NAC解决方案说明

NAC解决方案说明TippingPoint2008公司简介TippingPointTechnology,Inc是一家总部在美国的高科技企业。2002年初，在当时连IDS都罕为人知的时期，TippingPoint公司在全球RSA平安峰会上退出了全球第一款基于硬件NP+FPGA(ASIC)架构的IPS产品，令当时的与会者叹为观止。2002TippingPoint公司胜利的在美国纳斯达克上市，2005年被3COM收购。目前TippingPoint作为3Com公司的一个子公司，是为合作公司、政府机构、服务供应商以及学术机构供应基于网络的入侵防卫系统的主要供应商。由于它在2002年建立了第一个基于网络的入侵防卫系统而成为了IPS市场的先驱，并且它通过第一个将创新的IPS特征比如间谍软件防护和多路千兆吞吐量市场化来接着领导着这个领域。TippingPoint是唯一供应VoIP平安、带宽管理、层对层爱护以及以在安装之后无需调整的默认的“举荐配置”来精确地阻隔恶意流量等这些全部功能的入侵防卫系统。TippingPoint公司于2007年推出了基于接入限制的平安补充方案NAC,作为IPS的合理有效的补充。NAC的推出解决了边界网关IPS无法防卫内部异样流量和网络平安的盲点，除此以外NAC可以很好的和TippingPointIPS联动做到真正的实时异样行为的隔离。部署说明NAC技术简介网络准入限制(NAC)进行了特地设计，可确保为访问网络资源的全部终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)供应足够爱护，以防卫网络平安威逼。作为闻名防攻击、平安性和管理产品制造商TippingPoint参加的市场领先的安排，NAC引起了媒体、分析公司及各规模机构的广泛关注。NAC的优势据2005CSI/FBI平安报告称，虽然平安技术多年来始终在发展且平安技术的实施更是耗资数百万美元，但病毒、蠕虫、间谍软件和其他形式的恶意软件仍旧是各机构现在面临的主要问题。机构每年遭受的大量平安事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题，给机构带来了巨大的经济影响。明显，仅凭传统的平安解决方案无法解决这些问题。TippingPoint公司开发出了将领先的网关平安和管理解决方案结合在一起的全面的平安解决方案，以确保网络环境中的全部设备都符合平安策略。NAC允许您分析并限制试图访问网络的全部设备。通过确保每个终端设备都符合企业平安策略(例如运行最相关的、最先进的平安爱护措施)，机构可大幅度削减甚至是消退作为常见感染源或危害网络的终端设备的数量。大幅度提高网络平安性虽然大多数机构都运用身份管理及验证、授权和记帐(AAA)机制来验证用户并为其安排网络访问权限，但这些对验证用户终端设备的平安状况几乎不起任何作用。假如不通过精确方法来评估设备‘状况’，即便是最值得信任的用户也有可能在无意间通过受感染的设备或未得到适当爱护的设备，将网络中全部用户暴露在巨大风险之中。NAC是构建在TippingPoint公司领导的行业安排之上的一系列技术和解决方案。NAC运用网络基础设施对试图访问网络计算资源的全部设备执行平安策略检查，从而限制病毒、蠕虫和间谍软件等新兴平安威逼损害网络平安性。实施NAC的客户能够仅允许遵守平安策略的可信终端设备(PC、服务器及PDA等)访问网络，并限制不符合策略或不行管理的设备访问网络。通过运行NAC，只要终端设备试图连接网络，网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具供应终端设备的平安资料。随后将这些资料信息与网络平安策略进行比较，并依据设备对这个策略的符合水平来确定如何处理网络访问恳求。网络可以简洁地准许或拒绝访问，也可通过将设备重新定向到某个网段来限制网络访问，从而避开暴露给潜在的平安漏洞。此外，网络还能隔离的设备，它将不符合策略的设备重新定向到修补服务器中，以便通过组件更新使设备达到策略符合水平。NAC执行的某些平安策略符合检查包括：推断设备是否运行操作系统的授权版本。