IP/MAC准入管理系统的IP资源管理解决方案,不但提供“IP地址扫描”,并且提供 “IP和MAC地址控制” 。而且,不需要安装任何代理软件。
1.产品研发背景
随着全球信息化步伐的加快,计算机网络作为信息社会的基础设施已经渗透到社会的各个方面,与此同时,网络安全问题也日益突出。据美国安全软件公司Camelot和eWEEK电子杂志联合进行的一项调查显示,网络安全问题在很多情况下都是由“内部人士”而非外来黑客引起。
在电信、广电、政府机关、企事业单位中,内网主机准入管理普遍存在着如下问题:
难以监控外来计算机接入内网。办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,管理人员对此类情况难以判定并加以监视和控制。
IP地址使用存在一定混乱。如果没有严格的管理策略,员工随意设置IP地址,可能造成IP地址冲突,关键设备的工作异常。若出现恶意盗用、冒用IP地址以谋求非法利益,后果将更为严重。
各类网络基础信息搜集不全。信息管理中心对所管辖网络的用户和资源状况难以掌握,设备软硬件配置与变更也难以知晓,发生违规事件时很难及时将问题定位到具体用户。
服务器状态监控的工作量大。现代大型的网络规模中一般有多台服务器,其工作状态日显重要,而现在大多数网管对服务器的管理还处于被动状态,当发现服务器宕机时,企业已经蒙受巨大损失。
使用可管理交换机在端口上做IP/MAC绑定实现安全准入存在如下问题:1、管理员需要熟练掌握交换机设置命令 ;2、用户主机IP一旦绑定交换机端口,就不能在内网随意移动物理位置;3、管理员没有统一监控管理平台,只能使用Excel 表格手工管理统计IP/MAC 地址;4、管理员无法了解当前动态IP/MAC占用状态;5、Office 用户变更自己的IP地址,从而引起IP冲突,交换机不会报警;6、交换机不能实现多IP绑定一个MAC地址(虚拟机应用环境)
使用上网行为管理网关在网络出口处做IP/MAC绑定实现有限的安全准入功能,存在如下问题:1、只能限制客户端PC出外网时,必需是指定的IP/MAC地址;2、不能实现入网即准入;3、不能防止内网IP冲突;4、无法显示内网IP资源分配情况;5、无法与交换机联动,显示交换机状态,主动切断/开启交换机端口
使用内网管理软件限制用户修改IP/MAC实现IP地址管理存在如下问题:1、必须安装客户端后才能控制,如果是一些硬件设备(交换机、路由器、Linux、Unix主机),无法安装客户端;2、客户端与杀毒软件、操作系统有兼容性问题;3、如果接入PC不主动安装内网客户端,则无法控制;4、移动PC主机,如笔记本出外网,需要网络管理员在内网管理系统中手动解除IP地址改动限制;5、无法对DHCP环境做MAC地址准入管理
使用802.1X认证实现安全准入存在如下问题:1、必须安装802.1X客户端;2、安装配置较复杂,需熟练掌握的交换机配置命令;3、网络环境必需是可管理型交换机支持802.1x;4、对于既有可管理交换机又有非可管理二层交换机的混合环境,不能适用;5、对不同厂家交换机混合环境,不适用。
网络作为单位的基础通讯设施,初期建设后,确保网络正常连续的运转是网管的主要工作,但网络往往会因为终端使用或其它故障导致无法正常工作:
IP地址冲突
病毒攻击网关
设备故障
配置不当无法上网
交换机缺乏管理工具
突发不明原因
每次出现故障时,网管人员总是想尽一切办法解决故障,往往是既缺乏发现故障的有效工具,也缺乏解决故障的有效工具,解决网络故障变成一个极富挑战性的困难任务;更无法预知下一次故障在何时、因何原因而产生;这都为确保网络的正常通讯留下了伏笔,也为单位的正常工作带来了隐患。
2.宝界IP/MAC准入管理系统简介
宝界IP/MAC准入管理系统(英文名称:IP Manager),是在不安装任何客户端软件前提下的IP资源管理及安全准入的管理系统,它能有效地管理网络的IP/MAC 资源,自动收集局域网内的全部IP/MAC地址信息,自动阻止未经授权IP / MAC地址的设备接入到网络,防止来自外部的潜在攻击,防止用户与路由器、服务器等重要设备发生IP冲突,保护重要设备的IP,同时可控制超负荷通信量,提高运营网络稳定性和安全性
宝界IP/MAC准入管理系统在集中管理IP/MAC资源的同时,还能为企业网络提供安全的DHCP地址分配服务。
IP 冲突管理
网络瘫痪危险: IP地址冲突引起的网络和应用程序不能使用。
自动探测IP冲突,马上解决和预防IP冲突。
重要系统保护
服务器, 生产系统, 网络设备, VIP 电脑
任何使用IP-MAC 绑定的静态地址。
静态IP地址环境用户的理想选择
此功能是将MAC与IP地址绑定。
方便的MAC绑定: 自动探测MAC地址和图形用户界面绑定。
静态 IP 管理
IP/MAC 地址实时详细目录
对整网的实时 IP/MAC 状态更新
IP 使用情况, IP 变更, 新接入IP, MAC, IP 冲突,等.
