NAC解決方案說明

NAC解決方案說明TippingPoint2008公司簡介TippingPointTechnology,Inc是一家總部在美國的高科技企業(yè)。2002年初，在當(dāng)時連IDS都罕為人知的時期，TippingPoint公司在全球RSA平安峰會上退出了全球第一款基于硬件NP+FPGA(ASIC)架構(gòu)的IPS產(chǎn)品，令當(dāng)時的與會者嘆為觀止。2002TippingPoint公司勝利的在美國納斯達(dá)克上市，2005年被3COM收購。目前TippingPoint作為3Com公司的一個子公司，是為合作公司、政府機(jī)構(gòu)、服務(wù)供應(yīng)商以及學(xué)術(shù)機(jī)構(gòu)供應(yīng)基于網(wǎng)絡(luò)的入侵防衛(wèi)系統(tǒng)的主要供應(yīng)商。由于它在2002年建立了第一個基于網(wǎng)絡(luò)的入侵防衛(wèi)系統(tǒng)而成為了IPS市場的先驅(qū)，并且它通過第一個將創(chuàng)新的IPS特征比如間諜軟件防護(hù)和多路千兆吞吐量市場化來接著領(lǐng)導(dǎo)著這個領(lǐng)域。TippingPoint是唯一供應(yīng)VoIP平安、帶寬管理、層對層愛護(hù)以及以在安裝之后無需調(diào)整的默認(rèn)的“舉薦配置”來精確地阻隔惡意流量等這些全部功能的入侵防衛(wèi)系統(tǒng)。TippingPoint公司于2007年推出了基于接入限制的平安補(bǔ)充方案NAC,作為IPS的合理有效的補(bǔ)充。NAC的推出解決了邊界網(wǎng)關(guān)IPS無法防衛(wèi)內(nèi)部異樣流量和網(wǎng)絡(luò)平安的盲點(diǎn)，除此以外NAC可以很好的和TippingPointIPS聯(lián)動做到真正的實(shí)時異樣行為的隔離。部署說明NAC技術(shù)簡介網(wǎng)絡(luò)準(zhǔn)入限制(NAC)進(jìn)行了特地設(shè)計(jì)，可確保為訪問網(wǎng)絡(luò)資源的全部終端設(shè)備(如PC、筆記本電腦、服務(wù)器、智能電話或PDA等)供應(yīng)足夠愛護(hù)，以防衛(wèi)網(wǎng)絡(luò)平安威逼。作為聞名防攻擊、平安性和管理產(chǎn)品制造商TippingPoint參加的市場領(lǐng)先的安排，NAC引起了媒體、分析公司及各規(guī)模機(jī)構(gòu)的廣泛關(guān)注。NAC的優(yōu)勢據(jù)2005CSI/FBI平安報告稱，雖然平安技術(shù)多年來始終在發(fā)展且平安技術(shù)的實(shí)施更是耗資數(shù)百萬美元，但病毒、蠕蟲、間諜軟件和其他形式的惡意軟件仍舊是各機(jī)構(gòu)現(xiàn)在面臨的主要問題。機(jī)構(gòu)每年遭受的大量平安事故造成系統(tǒng)中斷、收入損失、數(shù)據(jù)損壞或毀壞以及生產(chǎn)率降低等問題，給機(jī)構(gòu)帶來了巨大的經(jīng)濟(jì)影響。明顯，僅憑傳統(tǒng)的平安解決方案無法解決這些問題。TippingPoint公司開發(fā)出了將領(lǐng)先的網(wǎng)關(guān)平安和管理解決方案結(jié)合在一起的全面的平安解決方案，以確保網(wǎng)絡(luò)環(huán)境中的全部設(shè)備都符合平安策略。NAC允許您分析并限制試圖訪問網(wǎng)絡(luò)的全部設(shè)備。通過確保每個終端設(shè)備都符合企業(yè)平安策略(例如運(yùn)行最相關(guān)的、最先進(jìn)的平安愛護(hù)措施)，機(jī)構(gòu)可大幅度削減甚至是消退作為常見感染源或危害網(wǎng)絡(luò)的終端設(shè)備的數(shù)量。