ForeScout网络准入解决方案.pdfVIP

上海璞纬信息技术有限公司 ForeScout NAC 解决方案 上海璞纬信息技术有限公司 021 第 1 页 共 22 页 上海璞纬信息技术有限公司 目 录 第 1 章 概述3 第 2 章 FORESCOUT 说明 4 2.1 FORESCOUT 公司简介 4 2.2 COUNTERACT 产品说明5 第 3 章 COUNTERACT 相关说明 7 3.1 可控管的端点设备 7 3.1.1 相关安全政策检测与整合 7 3.2 具体功能说明 8 3.2.1 检测与区分上线设备属性 8 3.2.2 线上设备属性查看 9 3.3.3 以SNMP 查询网络交换机的相关信息： 10 3.3.4 Windows 终端系统管理(AD整合) 11 3.2.3 公司用户终端系统状态检查扫描 12 3.3 检测方法与更新方式： 17 3.3.1 检测方式 17 3.4 阻挡方式18 3.4.1 SNMP-based VLAN control： 18 3.4.2 SNMP-based switch port control （阻断交换口）：18 3.4.3 Virtual Firewall： 18 3.4.4 802.1x： 18 3.4.5 Access Control Lists： 19 3.4.6 HTTP Hijack： 19 3.4.7 VPN Enforcement： 19 3.4.8 Endpoint Enforcement： 19 3.4.9 更新方式 19 3.5 分析报表： 20 3.6 通知（NOTIFY）功能20 第 4 章 COUNTERACT 部署方式： 21 第 5 章 COUNTERACT NAC 运作方式 21 第 6 章 COUNTERACT 产品特性 22 第 2 页 共 22 页 上海璞纬信息技术有限公司 第1章 概述 在当今信息迅速发展的今天，一般的大中型网络中一般都做好了常见的安全措施，均会部署 防火墙，VPN，IPS，上网行为管理等网络安全设备，其中防火墙可以检测数据包并试图阻止有问 题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN 则是在两个不安全 的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其 自身的规则密不可分的，而且面对黑客攻击以及瞬间发起的蠕虫攻击基本没有什么反抗能力。同 样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。最重要的是，当 一个比较完善的内部网络趋于平稳时，外来的接入不可避免的带来了各种风险，如没有授权的访 问，恶意的接触相关服务器，将携带病毒或蠕虫的机器直接运行在数据中心等，此刻，一种更具 主动性的网络安全模型必须引入—NAC 网络准入控制，借助它，客户可以只允许合法的，值得信任 的终端设备（例如PC，服务器，Smart Phone, PDA,网络打印机等）接入网络，而不允许其他网络 设备接入，在初始阶段，当端点设备进入网络时，NAC 能够帮助管理员进行自动发现，识辨，并实 施一定的访问权限，且所有的网络终端设备都必须通过安全检查（补丁管理，病毒库更新检查， 需要的应用程序等），然后将按照定制的策略实行相应的准入控制策略：允许，拒绝，隔离或者限 制，修复等，才能接入到网络当中来，如此，一旦出现什么攻击、病毒、蠕虫，你也可以在设备 接入前将其扼杀在摇篮里，进一步加强企业的网络系统的安全。 因此我们推荐ForeScout 的网络准入控制产品 CounterACT，该产品使用ForeScout 专利技术， 简单快捷的将解决方案应用到各个企业中来。 图 1 标准实例部署 第 3 页