基本介紹
- 中文名:網路準入系統
- 外文名:Network access system
- 功能和用處:提供來訪者網路接入管理
- 缺點:存在Bugs或安全漏洞
- 已知的認證源:已知的認證源
概述,產品特點,2.1無需安裝客戶端,2.2 即插即用,2.3基於網路行為主動發現主動管理,2.4支持網路設備硬體多,產品功能,3.1靈活的VLAN管理和基於角色的訪問控制,3.2來訪準入-使用你自己的設備,3.3更過內置檢測類型,3.4自動註冊,3.5註冊時間期限,3.6寬頻計算,3.7行動網路設備,3.8靈活的身份驗證,3.9接入路由器,3.10快速部署,3.11快速通道,3.12高可用性,3.13 支持的硬體,3.14基於業界多種標準,3.15輕鬆定製、擴展,案例,方案一:企事業單位旁路部署,方案二:政府及企業分級部署,方案三:企事業單位串聯部署,方案四:伺服器網路安全部署,
概述
針對目前區域網路管理所存在的問題,來訪者網路接入管理,員工BYOD,網路非法掃描,網路資源濫用。
準入系統的功能和用處:
更安全的檢測BYOD(Bring Your Own Device)設備。
提供來訪者網路接入管理。
根據不同的角色設定訪問控制許可權。
執行一致性檢查。
消除惡意軟體。
簡化網路管理。
準入系統可有效保護從小型到大型的網路。其中可套用環境:
銀行
大學、中國小
工程公司
會展中心
酒店
製造企業
……
系統構架圖
網路拓撲圖
產品特點
2.1無需安裝客戶端
傳統網路準入技術需要安裝客戶端,其有如下缺點:
實施困難
需要網路管理員幫助每一個用戶實施安裝,其實施困難比較大,另外存在用戶意外卸載客戶端或者ActiveX控制項的情況。2012年國內某大型石油化工企業就是由於安裝網路準入客戶端實施困難從而放棄客戶端或者ActiveX控制項準入控制方式轉而改用無客戶端準入控制方式。
存在Bugs或安全漏洞
客戶端可能存在Bugs或者安全漏洞,容易引起終端異常或被攻擊利用,導致安全隱患進而影響整個網路穩定性和安全性。
占用系統資源
客戶端控制項需要運行在終端系統上,會占用系統資源(CPU,記憶體,硬碟,網路頻寬等),從而導致系統變慢影響正常工作。
2.2 即插即用
2.3基於網路行為主動發現主動管理
NAM設備可監控網路內終端網路行為,並對某些特定的網路行為做到主控發現,主動隔離或限制。如對P2P下載,可以做到發現並隔離。
終端因P2P軟體下載被隔離後的通知頁面
2.4支持網路設備硬體多
支持國內常見的各種網路設備硬體。
產品功能
3.1靈活的VLAN管理和基於角色的訪問控制
通過劃分不同VLAN(VLAN技術細節,請參照第三部分技術介紹)來管理終端設備。基於準入控制行業內的長期經驗和幾次技術更新,NAM設備在過去的幾年中已經逐漸變的更為靈活和穩定。客戶本身的VLAN拓撲可以保留,只需要在客戶的網路中增加兩個新的VLAN:註冊VLAN和隔離VLAN。
另外,NAM設備可兼容很多設備供應商(參照第四部分支持網路設備)的產品。
VLAN的管理使用不同方式實現:
通過交換機(基於VLAN管理的默認方式)
通過客戶類別(基於角色管理的默認方式)
通過客戶端程式
其他…
並且,每個交換機可以與其他方法結合來管理使用VLAN。例如,通過NAM設備的默認設定,在適當分類後,基於客戶所連線的設備,可以給客戶的印表機分配一個VLAN。這意味著你可以很輕鬆的擁有按照設備類型創建的VLANs。
3.2來訪準入-使用你自己的設備
現在,大多數機構要處理不同類型公司的線上諮詢,因此他們的工作需要網路接入。大多數情況下,公司的內部網路很少給未經審核的個人或者設備提供網路接入。而且,他們也很少能夠得到公司內部環境的網路接入,這是為了避免管理負擔。
NAM設備支持一種特殊的VLAN管理來訪者。如果你使用訪客VLAN,你可以配置來訪者VLAN只能訪問網際網路或授權的網路資源,在註冊VLAN中提供向訪客介紹如何註冊以獲取網路接入。這通常是提供網路接入的管理員來定義的。
註冊訪客有幾種方式:
管理員提前授權來訪者賬戶信息
密碼
來訪者自註冊(需要或者不需要認證)
來訪者擔保(員工與來訪者關聯)
通過郵件激活的來訪者
通過行動電話激活的來訪者(簡訊)
NAM設備還整合了線上支付方案,比如支付寶。通過這種方式,你可以實現線上支付,獲取相關的網路接入。
3.3更過內置檢測類型
NAM設備獨有自動阻止網路上指定或者特定行為的設備,。除了套用入侵檢測、漏洞評估作為信息源,NAM設備能夠結合以下的檢測機制,以有效阻止那些不必要的設備的網路接入:
3.4自動註冊
