终端准入(NAC)
产品简介
网络准入控制模块(NAC)是新一代网络安全防御产品,它能够对接入内部网络的终端进行严格、高细粒度的管控,保证合法以及安全的终端入网,全过程进行严格管控、全方位的的操作审计,实现内网标准化管理,降低内网安全风险,能够从源头对用户以及终端进行管控,将病毒、蠕虫等各类攻击拒绝于网络之外,是一款真正有效的内网行为规范管理产品。
产品架构
产品功能
身份认证
NAC目前有portal认证和客户端认证两种入网模式。支持多样化的认证方式,多种方式混合使用。主要认证方式有用户名密码,审批入网,免认证入网,手机短信入网、动态令牌、实名认证以及第三方应用联动入网等14种。
终端软件管理
软件管理主要是针对通过身份认证的用户设备进行软件黑白名单检测,杀毒软件以及病毒库扫描以及进程黑白名单,注册表,服务等检查策略。保证安全合法的终端接入网络。目前NAC支持主流杀毒软件,如江民、360杀毒、McAfee、赛门铁克、趋势科技、瑞星、诺顿、卡巴斯基、金山毒霸等。
系统策略
提供终端标准化管理,可以根据企业内部管理需求制定整体管理策略,对终端系统环境运行情况进行统一管理,灵活的策略机制更提供针对部门以及个人进行差异管理,不仅为企业提供标准、统一的管理规范,更增强企业管理灵活度。
外设管理
提供对终端使用USB、非法外联以及红外,串口等其他外部设备的实时监控。及时禁止用户非法使用外设设备,有效的防止企业内部资源流失。
全面安全审计
提供丰富详细的日志审计以及报表审计,能对所有接入系统的终端用户入网情况审计,包括认证、入网、违规以及IP列表等详细信息。并提供审计报表,直观展示每日、每周、每月等入网安全情况报表,更能以图表的方式显示,直观易懂,方便审计人员进行审计。
容灾备份管理
为了避免单点故障,自主研发了一款逃生工具EscapeManage的软件。将EscapeManage安装完成后,服务器异常时,管理员可以手动操作进行配置交换机信息使交换机逃生,即所有关联服务器地址的策略路由配置都会被删除。同时提供双机热备份以及完整的备份与恢复机制,防止因设备故障等其他原因导致无法运行或者企业信息丢失,影响企业内部业务运行。
产品优势
多样化的认证方式
NAC支持Portal认证/客户端认证两种认证模式,内置十多种认证方式,并适用企业需求,支持实名认证,帮助企业从技术上保证识别到真实身份,兼容第三方认证服务器与认证平台,可以无缝联动现有认证机制进行网络身份认证,既节约企业建设成本,同时也促进了用户进行网络认证的速度。
主动发现,强制认证
NAC使得用户在接入网络,访问有效资源之前,自动发现接入设备,对其进行强制认证跳转,用户需要使用合法身份登入系统,否则不能通过网络访问任何资源。此功能在源头上对接入的终端进行认证和记录,既防止出现外来设备的随意接入,又能为后续管控提供记录。
细粒度的网络资源管控
NAC提供细粒度的访问控制,对接入网络的用户进行访问资源控制,限定可访问资源与不可访问资源,防止由于内部访问管理不规范造成的人员访问权限过大,泄露内部资料或造成内部网络安全隐患。针对日常访客,系统特别内置了访客系统,所有访客可以临时性的接入访客网络,与内网相互隔离,既保证了内网的安全性也体现了企业的人性化配置。
标准化的入网规范检查
NAC提供对终端入网前自身的状态和行为进行合规性检查,覆盖多达20多项的检测标准,能够应对各类审计标准以及终端安全要求,同时提供智能修复机制,强制调整终端自身安全标准,保证企业入网终端的安全,并根据国内外信息安全多种规章制度,内置了适应各种行业的合规模板,方便管理者快速制定本地化的检查策略。
高效灵活的部署方式
NAC提供了策略路由技术来实现网络准入。这种技术架构会依据匹配条件、访问控制列表来过滤不符合条件的路由信息。部署方式灵活高效,不改变网络环境,维护工作简易。
应用效果
NAC 对所有接入终端进行管控,当终端有入网请求时,NAC系统即可检测到,并进行管控。
有入网请求的用户必须通过身份认证可被允许入网。NAC提供两种入网模式,根据用户不同需求进行选择,未能通过身份认证的用户拒绝入网。
通过身份认证的用户需要根据不同策略要求对终端进行是否符合入网要求的安全检测,不符合要求的用户将进行隔离修复。
通过检测的用户将按照不同权限进行可访问区域的划分,以控制终端可访问资源,从源头进行控制,防止接入用户进行越权访问,造成内部信息泄露。
不同访问区的用户均受NAC后台策略管控,对用户终端进行全方位的规范管理,包括终端必备软件以及外设管理控制等。