1 ~ HTTP://WWW.FORSUNTECH.COM 电话：010服务热线：400-6767-929 传真：010 互普威盾终端准入控制 技术白皮书 上海互普信息技术有限公司 TIME \@ yyyy年M月d日 2012年5月8日  目 录 TOC \o 1-3 \h \u 第一章 引言 2 1.1 项目背景 2 1.2 需求分析 3 第二章 产品简介 6 第三章 产品功能 9 5.1、全网实名准入 9 5.2、动态的“网络隔离” 9 5.3、IP集中管控、日志到人 10 5.4、员工/访客,区别对待 10 5.5、私改IP地址的监控 11 5.6、与第三方安全软件整合 11 第三章 产品特色 14 第四章 技术优势 15 4.1 互普威盾DHCP 准入控制的优势 15 4.2 互普威盾SNMP 准入控制的优势 15 4.3 互普威盾IPAM 准入控制的优势 16 4.4 互普威盾802.1x 准入控制的优势 16 4.5 兼容不同厂家、不同年代的网络接入设备 16 4.6 兼容不同的操作系统 17 4.7 利用IP 中心下发技术，建立网络隔离区 17 4.8 配合接入设备，防止私改IP 网址 17 第五章 典型应用 19 第六章 典型部署 22 6.1 小型网络普通二层交换机, 网段或VLAN数量较少 22 6.2 中型网络适用于可网管的交换机，且VLAN数量较多情况 23 6.3 大型网络跨地域、多分支、跨路由、VLAN数巨大 24 第七章 产品规格 25 第一章 引言 1.1 项目背景 随着信息技术快速发展，网络的规模越来越大，接入网络的计算机也越来越多，虽然大多数网络已经在互联网出口部署了防火墙、IPS等安全防护设施，但在内网接入层，依然采用开放式的网络结构，开放式网络犹如企业没有门卫一样，任何人都可以随意进出，不受任何检查和限制。可以想象开放式网络为恶意访问提供了入侵网络的便利条件，采用非常简单的攻击技术便可以进行网络攻击，轻则影响信息系统的正常运行，重则业务数据被窃取、篡改，引发信息安全事件。另一方面，不进行网络准入管理就不能准确掌握终端计算机的IP 等网络信息，不利于网络日常维护工作，并且一旦发生信息安全事件难于追踪审计。 针对开放式网络，如何在内部网络构建起一道安全屏障，积极主动诊断多种网络访问设备的健康性，采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权的以及有“问题”的计算机私自访问网络带来的安全隐患，这已经成为政府、金融、电信、企事业单位迫切需要解决的问题。 针对以上情况，国家相关权威机构也提出如下法令法规，明确对内网接入控制提出了相关要求。 1、《信息安全等级保护GB/T 22239-2008标准》 具备三级以上防护能力的网络对“边界完整性检查”要求： 1、应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效的阻断。 2、应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 2、《ISO27001信息安全管理体系》 ISO27001指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。 安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出接入网络的管理规范和设备要求规范。 3、《萨班斯SOX法案》 IT内控体系 萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面，其中404条款（内部控制的管理评估）明确要求对企业内部的控制规范要求。 按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面： 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。 1.2 需求分析 目前各企事业单位迫切需要解决的终端准入的需求： 难以监控外来计算机接入内网。办公楼层规模化的网络接口方便了员工接入网络，同时也方便了外来计算机接入网络，管理人员对此类情况难以判定并加以监视和控制。 IP地址使用存在一定混乱。如果没有严格的管理策略，员工随意设