ACK內(nèi)網(wǎng)規(guī)范管理解決方案實(shí)名制準(zhǔn)入控制硬件

《ACK內(nèi)網(wǎng)規(guī)范管理解決方案實(shí)名制準(zhǔn)入控制硬件》由會(huì)員分享，可在線閱讀，更多相關(guān)《ACK內(nèi)網(wǎng)規(guī)范管理解決方案實(shí)名制準(zhǔn)入控制硬件（38頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,單擊此處編輯母版標(biāo)題樣式,北京艾科網(wǎng)信科技有限公司,創(chuàng)新更安全,Secured by Innovation,概述,北京艾科網(wǎng)新科技有限公司（,ACK,）,ACK,公司基本介紹,ACK,創(chuàng)新歷程,內(nèi)網(wǎng)安全現(xiàn)狀,內(nèi)網(wǎng)混亂及及分析,內(nèi)網(wǎng)需要規(guī)范管理,內(nèi)網(wǎng)規(guī)范管理解決方案,方案的整體架構(gòu),ACK,創(chuàng)新產(chǎn)品系列,ACK,十大特色功能,產(chǎn)品資質(zhì),成功案例,ACK,公司基本介紹,2007,年成立，總部設(shè)在北京；,2011,年，首推內(nèi)網(wǎng)規(guī)范管理的

2、理念；,專業(yè)致力于研究、開(kāi)發(fā)、推廣網(wǎng)絡(luò)準(zhǔn)入技術(shù)和實(shí)名制,ID,網(wǎng)絡(luò)；,擁有全部自主知識(shí)產(chǎn)權(quán)，,4,項(xiàng)中國(guó)專利、,2,項(xiàng)美國(guó)專利；,2002,年，,ACK,創(chuàng)建者創(chuàng)辦,A10,，研發(fā)的產(chǎn)品獲得日本和美國(guó)的,InterOp,國(guó)際大獎(jiǎng)；,創(chuàng)始人員來(lái)自于,HP,、,Motorola,、,Juniper,、,Yahoo,、華為等高科技公司,擁有政府、電信運(yùn)營(yíng)商、電力、金融、大型企業(yè)等眾多案例；,ACK,創(chuàng)新歷程,ACK,首創(chuàng),“實(shí)名制,ID,網(wǎng)絡(luò)”概念,ACK,首創(chuàng)第一代,DHCP,準(zhǔn)入控制技術(shù),ACK,推出實(shí)名制,ID,網(wǎng)管平臺(tái)（,IDNac,）,ACK,推出實(shí)名制,ID,日志存儲(chǔ)設(shè)備（,IDLog,

3、）,ACK,首創(chuàng)“動(dòng)態(tài)安全域”技術(shù),ACK,推出實(shí)名制,ID,運(yùn)維設(shè)備（,IDGuard,）,ACK,首創(chuàng)“內(nèi)網(wǎng)規(guī)范管理”解決方案,ACK,推出實(shí)名制,ID,準(zhǔn),入網(wǎng)關(guān)（,IDWall,）,ACK,首創(chuàng)第二代,DHCP,準(zhǔn),入控制技術(shù),ACK,成立，專注創(chuàng)新、專注安全,2007,年,4,月,2007,年,4,月,2007,年,6,月,2007,年,10,月,2008,年,9,月,2008,年,11,月,2009,年,10,月,2010,年,9,月,2010,年,10,月,2011,年,3,月,內(nèi)網(wǎng)安全現(xiàn)狀,內(nèi)網(wǎng)混亂,安全威脅多,病毒、木馬層出不窮,內(nèi)網(wǎng),DDOS,攻擊,系統(tǒng)補(bǔ)丁不全,漏洞攻擊,

