网络攻击的第一步是进入网络。前置风险管控尤为重要,需做到“违规不入网,入网必合规”,故接入控制成为守好内网安全的第一道门,是政企组织网络安全防御体系建设的刚需产品。近年来,随着数字化、智能化的深入发展,用户组织网络中的终端种类数量愈加庞杂,业务开放性持续推进。面对日趋严重的病毒、木马、黑客、恶意软件等攻击,安全风险也变得更加复杂。与之相应的,用户对网络接入控制的需求不断深入和细化,用户需要更加多样性的接入控制技术、更高效的安全检查和修复、更灵活的运维管理、更全面的国产化适配等能力。基于此,万里红新一代网络接入控制系统(NAC)全新升级,提供接入感知、资产发现、访客管理、认证授权、合规检查、隔离修复、访问控制、入网追溯“一站式”的整体接入防护,实现人员、终端、网络资产的可管、可控、可视、可靠。
01、用户痛点:安全管控“三个难”
▷“门” 难关,非法接入难控
1、私搭乱建:下级管理员未按规划进行网络建设,私自扩建网段;
2、边界不明,网中网泛滥:用户通过NAT手段扩展网络边界、隐藏私网,增加网络入侵风险;
3、违规外联,一机两用:用户通过双网卡、手机共享WIFI等方式使得隔离环境中的设备具备互联网连接能力。
※ 风险:私有设备带病毒接入,私网绕过安全检查、设备非法外联。
▷ 资产难清,安全运维难高效
1、类型多样化:设备类型多样化、操作系统多样化,管理员缺乏有效的设备信息采集管理途径;
2、资产理不清:IT资产变化频繁,无法及时更新台账系统导致资产数据与实际情况往往存在较大偏差;
3、上线/离线感知弱:单位对关键设备的在线率考核/对网内终端设备上线—离线的审计 ,感知弱,缺乏可视化手段。
※ 风险:设备不清晰,缺乏有效的设备采集管理界面。
▷ 进“门”不查 ,终端中毒难控
1、安全标准难落地:指定的软件不安装,版本不升级,使用技术手段阻止软件运行;
2、补丁未安装:未及时更新病毒库版本、未及时安装漏洞补丁;
3、系统配置不安全:开放高危端口、配置弱口令、开启Guest账号等风险配置增加终端入侵风险。
※ 风险:无有效手段规范入网设备,病毒、木马等容易通过不合规主机内网扩散。
02、核心功能:实现“四个清”
1、捋清流程:多技术组合, 规范入网流程
万里红NAC全新升级了接入技术的多样性,支持802.1x、MAB、MVG、ARP、DHCP、端口镜像、策略路由、透明网桥等接入技术,能够适应有限网络、无线网络、远程网络等多种网络接入方式,实现一体化、流程化、标准化的统一控制管理。
2、验清身份: 实现人员身份合法化
● 以身份为中心:根据不同身份进行资源访问权限的划分。
● 权随人动:不管在什么设备登录,权限不变;不管在哪个位置登录,权限不变。
● 方便追溯:全面的认证审计,可进行快速追溯。
● 访客管理:支持访客进行自注册、访客码、二维码等方式进行身份认证。
3、查清终端: 保障终端安全接入
万里红NAC具备30+项安全检查,可按需调用;兼容windows2000/xp/7/10,安装包小巧,峰值内存占用小,最大化保障终端安全接入。
● 杀毒软件检查:检查终端是否安装杀毒软件,并对杀毒软件的运行情况、病毒库以及版本进行检查并修复。
● 系统漏洞检查:对终端进行系统漏洞检查,并可进行补丁修复。系统作为补丁服务器,按照补丁类型进行可选性修复。
● 开放危险端口检查:检查终端是否开放危险端口,违规终端可直接进行自动修复,关掉危险端口。
● 私接设备检查:自动识别私接设备,展示私接位置,透视下联终端。
● 违规外联阻断:通过底层访问协议驱动控制快速阻断违规外联,准确定位违规外联物理位置、网络位置、触发人员,违规进程全展现。
4、理清资产:全网监管无盲区
接触即识别,系统涵盖6000余种类型精准分类,资产台账清晰可查,同时可智能采集所有终端的制造商、操作系统、网络信息、系统配置、安全态势等信息,实现全网资产监管无盲区。
03、更多亮点:升级安全智能新体验
● 安全可靠:采用安全操作系统及专用硬件平台,使产品在稳定的同时更加安全可靠。
● 完善的来宾管理:系统提供灵活的来宾认证管理,确保网络安全的同时方便来宾接入,简化流程。
● 卫星式安全透视:系统提供了一个全网安全管理和展示的平台,能够对全网拓扑进行展示。
● 国产化终端安全管理:支持多种国产化终端的准入安全管理。
● 灵活全面的权限管理:对于各种不同用户的访问授权管理,系统结合了角色、安全域、来宾等概念进行了完善灵活的管理,确保了授权的颗粒度足够精细,有效的确保了访问的安全。
● 终端集中管理:支持设备采用叠加的方式进行系统容量扩展,即采用两台设备形成一个设备组,负载容量可提升一倍。
● 满足用户多场景部署:网络环境依赖小,不改变用户网络架构,支持单机部署、热备部署、集群部署、负载均衡部署、探针方式部署、扁平化部署等方式,满足用户多场景部署需求。
(来源:万里红)
