ACK內(nèi)網(wǎng)規(guī)范管理解決方案實(shí)名制準(zhǔn)入控制硬件
Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,單擊此處編輯母版標(biāo)題樣式,北京艾科網(wǎng)信科技有限公司,創(chuàng)新更安全,Secured by Innovation,概述,北京艾科網(wǎng)新科技有限公司(,ACK,),ACK,公司基本介紹,ACK,創(chuàng)新歷程,內(nèi)網(wǎng)安全現(xiàn)狀,內(nèi)網(wǎng)混亂及及分析,內(nèi)網(wǎng)需要規(guī)范管理,內(nèi)網(wǎng)規(guī)范管理解決方案,方案的整體架構(gòu),ACK,創(chuàng)新產(chǎn)品系列,ACK,十大特色功能,產(chǎn)品資質(zhì),成功案例,ACK,公司基本介紹,2007,年成立�����,總部設(shè)在北京�;,2011,年,首推內(nèi)網(wǎng)規(guī)范管理的理念�����;,專業(yè)致力于研究�����、開發(fā)、推廣網(wǎng)絡(luò)準(zhǔn)入技術(shù)和實(shí)名制,ID,網(wǎng)絡(luò)����;,擁有全部自主知識(shí)產(chǎn)權(quán),,4,項(xiàng)中國(guó)專利�、,2,項(xiàng)美國(guó)專利;,2002,年�����,,ACK,創(chuàng)建者創(chuàng)辦,A10,��,研發(fā)的產(chǎn)品獲得日本和美國(guó)的,InterOp,國(guó)際大獎(jiǎng)���;,創(chuàng)始人員來自于,HP,��、,Motorola,��、,Juniper,�、,Yahoo,���、華為等高科技公司,擁有政府�����、電信運(yùn)營(yíng)商�����、電力���、金融、大型企業(yè)等眾多案例�����;,ACK,創(chuàng)新歷程,ACK,首創(chuàng),“實(shí)名制,ID,網(wǎng)絡(luò)”概念,ACK,首創(chuàng)第一代,DHCP,準(zhǔn)入控制技術(shù),ACK,推出實(shí)名制,ID,網(wǎng)管平臺(tái)(,IDNac,),ACK,推出實(shí)名制,ID,日志存儲(chǔ)設(shè)備(,IDLog,),ACK,首創(chuàng)“動(dòng)態(tài)安全域”技術(shù),ACK,推出實(shí)名制,ID,運(yùn)維設(shè)備(,IDGuard,),ACK,首創(chuàng)“內(nèi)網(wǎng)規(guī)范管理”解決方案,ACK,推出實(shí)名制,ID,準(zhǔn),入網(wǎng)關(guān)(,IDWall,),ACK,首創(chuàng)第二代,DHCP,準(zhǔn),入控制技術(shù),ACK,成立���,專注創(chuàng)新����、專注安全,2007,年,4,月,2007,年,4,月,2007,年,6,月,2007,年,10,月,2008,年,9,月,2008,年,11,月,2009,年,10,月,2010,年,9,月,2010,年,10,月,2011,年,3,月,內(nèi)網(wǎng)安全現(xiàn)狀,內(nèi)網(wǎng)混亂,安全威脅多,病毒���、木馬層出不窮,內(nèi)網(wǎng),DDOS,攻擊,系統(tǒng)補(bǔ)丁不全,漏洞攻擊,無線安全隱患,智能終端��、移動(dòng)設(shè)備的安全問題,員工繞過防火墻訪問,管理難題多,任何人和終端均可進(jìn)入網(wǎng)絡(luò)����;,IP,使用失控,私改,IP,現(xiàn)象嚴(yán)重��;,員工私自安裝軟件��、開啟危險(xiǎn)服務(wù)�����;,主機(jī)和設(shè)備維護(hù)缺乏必要監(jiān)管�;,無法快速定位威脅的源頭;,沒有統(tǒng)一的安全策略�;,內(nèi)網(wǎng)混亂的本質(zhì)原因,一切安全風(fēng)險(xiǎn)皆來自于人帶來的威脅,;,利用內(nèi)網(wǎng)先天安全性不足����;,現(xiàn)有安全技術(shù)多為被動(dòng)防御技術(shù);,管理手段較為單一���;,法規(guī)遵從意識(shí)不足���;,人的威脅,網(wǎng)絡(luò)層威脅,終端層,威脅,應(yīng)用層,威脅,物理層,威脅,內(nèi)網(wǎng)需要規(guī)范管理,內(nèi)網(wǎng)安全,先管人,ACK,內(nèi)網(wǎng)規(guī)范管理,解決方案,ACK,內(nèi)網(wǎng)規(guī)范管理架構(gòu),ACK,創(chuàng)新產(chǎn)品系列,ACK,的十大特色功能,實(shí)名準(zhǔn)入控制,終端健康檢查,訪客管理,高可用性,全網(wǎng)日志儲(chǔ)存,IP,地址管理,網(wǎng)絡(luò)邊界監(jiān)護(hù),網(wǎng)絡(luò)威脅定位,網(wǎng)絡(luò)訪問控制,網(wǎng)絡(luò)運(yùn)維管理,高風(fēng)險(xiǎn),較危險(xiǎn),危險(xiǎn)降低,更安全,簡(jiǎn)化管理,難于管理,-,更安全,-,更容易管理,-,網(wǎng)絡(luò)規(guī)范管理,終端規(guī)范管理,用戶規(guī)范管理,支持六種準(zhǔn)入控制技術(shù),(802.1x/EoU/DHCP/ARP/SNMP,準(zhǔn)入控制技術(shù)),功能一、實(shí)名制準(zhǔn)入控制,小型分支機(jī)構(gòu),大型分支機(jī)構(gòu),IDNAC,IDWall,IDNAC