4、無(wú)線安全隱患,智能終端、移動(dòng)設(shè)備的安全問(wèn)題,員工繞過(guò)防火墻訪問(wèn),管理難題多,任何人和終端均可進(jìn)入網(wǎng)絡(luò)；,IP,使用失控，私改,IP,現(xiàn)象嚴(yán)重；,員工私自安裝軟件、開(kāi)啟危險(xiǎn)服務(wù)；,主機(jī)和設(shè)備維護(hù)缺乏必要監(jiān)管；,無(wú)法快速定位威脅的源頭；,沒(méi)有統(tǒng)一的安全策略；,內(nèi)網(wǎng)混亂的本質(zhì)原因,一切安全風(fēng)險(xiǎn)皆來(lái)自于人帶來(lái)的威脅,；,利用內(nèi)網(wǎng)先天安全性不足；,現(xiàn)有安全技術(shù)多為被動(dòng)防御技術(shù)；,管理手段較為單一；,法規(guī)遵從意識(shí)不足；,人的威脅,網(wǎng)絡(luò)層威脅,終端層,威脅,應(yīng)用層,威脅,物理層,威脅,內(nèi)網(wǎng)需要規(guī)范管理,內(nèi)網(wǎng)安全,先管人,ACK,內(nèi)網(wǎng)規(guī)范管理,解決方案,ACK,內(nèi)網(wǎng)規(guī)范管理架構(gòu),ACK,創(chuàng)新產(chǎn)品系列,ACK,

5、的十大特色功能,實(shí)名準(zhǔn)入控制,終端健康檢查,訪客管理,高可用性,全網(wǎng)日志儲(chǔ)存,IP,地址管理,網(wǎng)絡(luò)邊界監(jiān)護(hù),網(wǎng)絡(luò)威脅定位,網(wǎng)絡(luò)訪問(wèn)控制,網(wǎng)絡(luò)運(yùn)維管理,高風(fēng)險(xiǎn),較危險(xiǎn),危險(xiǎn)降低,更安全,簡(jiǎn)化管理,難于管理,-,更安全,-,更容易管理,-,網(wǎng)絡(luò)規(guī)范管理,終端規(guī)范管理,用戶規(guī)范管理,支持六種準(zhǔn)入控制技術(shù),(802.1x/EoU/DHCP/ARP/SNMP,準(zhǔn)入控制技術(shù)）,功能一、實(shí)名制準(zhǔn)入控制,小型分支機(jī)構(gòu),大型分支機(jī)構(gòu),IDNAC,IDWall,IDNAC HA-,備,IDNAC HA-,主,安全邊界,安全邊界,Internet,Firewall,VPN,專線,Trunk,Trunk,Cisco/

6、802.1x,H3C/802.1x,Dlink Sw,HUB,IDSensor,網(wǎng)絡(luò)規(guī)范管理,終端規(guī)范管理,用戶規(guī)范管理,支持六種準(zhǔn)入控制技術(shù),802.1X/EOU/DHCP/ARP/,網(wǎng)關(guān)準(zhǔn)入,/SNMP,免客戶端、免插件,LDAP/CA/Radius/AD,認(rèn)證,強(qiáng)大的用戶管理,內(nèi)置多因素認(rèn)證技術(shù),CA/,動(dòng)態(tài)密碼卡,/Ukey/,手機(jī)短信等,10,分鐘旁路部署，不改網(wǎng)絡(luò)結(jié)構(gòu),功能一、實(shí)名制準(zhǔn)入控制,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,功能二、終端健康檢查,終端認(rèn)證,設(shè)備分類識(shí)別,強(qiáng)制插件安裝,強(qiáng)制安全隔離,入網(wǎng)前檢查,入網(wǎng)后檢查,安全隔離,安全修復(fù),不合法不合規(guī),網(wǎng)絡(luò)規(guī)范管理,用戶