大幅度提高網(wǎng)絡(luò)平安性雖然大多數(shù)機(jī)構(gòu)都運(yùn)用身份管理及驗(yàn)證、授權(quán)和記帳(AAA)機(jī)制來驗(yàn)證用戶并為其安排網(wǎng)絡(luò)訪問權(quán)限，但這些對驗(yàn)證用戶終端設(shè)備的平安狀況幾乎不起任何作用。假如不通過精確方法來評估設(shè)備‘狀況’，即便是最值得信任的用戶也有可能在無意間通過受感染的設(shè)備或未得到適當(dāng)愛護(hù)的設(shè)備，將網(wǎng)絡(luò)中全部用戶暴露在巨大風(fēng)險之中。NAC是構(gòu)建在TippingPoint公司領(lǐng)導(dǎo)的行業(yè)安排之上的一系列技術(shù)和解決方案。NAC運(yùn)用網(wǎng)絡(luò)基礎(chǔ)設(shè)施對試圖訪問網(wǎng)絡(luò)計(jì)算資源的全部設(shè)備執(zhí)行平安策略檢查，從而限制病毒、蠕蟲和間諜軟件等新興平安威逼損害網(wǎng)絡(luò)平安性。實(shí)施NAC的客戶能夠僅允許遵守平安策略的可信終端設(shè)備(PC、服務(wù)器及PDA等)訪問網(wǎng)絡(luò)，并限制不符合策略或不行管理的設(shè)備訪問網(wǎng)絡(luò)。通過運(yùn)行NAC，只要終端設(shè)備試圖連接網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問設(shè)備(LAN、WAN、無線或遠(yuǎn)程訪問設(shè)備)都將自動申請已安裝的客戶端或評估工具供應(yīng)終端設(shè)備的平安資料。隨后將這些資料信息與網(wǎng)絡(luò)平安策略進(jìn)行比較，并依據(jù)設(shè)備對這個策略的符合水平來確定如何處理網(wǎng)絡(luò)訪問懇求。網(wǎng)絡(luò)可以簡潔地準(zhǔn)許或拒絕訪問，也可通過將設(shè)備重新定向到某個網(wǎng)段來限制網(wǎng)絡(luò)訪問，從而避開暴露給潛在的平安漏洞。此外，網(wǎng)絡(luò)還能隔離的設(shè)備，它將不符合策略的設(shè)備重新定向到修補(bǔ)服務(wù)器中，以便通過組件更新使設(shè)備達(dá)到策略符合水平。NAC執(zhí)行的某些平安策略符合檢查包括：推斷設(shè)備是否運(yùn)行操作系統(tǒng)的授權(quán)版本。通過檢查來查看操作系統(tǒng)是否安裝了適當(dāng)補(bǔ)丁，或完成了最新的熱修復(fù)。推斷設(shè)備是否安裝了防病毒軟件以及是否帶有最新的系列簽名文件。確保已打開并正在運(yùn)行防病毒技術(shù)。推斷是否已安裝并正確配置了個人防火墻、入侵防衛(wèi)或其他桌面系統(tǒng)平安軟件。檢查設(shè)備的企業(yè)鏡像是否已被修改或篡改。NAC隨后依據(jù)上述問題的答案做出基于策略的明智的網(wǎng)絡(luò)準(zhǔn)入決策。實(shí)施NAC解決方案的某些優(yōu)勢包括：1.幫助確保全部的用戶網(wǎng)絡(luò)設(shè)備都符合平安策略，從而大幅度提高網(wǎng)絡(luò)的平安性，不受規(guī)模和困難性的影響。通過主動抵擋蠕蟲、病毒、間諜軟件和惡意軟件的攻擊，機(jī)構(gòu)可將留意力放在主動防衛(wèi)上（而不是被動響應(yīng)）。2.通過聞名制造商的廣泛部署與集成來擴(kuò)呈現(xiàn)有思科網(wǎng)絡(luò)及防病毒、平安性和管理軟件的價值。3.檢測并限制試圖連接網(wǎng)絡(luò)的全部設(shè)備，不受其訪問方法的影響(如路由器、交換機(jī)、無線、VPN和撥號等)，從而提高企業(yè)永續(xù)性和可擴(kuò)展性。4.防止不符合策略和不行管理的終端設(shè)備影響網(wǎng)絡(luò)可用性或用戶生產(chǎn)率。5.降低與識別和修復(fù)不符合策略的、不行管理的和受感染的系統(tǒng)相關(guān)的運(yùn)行成本。