终端安全解决方案V2.pptVIP

* * * * * * * * * * * * 一、先介绍评测的机构： Gartner(NYSE:ITandITB，)(高德纳)，纽约证券上市公司，全球最具权威的IT研究与顾问咨询公司，成立于1979年，总部设在美国康涅狄克州斯坦福。 Forrester是国际权威的市场调研和分析公司。 二、这三种技术框架涵盖了目前NAC的所有技术框架，理解了这三个框架，基本上就掌握了各个产品的技术特点。 三、对三类框架进行解读，突出一点，第二种、第三种是真正有效的方案。 1.北信源等一些桌面厂商的作法，最常见的是ARP欺骗，在目前网络环境中，有三大缺点： 1) 大量ARP欺骗包，容易造成网络风暴，比如省电力公司在内测时发生，南京雨花区政府。 2）ARP巡逻机会被当成病毒主机，因为发ARP欺骗包跟中ARP病毒无任何差异，本身也是恶意行为，所以会被防ARP病毒的一些反病毒软件给杀掉。 3）非法接入的主机，如果安装了类似360 arp 防火墙等，或者直接做静态绑定，那么该ARP欺骗包就对非法接入主机无效。 2. 该方案是一个成熟、可靠的方案。但对厂商的方案设计能力、实施能力，以及自身产品适应客户网络的能力提出了很高的要求。 3.该模式的产品，可以支持无客户端的模式，是一种全新的模式，目前掌握该技术框架的国内厂商很少。 带外(Out-Of-Band）、带内(In-Band)，虚拟网关，SNMP、网桥等模式、做到Agentless的设备 * * * * * * 1 * * ITIL是英国中央计算机和电信局CCTA于80年代中期开始开发的一套针对IT行业的服务管理标准库。 * * * * AMC 支持多样化的准入技术，其中最重要的包括 802.1x,我们通过做了这么多的案例，能够从真实设备上支持CISCO/H3C/DLINK/锐捷等，因为802.1X真正要做好，其实需要对各个厂商的产品进行适应性的修改（各个厂商会做个性化的扩展），我们的价值其实就在于我们真正做过，并且成熟可靠，而并非只是在技术上支持统一不变、学术性质的802.1X。 另外，国内同时支持CISCO EOU及H3C PORTAL协议的厂商非常少（到目前为止没有发现有真实的客户案例），而我们通过两年多的研究和应用，已有这块的实际支撑，应该说有实际案例的就我们一家。 * * * * * * * * * * * * * * * * * * 多厂商、多类型的异构IT环境,使得用户在选择NAC产品时左右为难，如何做到最小的网络改造最好不改造，而实现一体化全面管理。 1 “是NAC适应网路而不是网路适应NAC” 选择网络准入技术时面临的困境 1 最容易部署最好，实施NAC的目的是减少管理工作量而不是增加管理工作量。 简洁易用 界面友好 部署方便 终端Agentless 网络准入控制系统产品选择原则 对于节点众多的大型网络，基于软件架构NAC不适用 2 由于各网络设备厂商NAC产品的自我封闭性，用户往往被深度“绑架”，尽管这种解决方案具有很强的功能，但仍有许多具备一定扩展性、较为客户化、看似十分简单的需求无法有效解决。 你的地盘？听我的！ 网络准入控制系统产品选择原则 对于异构的复杂网络，基于基础网络设备的NAC不适用 基于应用设备的准入系统解决方案 独立硬件，旁路安装，不改变现有网络结构 AgentLess客户端模式，方便快捷 网络准入控制系统工作流程 网络准入控制系统身份认证功能 丰富的认证方式 - 用户名/口令 - AD域 - LDAP - USB-KEY - 手机短信 - EMAIL - 网络实名制 网络准入控制系统的安全项目检查功能 网络准入控制系统的隔离修复功能 快速安检体验 网络准入控制系统的权限管理功能 提 纲 终端安全控制建设的必要性 1 网络准入控制解决方案 2 终端安全管理解决方案 3 方案效果及特点 4 系统分为四大部分，客户端、中心服务器、区域控制器和WEB管理控制台，系统采用分布式监控与策略执行点，集中管理的工作模式。客户端与服务器之间采用高可靠性的C/S模式，管理员采用极方便性的B/S模式。组件的通信采用高度压缩与加密方式，WEB平台采用HTTP登录方式。 桌面管理部署系统架构 客户端安装方式 域脚本 MSEP-Agent Web方式 远程推送工具 手工安装 （MSI） 桌面管理系统基本功能结构图 资产 管理 移动介 质管理 安全检 查加固 软件 管理 网络 管理 行为 检测 硬件资产登记注册 软件资产登记注册 资产变更管理 介质注册管理 介质非法接入检测 读写权限控制 密码安全性 注册表键值 非法启动项检查 共享目录检查 补丁安装情况检查 病毒库升级检查 软件分发 异常进程监控 软件黑/白名单 进程