7、規(guī)范管理,終端規(guī)范管理,功能二、終端健康檢查,終端認(rèn)證,設(shè)備分類識(shí)別,強(qiáng)制插件安裝,強(qiáng)制安全隔離,終端合規(guī)性檢查,安全修復(fù)向?qū)?免插件軟件識(shí)別,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,功能二、終端健康檢查,終端認(rèn)證,設(shè)備分類識(shí)別,強(qiáng)制插件安裝,強(qiáng)制安全隔離,終端合規(guī)性檢查,安全修復(fù)向?qū)?免插件軟件識(shí)別,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,MAC1,:,192.168.1.1,MAC2,:,192.168.1.2,MAC3,:,192.168.1.3,IP,池,功能三、實(shí)名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造；,Computer1:,M

8、AC1,Computer2:,MAC2,Computer3:,MAC3,DHCP,服務(wù)器,192.168.1.1,192.168.1.2,192.168.1.3,User1,User2,User3,User1:192.168.1.1,User2,:,192.168.1.2,User3,:,192.168.1.3,普通,IP,池,Computer1:,MAC1,Computer2:,MAC2,Computer3:,MAC3,10.168.1.1,10.168.1.2,10.168.1.3,User1,User2,User3,ACK,MAC1,:10.168.1.1,MAC2,:,10.168.1

9、.2,MAC3,:,10.168.1.3,隔離,IP,池,用戶認(rèn)證,192.168.1.1,192.168.1.2,192.168.1.3,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能三、實(shí)名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造；,動(dòng)態(tài)劃分安全域,多元綁定,IPAM,監(jiān)測(cè),IP,地址使用統(tǒng)計(jì),非法,IP,阻塞,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能三、實(shí)名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造；,動(dòng)態(tài)劃分安全域,多元綁定,IPAM,監(jiān)測(cè),IP,地址使用統(tǒng)計(jì),非法,IP,阻塞,用戶

10、,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能四、訪客管理,訪客網(wǎng)與辦公網(wǎng)隔離,利用現(xiàn)有網(wǎng)絡(luò)，不改變網(wǎng)絡(luò)配置,訪客入網(wǎng)無(wú)物理限制,訪客入網(wǎng)需員工授權(quán),訪客權(quán)限控制,訪客入網(wǎng)審計(jì),用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能五、網(wǎng)絡(luò)威脅定位,定位到人和交換機(jī)端口,非法接入定位,異常終端定位,私接設(shè)備定位,交換機(jī)異?；ヂ?lián)定位,增強(qiáng)可視性,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能六、,網(wǎng)絡(luò)邊界監(jiān)控,分布式的邊界監(jiān)控,設(shè)備“網(wǎng)絡(luò)指紋”識(shí)別,內(nèi)外網(wǎng)互聯(lián)監(jiān)控,非法外聯(lián)監(jiān)控,假冒網(wǎng)絡(luò)設(shè)備,IDNAC HA-,備,IDNAC HA-,主,內(nèi)網(wǎng)邊界,內(nèi)網(wǎng)邊界,Firewall,Trunk,Trunk,

11、H3C,Dlink Sw,HUB,IDSensor,網(wǎng)絡(luò)設(shè)備,3G,網(wǎng)卡上網(wǎng),匯聚層,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能七、網(wǎng)絡(luò)訪問(wèn)控制,訪問(wèn)權(quán)限控制,控制入網(wǎng)位置,保護(hù)核心資源,遠(yuǎn)程終端準(zhǔn)入,安全聯(lián)動(dòng),數(shù)據(jù)庫(kù),ERP,OA,各類應(yīng)用資源,IDNac A100,IDWall,準(zhǔn)入成功,VPN/Firewall,訪問(wèn)控制,stop,準(zhǔn)入控制,準(zhǔn)入失敗,認(rèn)證成功,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能八、全網(wǎng)日志管理,高性能日志收集,日志海量存儲(chǔ),實(shí)名日志搜索和審計(jì),實(shí)名日志報(bào)表,滿足等保要求,IDLog L200/L210/L2000/L2100,用戶,規(guī)范管理,終端規(guī)范