HA-,備,IDNAC HA-,主,安全邊界,安全邊界,Internet,Firewall,VPN,專線,Trunk,Trunk,Cisco/802.1x,H3C/802.1x,Dlink Sw,HUB,IDSensor,網(wǎng)絡(luò)規(guī)范管理,終端規(guī)范管理,用戶規(guī)范管理,支持六種準(zhǔn)入控制技術(shù),802.1X/EOU/DHCP/ARP/,網(wǎng)關(guān)準(zhǔn)入,/SNMP,免客戶端�、免插件,LDAP/CA/Radius/AD,認(rèn)證,強(qiáng)大的用戶管理,內(nèi)置多因素認(rèn)證技術(shù),CA/,動(dòng)態(tài)密碼卡,/Ukey/,手機(jī)短信等,10,分鐘旁路部署,不改網(wǎng)絡(luò)結(jié)構(gòu),功能一、實(shí)名制準(zhǔn)入控制,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,功能二�����、終端健康檢查,終端認(rèn)證,設(shè)備分類識(shí)別,強(qiáng)制插件安裝,強(qiáng)制安全隔離,入網(wǎng)前檢查,入網(wǎng)后檢查,安全隔離,安全修復(fù),不合法不合規(guī),網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,功能二���、終端健康檢查,終端認(rèn)證,設(shè)備分類識(shí)別,強(qiáng)制插件安裝,強(qiáng)制安全隔離,終端合規(guī)性檢查,安全修復(fù)向?qū)?免插件軟件識(shí)別,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,功能二�����、終端健康檢查,終端認(rèn)證,設(shè)備分類識(shí)別,強(qiáng)制插件安裝,強(qiáng)制安全隔離,終端合規(guī)性檢查,安全修復(fù)向?qū)?免插件軟件識(shí)別,網(wǎng)絡(luò)規(guī)范管理,用戶規(guī)范管理,終端規(guī)范管理,MAC1,:,192.168.1.1,MAC2,:,192.168.1.2,MAC3,:,192.168.1.3,IP,池,功能三、實(shí)名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造�;,Computer1:,MAC1,Computer2:,MAC2,Computer3:,MAC3,DHCP,服務(wù)器,192.168.1.1,192.168.1.2,192.168.1.3,User1,User2,User3,User1:192.168.1.1,User2,:,192.168.1.2,User3,:,192.168.1.3,普通,IP,池,Computer1:,MAC1,Computer2:,MAC2,Computer3:,MAC3,10.168.1.1,10.168.1.2,10.168.1.3,User1,User2,User3,ACK,MAC1,:10.168.1.1,MAC2,:,10.168.1.2,MAC3,:,10.168.1.3,隔離,IP,池,用戶認(rèn)證,192.168.1.1,192.168.1.2,192.168.1.3,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能三、實(shí)名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造�;,動(dòng)態(tài)劃分安全域,多元綁定,IPAM,監(jiān)測(cè),IP,地址使用統(tǒng)計(jì),非法,IP,阻塞,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能三、實(shí)名制,IP,管理,基于,ID,統(tǒng)一分配,IP,地址,傳統(tǒng)基于,MAC,分配,IP,可以偽造�;,動(dòng)態(tài)劃分安全域,多元綁定,IPAM,監(jiān)測(cè),IP,地址使用統(tǒng)計(jì),非法,IP,阻塞,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能四、訪客管理,訪客網(wǎng)與辦公網(wǎng)隔離,利用現(xiàn)有網(wǎng)絡(luò)���,不改變網(wǎng)絡(luò)配置,訪客入網(wǎng)無物理限制,訪客入網(wǎng)需員工授權(quán),訪客權(quán)限控制,訪客入網(wǎng)審計(jì),用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能五��、網(wǎng)絡(luò)威脅定位,定位到人和交換機(jī)端口,非法接入定位,異常終端定位,私接設(shè)備定位,交換機(jī)異?