組件：TippingPointNACPolicyServer(NPS)TippingPointNPS是TippingPointNAC解決方案的中心管理限制臺，它容納主要的NAC數(shù)據(jù)庫、供應(yīng)與外部后端辦公室系統(tǒng)（例如LDAP或ActiveDirectory）的界面、當(dāng)成一個RADIUSserver以處理認(rèn)證懇求、供應(yīng)邏輯以確定網(wǎng)絡(luò)政策、以及供應(yīng)網(wǎng)管運(yùn)用者界面等。NAC數(shù)據(jù)庫包含NAC系統(tǒng)所需的全部配置數(shù)據(jù)，包括與后端辦公室系統(tǒng)建立界面所需的數(shù)據(jù)、802.1X交換器設(shè)備列表、驅(qū)動網(wǎng)絡(luò)政策引擎的數(shù)據(jù)、具體的端點(diǎn)連線記錄以及它們的平安狀態(tài)評估結(jié)果。NPS供應(yīng)支持802.1XNAC政策執(zhí)行所需的全部服務(wù)。再者，NPS與安裝在企業(yè)DHCP服務(wù)器的TippingPointDHCPPlug-in通訊，利用端點(diǎn)的DHCP租約(lease)執(zhí)行訪問政策。通過DHCP政策執(zhí)行(DHCPenforcement)功能，可以修改運(yùn)用者的租約以限制名稱服務(wù)并設(shè)置靜態(tài)IP路徑至修復(fù)網(wǎng)站。TippingPointNACPolicyEnforcer(NPE)TippingPointNPE是一種具備即時分析實(shí)力的裝置(in-lineappliance)，依據(jù)運(yùn)用者和裝置標(biāo)準(zhǔn)供應(yīng)訪問限制。它允許網(wǎng)絡(luò)管理者依據(jù)運(yùn)用者身份識別和裝置類型設(shè)置訪問規(guī)則，而不會像傳統(tǒng)以端口為基礎(chǔ)(port-based)的網(wǎng)絡(luò)區(qū)段劃分方法受到地點(diǎn)限制。隨著越來越多行動裝置連接到網(wǎng)絡(luò)，以及企業(yè)員工流淌性的提高，網(wǎng)絡(luò)周界加速模糊化。一旦顧問、承包商和訪客等外界人員獲得內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限，企業(yè)即必需部署一套以身份識別為基礎(chǔ)的inline政策執(zhí)行工具，確保唯有合法運(yùn)用者才能訪問其獲得授權(quán)的資源。NACPolicyEnforcer和NACPolicyServer協(xié)同作業(yè)，它會收到有關(guān)任何新的網(wǎng)絡(luò)連接的最新政策，同時也會收到全部有關(guān)運(yùn)用者認(rèn)證狀態(tài)以剛好間和位置規(guī)則的變更信息。一臺單一NACPolicyEnforcer支持約500名運(yùn)用者，約500Mb/s的流量，以及802.1QVLAN中繼(Trunking)。NACPoliceServer(NPS策略服務(wù)器)：負(fù)責(zé)定制策略、認(rèn)證代理（radius，tacacs，ldap）、DHCP服務(wù)、WEB門戶NACPoliceEnforcer（NPE策略執(zhí)行器）：負(fù)責(zé)和NPS聯(lián)動，8021X認(rèn)證、HTTP重定向服務(wù)NACClient（客戶端）：移動終端、無線終端和主機(jī)部署方式NPE串聯(lián)在路由器和交換機(jī)的中間，而NPS旁路就近連接在二層交換機(jī)的內(nèi)側(cè)。工作流程如下客戶端發(fā)送接入懇求到交換機(jī)交換機(jī)將懇求轉(zhuǎn)發(fā)到NPE，NPE將懇求內(nèi)容發(fā)送NPS進(jìn)行處理（地理位置、IP、用戶信息、MAC地址等）NPS將懇求通過預(yù)先設(shè)定的認(rèn)證方式進(jìn)行處理，依據(jù)返回的A/V對來推斷是否用戶身份合法假如用戶身份合法，則讓其通過。