12、管理,網(wǎng)絡(luò)規(guī)范管理,功能九、網(wǎng)絡(luò)運(yùn)維管理,設(shè)備維護(hù)單點(diǎn)登錄,維護(hù)權(quán)限集中管理,操作行為實(shí)名審計(jì),高安全性,IDGuard,功能十、高可用性,集中式熱備,分布式災(zāi)備,應(yīng)急逃生,分級(jí)分權(quán)管理,IDMonitor,ACK,產(chǎn)品資質(zhì),公司資質(zhì),產(chǎn)品資質(zhì),ACK,成功案例,案例匯總,電信。電力。金融。政府。企業(yè),某大企業(yè)全網(wǎng)部署,四級(jí)部署,某大企業(yè)案例分析,某大企業(yè)特點(diǎn)：,規(guī)范大：,中國(guó)三大企業(yè)之一。人數(shù)：,150,萬(wàn)，終端數(shù),100,萬(wàn)，收入,1,萬(wàn)億；,分級(jí)管理：,4,級(jí)管理（集團(tuán),省,地,縣）；,網(wǎng)絡(luò)復(fù)雜：,僅交換機(jī)品牌、型號(hào),200;,需要解決問(wèn)題：,邊界破損：,網(wǎng)絡(luò)邊界被破壞（私接終端、,Hu

13、b,、路由器、無(wú)線,AP,、,3G,網(wǎng)卡）；,終端脫韁：,不裝和卸載桌面軟件；,網(wǎng)絡(luò)混亂：,無(wú)人清楚內(nèi)網(wǎng)當(dāng)前有多少終端、有多少,IP,、有多少設(shè)備、有多少人在上網(wǎng)。,IP,地址管理混亂、交換機(jī)端口綁定混亂、管理手段落后（手工綁定錯(cuò)誤不斷、經(jīng)常造成安全事故）；,領(lǐng)導(dǎo)總結(jié)：,“安全不是用量來(lái)衡量的！非法設(shè)備，只要有一臺(tái)，就會(huì)危害全網(wǎng)；脫韁終端只要有一個(gè)，就可能,機(jī)密外泄,！”；,某大企業(yè)案例分析,解決方法：,規(guī)范管理：,采用,ACK,內(nèi)網(wǎng)規(guī)范管理解決方案，全網(wǎng)實(shí)施“,ID,網(wǎng)管平臺(tái)”；,分級(jí)管控：,上級(jí)單位定“大規(guī)定”，下級(jí)單位定“小政策”，各級(jí)單位只管“人員”；,加強(qiáng)可視性：,不出集團(tuán)，就可看到

14、鄉(xiāng)供電所的終端情況；,解決混亂：,徹底解決“網(wǎng)絡(luò)管理混亂”問(wèn)題；,試點(diǎn)效果：,發(fā)現(xiàn)多個(gè),“脫韁”,終端；,發(fā)現(xiàn)多個(gè),“非法”,設(shè)備；,實(shí)現(xiàn)了靜態(tài),IP,，中心下發(fā)；,實(shí)現(xiàn)了全網(wǎng)的“可視、可控、可查”；,某大部委：證書(shū),+,準(zhǔn)入,IDNAC,對(duì)內(nèi)網(wǎng)的實(shí)現(xiàn)準(zhǔn)入控制，核查吉大證書(shū)和檢查終端合規(guī)性。,IDWall,與,IDNAC,聯(lián)動(dòng)，核查用戶身份，根據(jù)終端訪問(wèn)目的，檢查認(rèn)證強(qiáng)度和權(quán)限。,IDWall,對(duì)關(guān)聯(lián)單位進(jìn)入部委網(wǎng)絡(luò)進(jìn)行用吉大證書(shū)認(rèn)證后進(jìn)行終端合規(guī)檢查。,只有通過(guò)吉大證書(shū)認(rèn)證和終端合規(guī)檢查，才能進(jìn)入上級(jí)部委內(nèi)部網(wǎng)絡(luò)。,IDWall,同時(shí)對(duì)外來(lái)終端的訪問(wèn)按單位、按部門、按人進(jìn)行不同的路徑限制。,