通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复。推断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。确保已打开并正在运行防病毒技术。推断是否已安装并正确配置了个人防火墙、入侵防卫或其他桌面系统平安软件。检查设备的企业镜像是否已被修改或篡改。NAC随后依据上述问题的答案做出基于策略的明智的网络准入决策。实施NAC解决方案的某些优势包括：1.帮助确保全部的用户网络设备都符合平安策略，从而大幅度提高网络的平安性，不受规模和困难性的影响。通过主动抵挡蠕虫、病毒、间谍软件和恶意软件的攻击，机构可将留意力放在主动防卫上（而不是被动响应）。2.通过闻名制造商的广泛部署与集成来扩呈现有思科网络及防病毒、平安性和管理软件的价值。3.检测并限制试图连接网络的全部设备，不受其访问方法的影响(如路由器、交换机、无线、VPN和拨号等)，从而提高企业永续性和可扩展性。4.防止不符合策略和不行管理的终端设备影响网络可用性或用户生产率。5.降低与识别和修复不符合策略的、不行管理的和受感染的系统相关的运行成本。组件：TippingPointNACPolicyServer(NPS)TippingPointNPS是TippingPointNAC解决方案的中心管理限制台，它容纳主要的NAC数据库、供应与外部后端办公室系统（例如LDAP或ActiveDirectory）的界面、当成一个RADIUSserver以处理认证恳求、供应逻辑以确定网络政策、以及供应网管运用者界面等。NAC数据库包含NAC系统所需的全部配置数据，包括与后端办公室系统建立界面所需的数据、802.1X交换器设备列表、驱动网络政策引擎的数据、具体的端点连线记录以及它们的平安状态评估结果。NPS供应支持802.1XNAC政策执行所需的全部服务。再者，NPS与安装在企业DHCP服务器的TippingPointDHCPPlug-in通讯，利用端点的DHCP租约(lease)执行访问政策。通过DHCP政策执行(DHCPenforcement)功能，可以修改运用者的租约以限制名称服务并设置静态IP路径至修复网站。TippingPointNACPolicyEnforcer(NPE)TippingPointNPE是一种具备即时分析实力的装置(in-lineappliance)，依据运用者和装置标准供应访问限制。它允许网络管理者依据运用者身份识别和装置类型设置访问规则，而不会像传统以端口为基础(port-based)的网络区段划分方法受到地点限制。随着越来越多行动装置连接到网络，以及企业员工流淌性的提高，网络周界加速模糊化。一旦顾问、承包商和访客等外界人员获得内部网络的访问权限，企业即必需部署一套以身份识别为基础的inline政策执行工具，确保唯有合法运用者才能访问其获得授权的资源。NACPolicyEnforcer和NACPolicyServer协同作业，它会收到有关任何新的网络连接的最新政策，同时也会收到全部有关运用者认证状态以刚好间和位置规则的变更信息。一台单一NACPolicyEnforcer支持约500名运用者，约500Mb/s的流量，以及802.1QVLAN中继(Trunking)。NACPoliceServer(NPS策略服务器)：负责定制策略、认证代理（radius，tacacs，ldap）、DHCP服务、WEB门户NACPoliceEnforcer（NPE策略执行器）：负责和NPS联动，8021X认证、HTTP重定向服务NACClient（客户端）：移动终端、无线终端和主机部署方式NPE串联在路由器和交换机的中间，而NPS旁路就近连接在二层交换机的内侧。工作流程如下客户端发送接入恳求到交换机交换机将恳求转发到NPE，NPE将恳求内容发送NPS进行处理（地理位置、IP、用户信息、MAC地址等）NPS将恳求通过预先设定的认证方式进行处理，依据返回的A/V对来推断是否用户身份合法假如用户身份合法，则让其通过。反之进行隔离。