反之進(jìn)行隔離。部署方式IPS+NAC當(dāng)客戶端接入后再次下載了病毒進(jìn)行網(wǎng)絡(luò)攻擊，IPS可以進(jìn)行網(wǎng)關(guān)攔截IPS將源地址進(jìn)行隔離，并且通過SMS通知NPSNPS通過配置交換機(jī)，將該客戶端隔離出VLAN削減網(wǎng)絡(luò)平安弱點(diǎn)讓未授權(quán)運(yùn)用者和裝置遠(yuǎn)離網(wǎng)絡(luò)在一個TippingPointNAC環(huán)境內(nèi)，每一臺裝置及其運(yùn)用者都必需接受嚴(yán)格的認(rèn)證、授權(quán)、以及平安狀態(tài)遵循方面的檢查。未授權(quán)運(yùn)用者不得訪問網(wǎng)絡(luò)，而未通過檢查的裝置則依據(jù)發(fā)覺的平安弱點(diǎn)而引導(dǎo)其進(jìn)行修補(bǔ)，然后才能授予其訪問權(quán)。這些措施讓IT管理人員能夠分級管控訪問特定網(wǎng)絡(luò)資源的運(yùn)用者和裝置。依照任務(wù)、裝置類別、狀態(tài)、地點(diǎn)和時段限制訪問針對個別運(yùn)用者、裝置或運(yùn)用者與裝置群組定義訪問政策。這些政策讓管理者可以依照端點(diǎn)狀態(tài)、地點(diǎn)和時段實(shí)施訪問限制。多重訪問限制方法-包括802.1X、DHCP和In-LineBlocking一臺單一的TippingPointNACPolicyServer可以利用多種政策執(zhí)行整個網(wǎng)絡(luò)的訪問管理，包括802.1X和DHCP認(rèn)證、TippingPointNACPolicyEnforcer的in-line政策執(zhí)行、以及這些方法的隨意組合。連線前與連線后端點(diǎn)監(jiān)控，降低惡意軟件攻擊風(fēng)險TippingPointNAC解決方案供應(yīng)連線前與連線后之端點(diǎn)狀態(tài)監(jiān)控，預(yù)防惡意軟件侵入網(wǎng)絡(luò)。任何未遵循政策的裝置，將依據(jù)發(fā)覺的平安弱點(diǎn)而引導(dǎo)，從而對其進(jìn)行修補(bǔ)，通過檢測后才授予訪問權(quán)。IPS整合確保全部數(shù)據(jù)流與內(nèi)容都接受連線后檢測TippingPointNAC將與TippingPoint入侵防衛(wèi)系統(tǒng)IntrusionPreventionSystemIPS)實(shí)現(xiàn)互操作，確保阻斷每一端點(diǎn)的全部惡意流量，而可疑或未遵循政策的流量將會觸發(fā)其他政策限制操作，包括阻斷、隔離檢查、預(yù)警或流量管制。結(jié)合NAC與in-lineIPS的分層式平安措施，為平安人員供應(yīng)前所未有的管控實(shí)力，能夠自動對全部運(yùn)用者、裝置、流量和內(nèi)容執(zhí)行網(wǎng)絡(luò)訪問與平安政策管控。降低NAC配置成本與困難性彈性部署方案簡化配置與擴(kuò)充程序TippingPointNAC解決方案供應(yīng)彈性，幫助將網(wǎng)絡(luò)訪問限制部署到各種各樣的組態(tài)內(nèi)，因此企業(yè)組織可以從小規(guī)模部署著手，先簡潔地部署到高風(fēng)險區(qū)段或者商務(wù)關(guān)鍵性較低的區(qū)段，然后逐步擴(kuò)充。單一、基于Web的管理限制臺單一、基于Web的管理限制臺，幫助管理者輕易管理整個NAC解決方案，而不論采行何種認(rèn)證與政策執(zhí)行選項(xiàng)。一臺單一的TippingPointNACPolicyServer可管理多達(dá)10,000端點(diǎn)。