终端准入控制系统(NAC)
终端准入控制系统是天擎终端安全管理系统中的一个子系统,主要为企事业单位解决核心业务访问准入、入网安全合规性要求,实现用户和设备的网络实名制认证管理、网络边界接入安全防护、终端接入发现和定位、接入的追溯和审计等管理问题,保护企业网络资源不受非法设备接入所引起的各种威胁,在有效管理用户和终端接入网络行为的同时,也达到规范管理计算机终端的目的。
【产品功能】
核心资源访问准入控制
“注册/认证→入网”、“安装天擎→入网”、“注册/认证→安装天擎→入网”,三种灵活方式满足企业不同的入网需求。
网络边界端口级准入控制
通过标准802.1x协议,在网络接入层做准入认证,根据认证授权情况确定是否能访问网络,可联动入网合规性检查,根据检查结果下发网络访问权限。802.1x认证可提供端口级的强准入认证方案,并支持认证授权、安全检查、隔离修复、访问控制 “一站式”的全流程入网准入管理,使内部终端接入管理变得安全、可控、透明。
安全检查项目
可检查防火墙是否启用、系统空密码、U盘是否开自动启动、远程桌面是否开启、文件共享是否开启、Guest账号是否开启、IE代理是否开启、IP获取方式、是否登录域、服务黑白名单、进程黑白名单、软件黑白名单、杀毒软件、外联访问能力、 补丁及补丁完整性、注册表、注册表关键值是否存在、关键位置文件、指定路径文件存在性、操作系统等。
访客注册申请
支持访客入网全流程管理,支持访客用户注册申请、访客认证、用户审批流程,经管理员审批或系统自动审批后才能认证入网,审批结果可邮件通知用户。
第三方认证源联动
提供多种认证源认证方式,支持本地用户、AD认证、LDAP认证、E-mail认证、HTTP认证、第三方Radius认证,适应用户不同网络环境,满足用户集中管理统一认证的入网需求。
安全管理与访问控制
利用动态检测技术和安全策略管理,可针对接入用户和终端进行网络访问控制功能。
认证绑定管理
支持多种条件绑定认证,即用户、终端、交换机、VLAN、交换机端口、时间等进行组合绑定认证,提高认证入网的安全性。
动态在线会话
支持认证用户在线状态详情查看,让管理员可以实时掌握用户或终端接入网络使用情况,并支持用户违规强制下线和锁定功能,确保具有安全隐患的接入用户和终端对网络不造成影响。
强制隔离
正常的802.1x认证成功后,如果认证会话没有过期网络会持续可用。产品专有的认证客户端可以实时接收认证服务器的控制指令,管理员可以在任何时候强制在线的用户和终端下线、注销当前登录的网络,确保非正常情况下可对终端入网进行控制和处理。
例外设备管理
企业用户网络中存在大量的哑终端设备,如网络打印机、视频会议系统等设备,并分散在各地。 终端准入控制系统提供设备的白名单管理,添加到白名单的合法设备可以直接接入网络,反之非法设备不允许接入,此方式可适应于多种认证技术方式,如Portal和802.1x认证方式。
用户管理
除具有和多种第三方认证源联动认证外,还具有本地用户管理库系统,支持账号的有效期管理、可在线用户数量限制、用户认证后VLAN的动态切换、用户自注册和审批流程、密码重置等管理功能,并支持LDAP/AD服务器的组织架构和用户的导入和更新、用户和组织映射关系导入等。
主机身份识别
支持主机快速认证方式,提供开机即入网,认证过程后台执行,不影响用户日常习惯。其主机身份主要根据终端的MID标识符作为产生主机身份算法的因子,安全强度大于传统的MAC方式认证,可避免用户更改MAC地址来伪造其他主机身份绕过准入控制的缺陷。
接入和安检日志报表
支持详尽的接入认证和安全检查日志报表功能,可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计,并可形成报表查询和导出,管理员一目了然,管理员可通过数据全方位的追溯和分析终端接入和安全状态。
【产品亮点】
“一站式”管理
终端准入控制系统具备从终端发现、认证授权、安全检查、隔离修复、访问控制、安全评估等一站式安全准入控制功能,还可以和天擎终端安全管理系统其他子系统联动,如杀毒管理、桌面运维管理、安全审计、安全基线等子系统,组成完整的内网安全管理整体解决方案,避免用户二次投资,节约用户的信息安全管理和投入成本。
多种入网认证凭证
支持用户名密码、主机MID、MAC、快速认证应用准入等多种凭证认证方式,支持多条件绑定认证入网,兼容与AD、LDAP等集成认证, 设备预留开放接口可和其他具有接口的第三方厂商设备,如防火墙、Radius等服务器设备联动。
入网检查修复一条龙
支持30余项安全检查和修复行为,隔离不安全入网终端,进行引导式修复,修复成功以后才能入网,时刻保障客户的入网安全基准线,并提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展增值性。
网络环境适应性强
不升级改变网络,不造成单点故障,不影响网络性能,支持企业内部准入控制需求,使内部网络管理变得安全、透明、可控。产品采用旁路部署方式,不造成单点故障,支持单服务器多物理网络认证技术,支持有无客户端的认证,支持有线和无线的认证,兼容国内外大多数常用交换机,支持多种入网认证技术,兼容多种第三方认证源认证,内置Radius认证引擎、安全检查引擎、设备发现引擎,支持集中和分布式部署方式。
支持多种容灾方式
提供多个高速千兆端口、双冗余电源,支持光口扩展、NMC扩展,支持双机热备、一键交换机恢复、软Bypass、域认证缓冲、第三方认证源异常自动放行等多种逃生方式,确保准入系统或用户环境在各阶段、各环节有可能出现问题的地方都有逃生响应方案,确保非正常情况下不影响用户网络和业务系统的正常运行,可靠性高。
细粒化的访问控制
系统支持强大的访问控制功能,可基于下发动态VLAN、主机ACL、Ghost VLAN、自身策略化访问控制等多种访问控制机制实现用户和终端的接入认证访问权限管理,主机ACL可精细到通讯协议、IP地址、端口通讯、黑白名单等更加细化访问控制能力。
【使用场景】