因為現有的大多數網路已經非常龐大和複雜,NAM設備提供多種自動註冊客戶端或設備的方法。
3.5註冊時間期限
對設備網路接入時間範圍可以通過參數的配置加以控制。它可以是一個絕對的日期(如“2012年3月28日星期三”),一個範圍(如“從第一次網路接入的四個星期內”)或是當設備變為非活躍狀態30分鐘後失效。當準入失效時,註冊設備就變為未註冊設備。也可以設備類別為基礎來實現這一控制。準入期限也可以在每個節點上手動編輯。
3.6寬頻計算
NAM設備可以自動跟蹤網路上設備的頻寬占用總量。它能通過內置的隔離支持,保證或者改變那些在某一時間段內消耗頻寬較多的設備的準入級別。NAM設備能提供頻寬消耗數據報告。
3.7行動網路設備
行動網路設備是指在你的網路內移動的可以接入到交換機或無線接入點(AP)的網路設備。一旦配置合適,NAM設備將識別你的行動網路設備並配置相應的允許多種VLAN和多個的MAC地址接入口。在這一點上,行動網路設備可以通過或者不通過NAM設備實現網路接入。一旦該設備斷開與NAM設備的連線,它將會重新回到其初始配置。
3.8靈活的身份驗證
NAM設備可以使用多種協定/標準給您的用戶提供認證。這使得您可以在您的環境中集成NAM設備,而無需要求用戶記住另一個用戶名和密碼。已知的認證源:
微軟的Active Directory
Novell公司的eDirectory
OpenLDAP
思科的ACS
RADIUS (FreeRADIUS, Radiator, etc.)
本地用戶檔案
3.9接入路由器
NAM設備的架構允許通過路由器工作。伺服器可以放置在數據中心,但仍然可以有效地保護分支機構。
3.10快速部署
由於網路訪問控制的可侵入性,NAM設備在部署時,發展成為能夠很精細的控制每一個網路接口。不管NAM設備是否履行其職責,你可預先自動登記節點,但你也可以控制每一個交換機的每一個連線埠的水平。這使你能夠以你希望的速度在每一個交換機,每一個樓層,每一個位置進行部署。
3.11快速通道
NAM設備可配置節點訪問特定的資源,甚至是節點被隔離時。這使你可以提供用戶訪問特定的網路資源的通道,如系統補丁、強制安裝軟體或者工具。
3.12高可用性
高可用性始終是NAM設備的研發重點。
在我們所有部署中,無論是使用主動或者被動部署模式,都證明了NAM設備的高可用性。在我們的管理員手冊中,詳細記載了如何配置NAM設備以及如何使其高效穩定運轉。
3.13 支持的硬體
NAM設備支持多個網路供應商及其各種網路硬體。具體硬體支持請參照第四部分硬體支持。
3.14基於業界多種標準
NAM設備採用多種開放的標準,以避免廠商技術封鎖。我們的支持和使用的標準,主要有:
802.1X
簡單網路管理協定(SNMP)
標準的SNMP管理信息庫(MIB),如BRIDGE-MIB、Q-BRIDGE-MIB、IF-MIB、IEEE8021-PAE-MIB
RADIUS
NetFlow/ IPFIX
無線ISP漫遊(WISPR)
3.15輕鬆定製、擴展
在經過多次代碼重構,NAM產品提供豐富的易於理解的API和詳盡的二次開發樣例,在各個功能模組第三方廠家均可可快速的進行二次開發,極大的滿足了用戶各種不同需求。
案例
方案一:企事業單位旁路部署
部署方案:
1.採用旁路部署,VLAN隔離。
2.用戶區劃分為:員工VLAN、隔離VLAN、BYOD(Bring Your Owner Device)設備VLAN、來訪者VLAN。
3.用戶採用本地帳戶管理,來訪者採用郵件申請註冊。
4.服務區劃分為:外部服務區VLAN、內部服務區VLAN。
5.隔離區:P2P下載、即時聊天QQ軟體,終端未升級系統及指定軟體補丁。
6.BYOD區主要包含智慧型手機及平板電腦。
方案二:政府及企業分級部署
部署方案:
1.採用旁路部署,隔離方式VLAN。
2.邏輯層次分為中央(總部)、省級(分支)、市級(銷售點)。
3.上下級設備實時數據同步,執行統一安全策略。
4.用戶採用本地帳戶與域帳戶管理相結合,來訪者採用簡訊(SMS)註冊並管理員審核。
方案三:企事業單位串聯部署
部署方案:
1.採用串聯部署,網路層隔離。
2.用戶採用本地帳戶管理,來訪者採用簡訊及郵件申請並審核。
3.隔離區:終端未升級系統及指定軟體補丁。
方案四:伺服器網路安全部署
安全問題:
區域網路較混亂,終端型號及系統複雜,發生區域網路掃描及區域網路入侵伺服器等安全事件。
部署方案:
1.採用串聯部署,網路層隔離。
2.部署NAM設備從網路層保護服務區僅允許授權用戶訪問。
3.授權用戶採用本地帳戶、郵件賬戶管理,臨時用戶採用申請並審核。
4.訪問時間嚴格限制,避免非授權用戶接觸服務區。