部署方式IPS+NAC当客户端接入后再次下载了病毒进行网络攻击，IPS可以进行网关拦截IPS将源地址进行隔离，并且通过SMS通知NPSNPS通过配置交换机，将该客户端隔离出VLAN削减网络平安弱点让未授权运用者和装置远离网络在一个TippingPointNAC环境内，每一台装置及其运用者都必需接受严格的认证、授权、以及平安状态遵循方面的检查。未授权运用者不得访问网络，而未通过检查的装置则依据发觉的平安弱点而引导其进行修补，然后才能授予其访问权。这些措施让IT管理人员能够分级管控访问特定网络资源的运用者和装置。依照任务、装置类别、状态、地点和时段限制访问针对个别运用者、装置或运用者与装置群组定义访问政策。这些政策让管理者可以依照端点状态、地点和时段实施访问限制。多重访问限制方法-包括802.1X、DHCP和In-LineBlocking一台单一的TippingPointNACPolicyServer可以利用多种政策执行整个网络的访问管理，包括802.1X和DHCP认证、TippingPointNACPolicyEnforcer的in-line政策执行、以及这些方法的随意组合。连线前与连线后端点监控，降低恶意软件攻击风险TippingPointNAC解决方案供应连线前与连线后之端点状态监控，预防恶意软件侵入网络。任何未遵循政策的装置，将依据发觉的平安弱点而引导，从而对其进行修补，通过检测后才授予访问权。IPS整合确保全部数据流与内容都接受连线后检测TippingPointNAC将与TippingPoint入侵防卫系统IntrusionPreventionSystemIPS)实现互操作，确保阻断每一端点的全部恶意流量，而可疑或未遵循政策的流量将会触发其他政策限制操作，包括阻断、隔离检查、预警或流量管制。结合NAC与in-lineIPS的分层式平安措施，为平安人员供应前所未有的管控实力，能够自动对全部运用者、装置、流量和内容执行网络访问与平安政策管控。降低NAC配置成本与困难性弹性部署方案简化配置与扩充程序TippingPointNAC解决方案供应弹性，帮助将网络访问限制部署到各种各样的组态内，因此企业组织可以从小规模部署着手，先简洁地部署到高风险区段或者商务关键性较低的区段，然后逐步扩充。单一、基于Web的管理限制台单一、基于Web的管理限制台，帮助管理者轻易管理整个NAC解决方案，而不论采行何种认证与政策执行选项。一台单一的TippingPointNACPolicyServer可管理多达10,000端点。简易的政策创建和管理NACPolicyServer管理限制台供应一个特别直观且简洁运用的管理界面，帮助建立新访问政策和持续管理现有的政策。这有助于将政策创建时间缩减至最小，并且加速解决方案的整体部署时间。减轻IT人员的访客设置负荷配置才智型的client-less访客访问权，以及建立、分组和限制多阶层访客，例如承包商、行动员工和现场访客，而无需变更现有网络基础设施。设置访客端点修补，减轻后续IT负荷与成本。具体预警加速问题辨识与解除马上的问题通告结合具体的drill-down深化分析报表，节约IT人员辨识和解除问题所需的时间，例如多名运用者认证失败、不明装置尝试访问或系统健康问题等。对现有运用者而言具有透通性而无需升级网络无缝ActiveDirectoryWindows登录以及支持Mac和LinuxTippingPointNAC解决方案支持无缝Windows(2000、XP和Vista)ActiveDirectory登录。该解决方案也完全兼容Macintosh(10.x)和Linux操作系统，帮助企业组织确保装置政策遵循。状态政策遵循(posturecompliance)检测功能将检查操作系统类别、补丁和热补丁，确认后才授予访问权。支持数百种防毒、反间谍和个人防火墙软件套件TippingPointNAC解决方案供应涵盖数百种防毒、反间谍和个人防火墙软件套件的状态评估检查功能。这项内置的状态政策遵循检测功能将检查：对运用者透通的短暂性用户端状态检测代理程序用户端状态政策遵循检测通过基于Web的限制台管理，而且可以运用永久性(persistent)或短暂性(dissolvable)的状态检查客户软件执行。