簡易的政策創(chuàng)建和管理NACPolicyServer管理限制臺供應(yīng)一個特別直觀且簡潔運(yùn)用的管理界面，幫助建立新訪問政策和持續(xù)管理現(xiàn)有的政策。這有助于將政策創(chuàng)建時間縮減至最小，并且加速解決方案的整體部署時間。減輕IT人員的訪客設(shè)置負(fù)荷配置才智型的client-less訪客訪問權(quán)，以及建立、分組和限制多階層訪客，例如承包商、行動員工和現(xiàn)場訪客，而無需變更現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。設(shè)置訪客端點(diǎn)修補(bǔ)，減輕后續(xù)IT負(fù)荷與成本。具體預(yù)警加速問題辨識與解除馬上的問題通告結(jié)合具體的drill-down深化分析報表，節(jié)約IT人員辨識和解除問題所需的時間，例如多名運(yùn)用者認(rèn)證失敗、不明裝置嘗試訪問或系統(tǒng)健康問題等。對現(xiàn)有運(yùn)用者而言具有透通性而無需升級網(wǎng)絡(luò)無縫ActiveDirectoryWindows登錄以及支持Mac和LinuxTippingPointNAC解決方案支持無縫Windows(2000、XP和Vista)ActiveDirectory登錄。該解決方案也完全兼容Macintosh(10.x)和Linux操作系統(tǒng)，幫助企業(yè)組織確保裝置政策遵循。狀態(tài)政策遵循(posturecompliance)檢測功能將檢查操作系統(tǒng)類別、補(bǔ)丁和熱補(bǔ)丁，確認(rèn)后才授予訪問權(quán)。支持?jǐn)?shù)百種防毒、反間諜和個人防火墻軟件套件TippingPointNAC解決方案供應(yīng)涵蓋數(shù)百種防毒、反間諜和個人防火墻軟件套件的狀態(tài)評估檢查功能。這項(xiàng)內(nèi)置的狀態(tài)政策遵循檢測功能將檢查：對運(yùn)用者透通的短暫性用戶端狀態(tài)檢測代理程序用戶端狀態(tài)政策遵循檢測通過基于Web的限制臺管理，而且可以運(yùn)用永久性(persistent)或短暫性(dissolvable)的狀態(tài)檢查客戶軟件執(zhí)行。再者，狀態(tài)檢查可設(shè)置成僅要求連線前檢查或者包括連線前與連線后檢查。連線后的狀態(tài)遵循檢查間隔時間完全可以自由設(shè)置。無需升級網(wǎng)絡(luò)由于TippingPointNAC解決方案與現(xiàn)有的認(rèn)證數(shù)據(jù)庫整合，并且運(yùn)用現(xiàn)有的網(wǎng)絡(luò)政策執(zhí)行服務(wù)，包括802.1X和DHCP，因此不須要進(jìn)行昂貴的網(wǎng)絡(luò)升級。整合RADIUS、ActiveDirectory和LDAP認(rèn)證服務(wù)運(yùn)用者訪問權(quán)是通過與現(xiàn)有運(yùn)用者書目服務(wù)整合管控，包括ActiveDirectory、LDAP和RADIUS，或者整合RADIUS服務(wù)器的本地創(chuàng)建用戶(TippingPointNACPolicyServer之內(nèi))。NACPolicyServer能夠和現(xiàn)有或新部署的書目基礎(chǔ)設(shè)施協(xié)同作業(yè)，包括RADIUS、LDAP和ActiveDirectory，而不須要變更現(xiàn)有書目。再者，它可以支持多重可延長認(rèn)證協(xié)定(EAP)類型和802.1X用戶端，以利用802.1X當(dāng)成一種認(rèn)證和政策執(zhí)行方法。Layer3網(wǎng)絡(luò)透通性TippingPointNACPolicyEnforcer在網(wǎng)絡(luò)上當(dāng)成一個Layer2橋接器，且通常部署在網(wǎng)絡(luò)核心。