安全产品介绍-网络准入系统.ppt

* * * * * * * * * * * * * 税务系统信息安全产品解读 信息安全产品解读 概要 (一) 防火墙 (二) 安全隔离与信息交换系统 (三)入侵检测系统 (四)入侵防御系统 (五)上网行为管理系统 (六)网络准入系统 (七)安全审计系统 (八)防病毒系统 (九)漏洞扫描系统 (十)基线配置核查系统 (十一)桌面管理系统 目录 1）网络准入技术（NAC）的发展背景 2）准入控制的意义 3）准入控制的需求 4）准入控制主要技术 5） NAC系统功能举例 技术发展背景 NAC，Network Access Control网络准入控制 NAC市场情况 赛迪顾问 根据赛迪顾问数据，截至2008年底，中国终端准入解决方案市场规模达到2.38亿元人民币，同比增长了31.49%，用户数量开始呈现规模化快速增长，到2008年底，中国终端准入解决方案的用户达到116万，较上年同期增长48.72%，市场盈利空间逐渐显现。随着市场发展的逐步成熟，2008年中国终端准入解决方案市场出现新的特点。  NAC市场情况 赛迪顾问 终端准入解决方案技术趋于成熟终端身份认证、终端权限管理、终端在线防御、终端在线审计、终端资产管理 终端准入解决方案应用行业逐步扩充金融、政府行业、石油石化、电力、钢铁、电信运营商、研究机构等等 市场竞争格局初步形成 H3C，思科、ACK、赛门铁克 准入控制的意义 准入控制能解决以下几个网络管理和网络安全非常关注的4个问题： 接入网络的用户（人）是谁？ 接入网络的终端是单位的么？在哪个位置接入？ 终端的操作系统？补丁情况？ 终端的安全情况？ 准入控制的需求 等级保护 2008年，等级保护标准的推出 GBT_22239-2008_信息安全技术_信息系统安全等级保护基本要求 GBT_22240-2008_信息安全技术_信息系统安全等级保护定级指南 各行业的信息安全建设规划 企业保护本身信息安全的需求 准入控制技术 准入控制技术总体功能 准入控制主要由认证、检查和接入控制三大功能组成。认证（鉴别）完成对用户的确认；检查主要是针对终端桌面的检查，保证接入网络的终端的健康性和合规性；接入控制则是终端能否接入到网络的控制技术。 认证技术常用RADIUS、LDAP、CA、数据库等多因素：动态密码、短信、USB-KEY、证书等等。 准入控制技术 准入控制技术总体功能（续） 检查技术：检查主要是针对终端桌面的检查，保证接入网络的终端的健康性和合规性，如：硬件特征提取、操作系统版本、操作系统补丁、软件白名单（按规定应该安装的软件如防病毒系统等）、软件黑名单（按规定不应该安装的软件如迅雷等）、是否登录AD域、是否存在双网络连接等等。 准入控制技术 准入控制技术总体功能（续） 接入控制技术：1、802.1x，最标准的接入控制技术。目前大多数准入控制技术都号称支持802.1x；2、网关控制技术，在网络或者子网的出口设置控制，认证和检查不合规的终端无法访问网关外的资源；3、DHCP技术，通过控制DHCP服务，非法用户、非法终端不会获取合法的IP地址来控制接入；4、私有协议技术：通过私有协议控制接入交换设备。 准入控制技术 接入控制技术简介 802.1x接入控制技术： 接入控制技术标准，通过在交换机上实现的802.1x协议与RADIUS服务器和802.1x客户端配合实现的接入控制技术； 按端口强制隔离，但是要求接入交换机支持802.1x 问题：交换机兼容、HUB、客户端等 产品：早期的思科NAC、H3C/EAD、大多数的软件准入控制系统，如赛门铁克、联软等 802.1x接入控制技术示意 必须安装客户端， 问题：1. 实施成本高；2. 老的Windows不支持；3. Linux系统不支持 下挂Hub后： 1. 同一端口，办公VLAN和隔离VLAN不能共存 2. 同一端口，一台终端认证后，其他终端都可入网 即使是3层交换机，无802.1x功能的交换机，无法实现接入控制 无法支持2层交换机和Hub 各厂家交换机兼容性差，华为客户端不支持Cisoc交换机 无线接入：1. 无法端口IP绑定 2. 非802.1x无线AP无法认证 不适用于新老设备混合部署的复杂网络环境 准入控制技术 接入控制技术简介 网关控制技术： 在线部署在网关处，控制用户终端通过网关的所有数据包。从而实现接入的控制。 不依赖于802.1x交换机，兼容老旧设备 问题：对内网的控制几乎没有，同时容易形成瓶颈； 产品：思科NAC（网关产品）、JUNIPER等 网关型接入控制示意 加入网关设备，只能控制由内网出外网的访问。不能控制内网的准入。 依然可以访问其他终端。 只要终端不出外网，依然可以接入内网。 接入终端不经网关，依然可以访