IP 使用历史纪录
IP有效管理
可用 IP 地址控制
长时间未使用的IP 阻止
IP 变更控制
NetBios 名称变更
IP 空间保留
用户描述管理
导入& 导出用户数据
基于IP 的分组, 基于MAC 的分组
基于MAC/IP 的 NAC : Layer2/3 安全
提供简单的基于MAC/IP地址的网络接入控制。无需802.1X认证,
IP/MAC准入管理系统仍然是一种802.1X 的辅助解决方案。
L2 /L3 安全: 控制网络接入,基于MAC/IP 地址筛选
容易和简单的NAC: 手动/自动策略
单击鼠标 阻止IP / 阻止MAC
自动MAC/IP 扫描 & 根据策略自动注册
IP-MAC 绑定功能可以简单的实现交换机的MAC-端口绑定功能
IT 管理员不需要在交换机上手工绑定MAC-端口 :简单 & 便捷
3. 产品构成
1、准入网关
高性能一体化硬件设备
收集网络内的管理对象IP地址的数据包并将收集到的数据包信息传送给准入控制台
执行网络管理者设置的策略
根据策略产生的事件日志发送给准入控制台
支持IEEE 802.1Q Trunk 协议从而管理 VLAN
实时监控各VLAN广播域中接入主机PC;
支持DHCP Server功能
2、控制台
管理员和IP/MAC准入网关的用户接口
对收集的数据进行加工,并保存到数据库
支持一个准入网关的多个网络接口(多广播域)的控制
同一控制台可管理多个准入网关
执行IP/MAC网络管理策略
通过报表系统工具,分析网络当前状态及历史数据
3、数据库
数据存储、IP/MAC 地址表、策略、变更日志、IP 冲突、用户数据、事件日志。
支持 ACCESS、SQL SERVER 2000/2003/2005
4. 产品功能详述
4.1 IP/MAC 资源管理功能
网络资源自动收集功能
将所有连接在网络的IP资源(IP、 MAC、域名/组名、用户名、接入主机网卡类型、最近网络接入事件等)按照设置好的周期自动收集。
收集交换机信息及管理
通过收集在管理范围内的网络中注册的交换机的 SNMP的信息,可以实时收集交换机的状态信息,可以收集端口状态,并且可以自动/手动对指定的交换机端口进行阻止/解除管理。此功能在网络中主机发出有害数据包时,可以完全的阻止网络连接。
针对网络的有效地分组管理
在静态IP地址环境中可以基于IP地址进行分组管理,在动态IP地址环境中可以基于MAC地址管理IP使用情况和主机策略情况。
提供周期性的资源使用情况
网络临时连接终端或是为了短期使用了分配的IP地址,长时间没有连接网络在离线状态时,可以将其IP释放为可使用的IP地址进行管理,从而做到有效的IP资源管理。
4.2 强有力的阻止功能
阻止非授权的IP和MAC用户
对使用非授权的IP和MAC地址的用户进行自动或手动阻止,从而防止因非授权用户引起的网络故障.
引入网络实名来管理主机名称
收集IP用户的主机名(NetBIOSName),可以对各网络主机要求使用指定的正确的主机名,否则不能入网。
收集IP用户的域名/组名,可以对网络主机要求登陆域,否则不能入网。
IP地址冲突保护策略
使用MAC 绑定策略,对于只能使用特定IP地址的主机固定其IP地址(一个或多个IP),从而防止其他主机盗用其IP地址,并且可以避免因IP冲突而引起的网络故障。
4.3 对交换机的管理功能
交换机端口管理及控制功能
可以监控管理范围内的主机所连接的可管理型交换机的端口,并且可以自动收集和手动阻止 / 解除端口。当非法主机与合法网络设备发生IP冲突时,可以自动切断相应的交换机端口,从而防止网络故障。
5. 产品部署后效果
有效的中央管理系统
客户端,服务器架构可以让分散的网络集中管理,并且将过去手动管理的IP地址改变成为自动管理,可以迅速的更新业务的效率及减少管理费用等。
大规模分散环境可部署多台宝界IP/MAC准入网关
不需要购买PC端代理软件,只要将宝界IP/MAC准入网关安装在网络中就可以收集数据,并且执行策略。并且支持802.1q协议可以统合管理多个VLAN,是个经济有效的综合管理解决方案。
通过强有力的控制功能加强网络安全性
对使网络出现问题的用户进行IP/MAC控制策略,对重要网络设备或是用户之间的IP冲突等问题事前防范,减少网络故障发生原因,从而可以稳定的运行。
对非授权MAC及IP进行控制加强内部安全
基于用户的IP和MAC管理用户信息,从而控制非授权的IP地址或是未注册的私设及外部IP的地址的接入,从根源上阻止未授权的MAC 地址,加强了内部安全。
实时故障情况报告及报表功能
网络故障发生时,将实时的提供IP的事件及详细情况,并报告给管理员,保存在数据库中形成阻止及图表形式的报表提供给用户。
简单方便的产品安装及运营
宝界IP/MAC准入管理系统是无需变更现有的网络环境,可以很容易的安装及运营,考虑到用户的便利性和网络的互换性而设计的产品。
6. 产品部署拓朴
标签: IP准入, MAC准入控制, 准入控制, 宝界, 宝界准入, 宝界准入控制