15、國(guó)家電力監(jiān)管委員會(huì),項(xiàng)目背景,：,國(guó)家電力監(jiān)管委員會(huì)（以下簡(jiǎn)稱電監(jiān)會(huì)）是電力行業(yè)的監(jiān)管者，根據(jù)國(guó)務(wù)院授權(quán)，行使行政執(zhí)法職能，統(tǒng)一履行行業(yè)監(jiān)管職責(zé)。根據(jù)國(guó)家信息系統(tǒng)等級(jí)保護(hù)的要求，需要進(jìn)一步完善電監(jiān)會(huì)的網(wǎng)絡(luò)安全建設(shè)，實(shí)現(xiàn)網(wǎng)絡(luò)層的接入控制。,部署后效果,：,達(dá)到等級(jí)保護(hù)要求：接入認(rèn)證、網(wǎng)絡(luò)終端管理、用戶管理和授權(quán)；,及時(shí)發(fā)現(xiàn)定位,ARP,病毒源；,非法接入終端的阻斷和報(bào)警；,不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，完全兼容原有網(wǎng)絡(luò)設(shè)備，極大保護(hù)了早期投資；,用戶自服務(wù)，每個(gè)用戶自己維護(hù)密碼；,用戶：“我們測(cè)試了多個(gè)品牌，,ACK,的產(chǎn)品對(duì)網(wǎng)絡(luò)的要求最低，兼容性最高，有推廣的價(jià)值！”,韶關(guān)發(fā)電廠,面臨的,威脅：,任何人

16、,、,任何終端,任意,接入辦公網(wǎng),，,內(nèi)部資源,沒(méi)有保障；,辦公網(wǎng),用戶私自篡改,IP/MAC,地址，試圖仿冒高級(jí)權(quán)限的用戶終端，繞過(guò)防火墻策略上網(wǎng)；,IP,沖突，管理員無(wú)法定位沖突源；,韶關(guān)發(fā)電廠鄒主任：“,ACK,的產(chǎn)品不錯(cuò)，不少困擾多年的安全問(wèn)題解決了！”,部署后效果,：,所有用戶認(rèn)證后才能入網(wǎng)，隔離非法用戶；,所有終端符合內(nèi)網(wǎng)規(guī)范才能入網(wǎng)；,阻斷,篡改,IP/MAC,地址的終端；,協(xié)助發(fā)現(xiàn)各種,ARP,攻擊和異常流量；,各種非法和不合規(guī)接入直接報(bào)警；,廣東移動(dòng)茂名分公司,項(xiàng)目背景,：,中國(guó)移動(dòng)的,BSS,是一個(gè)獨(dú)立封閉的網(wǎng)絡(luò)，網(wǎng)維部門有大量的外維人員，負(fù)責(zé)不同領(lǐng)域的維護(hù)，人員流動(dòng)性大，管理松散，存在較多網(wǎng)絡(luò)安全隱患，一旦出現(xiàn)安全事故，難以追究直接責(zé)任人；,部署后效果,：,全面兼容現(xiàn)有的,Cisco,、華為、傻瓜交換機(jī)；,外維人員接入網(wǎng)絡(luò)自動(dòng)獲取,IP,，自動(dòng)認(rèn)證，首次入網(wǎng)的外維人員進(jìn)入自助服務(wù)頁(yè)面注冊(cè)，管理員審批后生效；,外維人員自帶終端首次入網(wǎng)，自動(dòng)進(jìn)行終端注冊(cè)，自動(dòng)登記終端的硬件信息；,自動(dòng)授權(quán)，根據(jù)用戶,ID,分配相應(yīng)權(quán)限的,IP,；,監(jiān)控區(qū)的主機(jī)免身份認(rèn)證，自動(dòng)校驗(yàn)終端