天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板
每台计算机终端只接受安全可信的计算机终端进行访问,并只能在安全基线合格时访问网络,实现最细粒度的准入控制。
天珣客户端具备网络阻断功能,在计算机终端安全基线不符合要求时,天珣客户端能不依赖网络设备及网络上其他终端或设备独立执行网络访问阻断。
天珣客户端更支持选择性阻断,在计算机终端安全基线不符合要求时,天珣客户端能根据管理员预先配置的安全策略,通过进程、端口、目标地址等条件,选择性地阻止部分非紧急业务的网络访问,而允许其他紧急业务的网络访问。
当启用基于802.1x的网络准入控制时,天珣客户端的选择性阻断技术保证计算机终端安全基线的改变不会导致交换机端口状态的频繁切换或VLAN的频繁切换,从而影响交换机和网络的性能;当启用基于EoU的网络准入控制时,天珣客户端的选择性阻断技术保证客户端安全基线的改变不会导致交换机频繁下载ACL,从而影响交换机和网络的性能。当不启用网络准入控制时,天珣客户端的选择性阻断技术保证天珣客户端不依赖其他任何设备执行紧急业务和非紧急业务的分类阻断。
2.3.1.5. 多层准入,层层设防
通过天珣提供的内网终端多层准入控制,可以在终端接入的内网边界、数据中心关键服务器或业务系统和每个终端周围,构建起立体、无缝的内网终端准入控制体系,形成终端多重 “内网终端安检系统”,保证所有内网终端都必须接受管理,并通过强制合规特性,确保内网终端有效执行内网终端合规管理策略,实现内网终端合规管理无盲区,不妥协的管理目标。
启明星辰 15 http://www.venustech.com.cn
天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板
图3 天珣多层准入控制逻辑图
天珣的多层准入控制手段可灵活组合,无论现实的用户网络环境有多复杂,总可以找到适应该网络环境的一种或多种准入控制手段,构建“内网安检系统”。表1是在不同的网络环境中,用户可以选择的天珣准入控制组合列表:
表1 不同网络环境中可以选择的准入控制组合列表
可选准入类型 不同网络环境 汇聚层支持EOU协议,接入层交换机支持802.1x协议 汇聚层支持EOU协议,接入层交换机不支持802.1x协议 汇聚层不支持EOU协议,接入层交换机支持802.1x协议 汇聚层不支持EOU协议,接入层交换机不支持802.1x协议 网络准入 基于802.1x √ × √ × 基于EOU √ √ × × 应用准入 √ √ √ √ 客户端准入 √ √ √ √ 天珣准入控制支持多因素条件组合认证,结合多层准入控制手段,天珣可以为计算机终端设定多种接入企业内网的认证条件。所支持的认证要素包括:终端计算机的IP地址、MAC地址、终端登录用户的用户名/密码、VLAN,认证有效期、数字证书和终端的安全状态,每一个认证要素都可以单独作为认证条件,也可以多个认证要素绑定作为组合认证条件。
在实际应用中,如果计算机终端存在一个或多个认证条件不满足的情况,天珣均会认为计算机终端的安全基线不符合要求,通过准入控制机制,触发友好提示、重新认证或阻断其网络行为,直到计算机终端安全基线完全达到要求后,方
启明星辰 16 http://www.venustech.com.cn
天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板
可再次通过认证合法接入企业内网。
表2 天珣多因素准入控制认证列表
准入控制类型 认证条件不满足 天珣客户端安装运行认证 标准802.1x 网络准入 漫游IP网段的802.1x 禁止访问,禁止访问 提示安装 禁止访问,禁止访问,提提示修复 示修复 禁止访问 禁止访问 改回设定IP地址 禁止访问 改回设定IP地址 禁止访问 不生效 禁止访问 改回设定IP地址 禁止访问 改回设定IP地址 禁止访问 EOU 应用准入 客户端准入 禁止访拒绝接入 拒绝接入 问,提示安装 禁止访问,提示修复 禁止访问,提示修复 禁止访安全基线认证(补丁状态、问,提示进程状态、防病毒状态…) 修复 用户认证 可信MAC认证 拒绝接入 拒绝接入 禁止访问 拒绝接入 拒绝接入 禁止访问 改回设定IP地址 禁止访问 User+IP+认证有效期 拒绝接入 组合认证 User+MAC+认证有效期 MAC+IP+认证有效期 User+IP+MAC+认证有效期
拒绝接入 拒绝接入 禁止访问 拒绝接入 改回设定IP地址 禁止访问 拒绝接入 拒绝接入 禁止访问 可匿名用户认证:当启用可匿名的用户认证时,可以允许安装了天珣客户端的计算机终端匿名登录,登录后将自动获取访客策略,使其对内网访问完全受控。利用该认证方式,可实现对外来计算机终端的有效管理。
2.3.1.6. 动态VLAN
VLAN在控制广播域范围、网络安全、第三层地址管理和网络资源集中管理等方面具有重要的意义。传统的基于交换机端口划分VLAN的方式因为不灵活、以及对管理员的工作量大而不能满足今天移动用户的VLAN管理需求。天珣可以根据用户的登录名或计算机终端MAC地址动态划分VLAN,无论用户移动到企业的任何地点接入网络,都可以被自动分配到他所归属的VLAN,而不用管理员手工干预,不仅灵活,而且降低了管理员的工作量。
启明星辰 17 http://www.venustech.com.cn
天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板
2.3.1.7. 动态ACL
在交换机传统的ACL配置中,只能针对端口或IP地址设置ACL。天珣能够在CISCO EoU的环境下,针对登录用户名和计算机终端的MAC地址为每一台电脑下发动态ACL,极大地扩展了交换机的配置能力。
2.3.1.8. 外来电脑管理
对于外来计算机终端,企业有时很难要求其与内部计算机终端执行相同的安全策略。天珣可以通过支持802.1x的网络交换机将外来计算机终端自动划分到Guest VLAN,或通过启用访客策略,严格限制外来计算机终端的访问权限,即使其安全基线不符合要求,甚至藏有蠕虫病毒或木马,也不会对企业网络造成任何危害,同时杜绝了任何外来计算机的非授权访问问题。
2.3.1.9. 多层准入,保护用户投资
天珣提供多种网络准入控制手段,从终端通过交换机接入内网,到终端访问内网业务应用服务器,再到终端之间的互访,全面覆盖了终端在网络行为的每一个环节。天珣支持业界多种品牌和型号的网络设备,提供丰富的应用准入控制类型,用户总可以从天珣提供的多种准入控制手段,找到满足自己现实需求的准入控制解决方案,而无需对网络和系统进行改造升级,最大限度保护用户投资。
2.3.1.10. 应用准入,提供更佳的准入控制伸缩性和适应能力
基于应用准入生效是在数据中心的服务器区,对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议,或者因内网终端合规管理的现实要求,暂时不需要启用最严格的网络准入控制的情况,应用准入将可以代替网络准入作为最佳的终端合规准入控制手段。当然如果终端始终不去访问数据中心服务器,那么将可能无法对其实施应用准入,因此前期对准入所使用的业务系统的选择将会非常关键。
2.3.1.11. 应用准入,创造客户端“自助安装”新模式
应用准入可以通过自动重定向,对未受控或者不合规的终端,进行个性化的友好提示,通过友好提示不仅可以帮助最终用户了解无法访问业务服务器的原
启明星辰 18 http://www.venustech.com.cn