��;ヂ?lián)定位,增強(qiáng)可視性,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能六、,網(wǎng)絡(luò)邊界監(jiān)控,分布式的邊界監(jiān)控,設(shè)備“網(wǎng)絡(luò)指紋”識(shí)別,內(nèi)外網(wǎng)互聯(lián)監(jiān)控,非法外聯(lián)監(jiān)控,假冒網(wǎng)絡(luò)設(shè)備,IDNAC HA-,備,IDNAC HA-,主,內(nèi)網(wǎng)邊界,內(nèi)網(wǎng)邊界,Firewall,Trunk,Trunk,H3C,Dlink Sw,HUB,IDSensor,網(wǎng)絡(luò)設(shè)備,3G,網(wǎng)卡上網(wǎng),匯聚層,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能七、網(wǎng)絡(luò)訪問控制,訪問權(quán)限控制,控制入網(wǎng)位置,保護(hù)核心資源,遠(yuǎn)程終端準(zhǔn)入,安全聯(lián)動(dòng),數(shù)據(jù)庫,ERP,OA,各類應(yīng)用資源,IDNac A100,IDWall,準(zhǔn)入成功,VPN/Firewall,訪問控制,stop,準(zhǔn)入控制,準(zhǔn)入失敗,認(rèn)證成功,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能八����、全網(wǎng)日志管理,高性能日志收集,日志海量存儲(chǔ),實(shí)名日志搜索和審計(jì),實(shí)名日志報(bào)表,滿足等保要求,IDLog L200/L210/L2000/L2100,用戶,規(guī)范管理,終端規(guī)范管理,網(wǎng)絡(luò)規(guī)范管理,功能九、網(wǎng)絡(luò)運(yùn)維管理,設(shè)備維護(hù)單點(diǎn)登錄,維護(hù)權(quán)限集中管理,操作行為實(shí)名審計(jì),高安全性,IDGuard,功能十���、高可用性,集中式熱備,分布式災(zāi)備,應(yīng)急逃生,分級(jí)分權(quán)管理,IDMonitor,ACK,產(chǎn)品資質(zhì),公司資質(zhì),產(chǎn)品資質(zhì),ACK,成功案例,案例匯總,電信���。電力。金融���。政府���。企業(yè),某大企業(yè)全網(wǎng)部署,四級(jí)部署,某大企業(yè)案例分析,某大企業(yè)特點(diǎn):,規(guī)范大:,中國(guó)三大企業(yè)之一。人數(shù):,150,萬����,終端數(shù),100,萬,收入,1,萬億��;,分級(jí)管理:,4,級(jí)管理(集團(tuán),省,地,縣)����;,網(wǎng)絡(luò)復(fù)雜:,僅交換機(jī)品牌、型號(hào),200;,需要解決問題:,邊界破損:,網(wǎng)絡(luò)邊界被破壞(私接終端、,Hub,��、路由器����、無線,AP,、,3G,網(wǎng)卡)�;,終端脫韁:,不裝和卸載桌面軟件;,網(wǎng)絡(luò)混亂:,無人清楚內(nèi)網(wǎng)當(dāng)前有多少終端��、有多少,IP,���、有多少設(shè)備�、有多少人在上網(wǎng)�����。,IP,地址管理混亂���、交換機(jī)端口綁定混亂、管理手段落后(手工綁定錯(cuò)誤不斷��、經(jīng)常造成安全事故)�����;,領(lǐng)導(dǎo)總結(jié):,“安全不是用量來衡量的!非法設(shè)備���,只要有一臺(tái)�����,就會(huì)危害全網(wǎng)����;脫韁終端只要有一個(gè)���,就可能,機(jī)密外泄,�����!”