再者，状态检查可设置成仅要求连线前检查或者包括连线前与连线后检查。连线后的状态遵循检查间隔时间完全可以自由设置。无需升级网络由于TippingPointNAC解决方案与现有的认证数据库整合，并且运用现有的网络政策执行服务，包括802.1X和DHCP，因此不须要进行昂贵的网络升级。整合RADIUS、ActiveDirectory和LDAP认证服务运用者访问权是通过与现有运用者书目服务整合管控，包括ActiveDirectory、LDAP和RADIUS，或者整合RADIUS服务器的本地创建用户(TippingPointNACPolicyServer之内)。NACPolicyServer能够和现有或新部署的书目基础设施协同作业，包括RADIUS、LDAP和ActiveDirectory，而不须要变更现有书目。再者，它可以支持多重可延长认证协定(EAP)类型和802.1X用户端，以利用802.1X当成一种认证和政策执行方法。Layer3网络透通性TippingPointNACPolicyEnforcer在网络上当成一个Layer2桥接器，且通常部署在网络核心。NACPolicyEnforcer在Layer2作业，对于Layer3网络而言具有透通性，因此并不须要变更您现有的Layer3基础设施或IP地址配置。改善透亮度以及网络的运用与访问报告快速扫描全部联网装置的现在和历史活动与状态TippingPointNACPolicyServer通过集中化的、基于Web的限制台供应先进的报表实力，让网络管理人员能够快速扫描现在或曾经连接网络的全部装置的活动与状态。报表可用于即时系统分析、历史分析、政策遵循稽核以及系统故障解除等。系统仪表板(dashboard)显示现在的系统状态，包括已知的连接数、简要历史认证图表以及已知连接装置的当前状态。Dashboard包含一组图表，供应有关NACPolicyServer各项组件的状态速览。其他报表包括：·依照MAC地址、IP地址和运用者名称区分网络连接，以及装置的状态评估。·即时监控、显示和记录全部运用者、会话、应用程序与服务。·即时追踪全部运用者活动、权限、状态与位置。·个别或整体装置状态的具体信息。维护运用者与装置访问稽核记录以简化政策遵循管理NACPolicyServer维护一个完整的运用者与装置访问稽核追踪记录，以简化内部平安政策稽核程序和外界法规遵循管理。以身份识别为基础的政策管理· NACPolicyServer采纳基于Web的管理限制台，以及通过SSHv2访问的吩咐列介面(CLI)·以运用者角色任务为基础的访问限制·整合外部运用者书目—RADIUS、ActiveDirectory与LDAP· NACPolicyServer支持多达10,000运用者·黑名单、白名单和例外·将特定运用者关联到特定MAC地址·依据MAC地址允许或拒绝访问· inline政策执行，依照Layer3和4定义访问规则，支持通配符(wildcard)和范围端点状态检查·永久性和短暂性的用户端状态代理程序·可配置的连接后状态检查间隔时间·终端运用者自我修复·兼容Windows2000、XP、Vista、MacOSX和Linux·无缝ActiveDirectoryWindows登录·支持数百种防毒、反间谍软件和个人防火墙软件套件·状态更新服务支持＂setandforget＂政策建立访问政策执行·多重执行选项，包括802.1X、DHCP、in-lineblocking，以及这些方法的随意组合·支持多重可延长认证协定(EAP)类别和802.1X认证·可定制化的captiveloginWebportal· HTTP重导(重导流量至captiveloginWebportal)· In-line政策执行设备——支持500名以上的并行运用者· NACPolicyEnforcer协议包括：-802.1Dbridging-802.1Dspanningtree-802.1QVLANtrunking/translation-802.1Xport-authentication-802.310Base-T-802.3u100Base-TX-