NACPolicyEnforcer在Layer2作業(yè)，對于Layer3網(wǎng)絡(luò)而言具有透通性，因此并不須要變更您現(xiàn)有的Layer3基礎(chǔ)設(shè)施或IP地址配置。改善透亮度以及網(wǎng)絡(luò)的運(yùn)用與訪問報告快速掃描全部聯(lián)網(wǎng)裝置的現(xiàn)在和歷史活動與狀態(tài)TippingPointNACPolicyServer通過集中化的、基于Web的限制臺供應(yīng)先進(jìn)的報表實(shí)力，讓網(wǎng)絡(luò)管理人員能夠快速掃描現(xiàn)在或曾經(jīng)連接網(wǎng)絡(luò)的全部裝置的活動與狀態(tài)。報表可用于即時系統(tǒng)分析、歷史分析、政策遵循稽核以及系統(tǒng)故障解除等。系統(tǒng)儀表板(dashboard)顯示現(xiàn)在的系統(tǒng)狀態(tài)，包括已知的連接數(shù)、簡要?dú)v史認(rèn)證圖表以及已知連接裝置的當(dāng)前狀態(tài)。Dashboard包含一組圖表，供應(yīng)有關(guān)NACPolicyServer各項(xiàng)組件的狀態(tài)速覽。其他報表包括：·依照MAC地址、IP地址和運(yùn)用者名稱區(qū)分網(wǎng)絡(luò)連接，以及裝置的狀態(tài)評估。·即時監(jiān)控、顯示和記錄全部運(yùn)用者、會話、應(yīng)用程序與服務(wù)?！ぜ磿r追蹤全部運(yùn)用者活動、權(quán)限、狀態(tài)與位置。·個別或整體裝置狀態(tài)的具體信息。維護(hù)運(yùn)用者與裝置訪問稽核記錄以簡化政策遵循管理NACPolicyServer維護(hù)一個完整的運(yùn)用者與裝置訪問稽核追蹤記錄，以簡化內(nèi)部平安政策稽核程序和外界法規(guī)遵循管理。以身份識別為基礎(chǔ)的政策管理· NACPolicyServer采納基于Web的管理限制臺，以及通過SSHv2訪問的吩咐列介面(CLI)·以運(yùn)用者角色任務(wù)為基礎(chǔ)的訪問限制·整合外部運(yùn)用者書目—RADIUS、ActiveDirectory與LDAP· NACPolicyServer支持多達(dá)10,000運(yùn)用者·黑名單、白名單和例外·將特定運(yùn)用者關(guān)聯(lián)到特定MAC地址·依據(jù)MAC地址允許或拒絕訪問· inline政策執(zhí)行，依照Layer3和4定義訪問規(guī)則，支持通配符(wildcard)和范圍端點(diǎn)狀態(tài)檢查·永久性和短暫性的用戶端狀態(tài)代理程序·可配置的連接后狀態(tài)檢查間隔時間·終端運(yùn)用者自我修復(fù)·兼容Windows2000、XP、Vista、MacOSX和Linux·無縫ActiveDirectoryWindows登錄·支持?jǐn)?shù)百種防毒、反間諜軟件和個人防火墻軟件套件·狀態(tài)更新服務(wù)支持＂setandforget＂政策建立訪問政策執(zhí)行·多重執(zhí)行選項(xiàng)，包括802.1X、DHCP、in-lineblocking，以及這些方法的隨意組合·支持多重可延長認(rèn)證協(xié)定(EAP)類別和802.1X認(rèn)證·可定制化的captiveloginWebportal· HTTP重導(dǎo)(重導(dǎo)流量至captiveloginWebportal)· In-line政策執(zhí)行設(shè)備——支持500名以上的并行運(yùn)用者· NACPolicyEnforcer協(xié)議包括：-802.1Dbridging-802.1Dspanningtree-802.1QVLANtrunking/translation-802.1Xport-authentication-802.310Base-T-802.3u100Base-TX-