���;,某大企業(yè)案例分析,解決方法:,規(guī)范管理:,采用,ACK,內(nèi)網(wǎng)規(guī)范管理解決方案,全網(wǎng)實(shí)施“,ID,網(wǎng)管平臺(tái)”����;,分級(jí)管控:,上級(jí)單位定“大規(guī)定”�����,下級(jí)單位定“小政策”�����,各級(jí)單位只管“人員”�����;,加強(qiáng)可視性:,不出集團(tuán)���,就可看到鄉(xiāng)供電所的終端情況;,解決混亂:,徹底解決“網(wǎng)絡(luò)管理混亂”問題����;,試點(diǎn)效果:,發(fā)現(xiàn)多個(gè),“脫韁”,終端���;,發(fā)現(xiàn)多個(gè),“非法”,設(shè)備�;,實(shí)現(xiàn)了靜態(tài),IP,��,中心下發(fā)�����;,實(shí)現(xiàn)了全網(wǎng)的“可視、可控���、可查”�����;,某大部委:證書,+,準(zhǔn)入,IDNAC,對(duì)內(nèi)網(wǎng)的實(shí)現(xiàn)準(zhǔn)入控制�,核查吉大證書和檢查終端合規(guī)性���。,IDWall,與,IDNAC,聯(lián)動(dòng)�����,核查用戶身份���,根據(jù)終端訪問目的,檢查認(rèn)證強(qiáng)度和權(quán)限����。,IDWall,對(duì)關(guān)聯(lián)單位進(jìn)入部委網(wǎng)絡(luò)進(jìn)行用吉大證書認(rèn)證后進(jìn)行終端合規(guī)檢查。,只有通過吉大證書認(rèn)證和終端合規(guī)檢查�,才能進(jìn)入上級(jí)部委內(nèi)部網(wǎng)絡(luò)��。,IDWall,同時(shí)對(duì)外來終端的訪問按單位����、按部門��、按人進(jìn)行不同的路徑限制�。,國(guó)家電力監(jiān)管委員會(huì),項(xiàng)目背景,:,國(guó)家電力監(jiān)管委員會(huì)(以下簡(jiǎn)稱電監(jiān)會(huì))是電力行業(yè)的監(jiān)管者,根據(jù)國(guó)務(wù)院授權(quán)�����,行使行政執(zhí)法職能�,統(tǒng)一履行行業(yè)監(jiān)管職責(zé)。根據(jù)國(guó)家信息系統(tǒng)等級(jí)保護(hù)的要求���,需要進(jìn)一步完善電監(jiān)會(huì)的網(wǎng)絡(luò)安全建設(shè)�,實(shí)現(xiàn)網(wǎng)絡(luò)層的接入控制��。,部署后效果,:,達(dá)到等級(jí)保護(hù)要求:接入認(rèn)證�、網(wǎng)絡(luò)終端管理�����、用戶管理和授權(quán);,及時(shí)發(fā)現(xiàn)定位,ARP,病毒源����;,非法接入終端的阻斷和報(bào)警;,不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)���,完全兼容原有網(wǎng)絡(luò)設(shè)備��,極大保護(hù)了早期投資�;,用戶自服務(wù)�,每個(gè)用戶自己維護(hù)密碼;,用戶:“我們測(cè)試了多個(gè)品牌��,,ACK,的產(chǎn)品對(duì)網(wǎng)絡(luò)的要求最低�,兼容性最高,有推廣的價(jià)值�����!”,韶關(guān)發(fā)電廠,面臨的,威脅:,任何人,��、,任何終端,任意,接入辦公網(wǎng),����,,內(nèi)部資源,沒有保障��;,辦公網(wǎng),用戶私自篡改,IP/MAC,地址��,試圖仿冒高級(jí)權(quán)限的用戶終端�����,繞過防火墻策略上網(wǎng)�����;,IP,沖突�����,管理員無法定位沖突源��;,韶關(guān)發(fā)電廠鄒主任:“,ACK,的產(chǎn)品不錯(cuò)���,不少困擾多年的安全問題解決了!”,部署后效果,:,所有用戶認(rèn)證后才能入網(wǎng)�����,隔離非法用戶;,所有終端符合內(nèi)網(wǎng)規(guī)范才能入網(wǎng)�;,阻斷,篡改,IP/MAC,地址的終端�;,協(xié)助發(fā)現(xiàn)各種,ARP,攻擊和異常流量;,各種非法和不合規(guī)接入直接報(bào)警�����;,廣東移動(dòng)茂名分公司,項(xiàng)目背景,:,中國(guó)移動(dòng)的,BSS,是一個(gè)獨(dú)立封閉的網(wǎng)絡(luò)��,網(wǎng)維部門有大量的外維人員�����,負(fù)責(zé)不同領(lǐng)域的維護(hù)��,人員流動(dòng)性大��,管理松散�,存在較多網(wǎng)絡(luò)安全隱患,一旦出現(xiàn)安全事故�,難以追究直接責(zé)任人;,部署后效果,:,全面兼容現(xiàn)有的,Cisco,�、華為、傻瓜交換機(jī)�����;,外維人員接入網(wǎng)絡(luò)自動(dòng)獲取,IP,,自動(dòng)認(rèn)證�,首次入網(wǎng)的外維人員進(jìn)入自助服務(wù)頁面注冊(cè),管理員審批后生效��;,外維人員自帶終端首次入網(wǎng)���,自動(dòng)進(jìn)行終端注冊(cè)����,自動(dòng)登記終端的硬件信息�;,自動(dòng)授權(quán),根據(jù)用戶,ID,分配相應(yīng)權(quán)限的,IP,���;,監(jiān)控區(qū)的主機(jī)免身份認(rèn)證�����,自動(dòng)校驗(yàn)終端
個(gè)人主頁