摘要: 冰之河网络准入控制特色功能 特色功能: 1.支持各类工作方式、易于部署 大部分实施准入控制的用户,网络已经建设的比较完善,因此部署的简便性、适应各类复杂的网络环境是衡量系统优劣的重要标准。冰之河准入控制网关支持串联和旁路等方式部署,能与Cisco、H3C、华为...
冰之河网络准入控制特色功能
特色功能:
1.支持各类工作方式、易于部署
大部分实施准入控制的用户,网络已经建设的比较完善,因此部署的简便性、适应各类复杂的网络环境是衡量系统优劣的重要标准。冰之河准入控制网关支持串联和旁路等方式部署,能与Cisco、H3C、华为等各类主流交换机联动。实施安装时,可根据用户的具体网络环境和实际需求,选择对现有网络环境影响最小的部署方式。
2.支持丰富的认证技术和认证方式
准入控制网关支持802.1x、EOU、portal、DHCP、VPN等多种认证技术。支持多种用户认证方式:帐号/口令、数字证书、USB KEY等,并且能与Windows AD、LDAP、Radius等第三方认证服务器联动。支持基于实名认证,审计和日志更加直观准确。
3.应用级的准入控制技术
冰之河准入控制安全网关可将控制粒度细化到应用级,根据准入检测结果,为不同用户动态分配相应的应用权限。
相对于基于IP权限控制的传统技术,具备更高的安全性。并能与应用系统完美整合。
4.与交换机结合的各类控制技术
? 802.1X控制技术 IEEE 802.1x协议关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。
802.1x的控制方式要求接入层交换机必须支持802.1x协议,而目前各品牌交换机对于802.1x具体的配置和实现细节各不相同,这就要求准入产品自身与交换机的兼容性很好。
冰之河准入控制网关可以很好的与主流交换机产品进行联动(包括Cisco、H3C、华为等)。
? EOU控制技术 EOU为cisco在802.1x基础上进行改进后的协议,在接入层交换机不支持802.1x通用协议的环境下,如果接入采用的是CISCO支持EoU协议的网络设备,即使接入层交换机或者AP不支持802.1x协议,依然可以通过基于EoU的网络准入控制验证计算机终端的安全策略、隔离不安全的终端。此控制方式适用内网汇聚层为cisco交换机的网络环境。
? PORTAL控制技术 Portal为H3C的私有协议,冰之河对Portal协议可以做到全面的支持。此控制方式适用内网为H3C交换机的网络环境。
5.策略路由控制技术
智能协议分析系统,服务识别准确快速。支持绝大部分常见互联网应用的协议分析和信息内容的数据还原,可以对动态端口变化的协议进行跟踪识别,可自动识别通过HTTP或SOCKS代理做跳板的数据包
6.访问控制
基于策略路由的控制技术通过在交换机上配置策略路由,把指定的数据包分流到准入控制网关上,从而实现各类控制功能。策略路由控制方式需要交换机相应功能配合。
7.DHCP控制技术
DHCP控制技术主要是通过二次DHCP地址分配来区分授权用户和非授权用户,并且对其进行相应的网络权限分配。
8.客户端可选装
每一套安全系统,安全性和易用性始终是一对矛盾。为每台终端设备安装客户端,会对准入控制网关的部署带来一定的工作量;但是客户端与网关的联动体系能带来更强的安全性;
冰之河准入控制网关可支持带客户端的部署,也可支持无客户端的部署,用户可根据自身要求和现有网络架构在安全和易用之间取得一个平衡点,选择最适合自己的准入控制解决方案。
9.客户端引导安装
用户访问受控网络时,网关可以通过浏览器引导用户安装客户端,省去了手工部署的步骤,方便实施和管理。
10.基于软硬件的各类逃生方案
逃生方案对于准入控制网关至关重要,尤其在串联部署时,准入系统的故障,不能使整个网络瘫痪,是大部分用户建设准入控制系统的原则和根本出发点。
冰之河准入控制网关支持基于软件和硬件的逃生方案。特有的“纯硬件转发”架构,实现串联部署下的逃生方案,即不论软件崩溃还是断电或者其他硬件故障,均能保证网络不中断。在旁路部署时,可利用交换机的准入协议或动态路由协议的特性,实现各类基于软件的逃生方案。
11.VPN介入的准入控制功能
冰之河准入控制网关自带Ipsec VPN和SSL VPN模块。针对VPN接入用户也可实现各项准入控制功能,把VPN技术和准入控制技术融合到了一起,用一台设备完美解决两个需求。
在SSL VPN接入或IpsecVPN互联时,依靠客户端+网关的联动体系,在SSL VPN接入用户或Ipsec对端用户访问本地资源时,可实现基于主机风险评估的准入控制,即只有符合准入策略的远程用户才能够访问相应的内网资源,否则根据策略采取相应隔离和阻断措施。
12.主机程序控制
准入控制网关能对主机程序控制使用。网关依靠主机客户端实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户单机程序的使用。准入控制网关内置了禁用进程、威胁进程等各类进程特征库,支持在线或离线升级。
13.非法外联
利用非法外联功能,能够解决用户通过诸如: ADSL拨号、3G拨号和WIFI等方式私自接到外网的行为,从而达到杜绝绕过边界防火墙或安全网关的行为。
14.虚拟VLAN
通过虚拟VLAN功能,可在局域网中划分逻辑VLAN,在不投入其他硬件设备的前提下,满足不同安全等级或不同组的用户进行逻辑隔离的需求。
可支持基于MAC(同网段)和基于IP(跨网段)两种方式下的虚拟VLAN控制 。
