產品用途
ACK 實名制準入控制硬體 IDNac是採用自主研發的ID準入控制技術,真正旁路接入網路,分步部署和專業的應急恢復機制,對網路的邊界實現發現和防護,能夠在不改變網路結構、不安裝客戶端的情況下,全面兼容各種老舊交換機和各廠家交換機,對各種複雜網路實現準入控制。
IDNac支持對網路上的設備進行指紋識別,防止偽造設備非法入網。
IDNac在實現準入控制的基礎上,採用ACK網路邊界探測技術,對全網的網路邊界各接入點實現自動探測和防護,加強了網路的可視性和可控性。
研發理念
許多企業的網路常常是一片混亂。病毒、木馬肆意橫行,非法終端隨意入網,區域網路DDOS常常導致網路癱瘓。凡此種種,皆源於內部網路缺乏規範管理。
為推動內部網路的規範管理,各國政府都紛紛推出管理法規。如:我國的《信息安全等級保護》(簡稱:等保),美國的薩班斯法。
ACK從我國“等保”出發,參考各國相關法規,提出了一套區域網路規範管理解決方案,幫助企業借鑑國際經驗,滿足“等保”的要求。
由於辦公區域網路管理混亂,各種安全問題頻出,ACK早在2007年就創立了一套以準入控制為基礎的實名制ID網路管理技術。ACK以此技術為基礎,在以人為本的管理理念下,研發出一系列區域網路規範管理產品,並提出了一整套區域網路規範管理解決方案。
當前區域網路安全的問題
安全威脅:
防不勝防的病毒和木馬
難以捉摸的區域網路DDOS攻擊
層出不窮的系統漏洞
無處不在的無線安全隱患
輕而易舉的繞開防火牆訪問
管理難題:
任何人和終端隨意進入網路
IP使用失控,私改冒用IP屢禁不止
員工私裝軟體、開啟危險服務
主機和設備維護缺乏監管
產品特點
全網邊界可視
如何界定網路的邊界一直是困擾企業的一個難題。管理和技術人員很難確切回答如下問題:
■ 網線最終連到了什麼地方?
■交換機連線埠是否關閉?
■網路威脅如何定位?
IDNac能夠在各種網路環境下,對網路邊界進行監測和標識,使網管人員能夠隨時洞察接入網路的終端和設備,猶如黑夜中打開探照燈,將可視範圍從網際網路出口和交換機連線埠延伸至全網終端和設備。
IDNac 網路邊界自動發現技術自動收集全網MAC和交換機MAC表,綜合VLAN/IP/Mac/Port等信息界定網路邊界。
IDNac實施偵聽全網的廣播信息,實時發現非法終端和設備入侵,一旦有終端和設備接入網路,就會被IDNac發現,並通過一系列的匹配原則 出非法終端和設備。
“全兼容”準入控制
IDNac集成現有主流準入控制技術,並且首創ID準入控制技術。該技術全面兼容不同廠家、 不同年代的交換機和HUB,實現對各種網路的準入控制。
五大準入控制技術同時套用
IDNac的ID準入控制技術支持802.1x、DHCP、ARP、SNMP、網關準入控制技術,這些可以同時套用,避免更換交換機。
兼容老舊交換機和HUB
IDNac兼容802.1x交換機、非802.1x交換機、HUB等複雜的異構網路環境,同時實現交換機連線埠準入和IP三層準入。
對比項目 | IDNac | 802.1x | 網關 |
802.1x交換機 | √ | √ | - |
非802.1x交換機 | √ | X | - |
HUB | √ | X | - |
用戶準入 | √ | √ | √ |
終端準入 | √ | √ | √ |
設備準入 | √ | X | X |
部署方式 | 旁路 | 線上 | 線上 |
故障影響 | 新終端入網 | 新終端入網 | 所有終端 |
準入控制點 | 全網 | 802.1x端 | 三層網關 |
兼容不同廠家的交換機
IDNac兼容所有品牌的交換機,而交換機廠商的準入控制方案只支持本廠家的交換機設備,不支持其他廠家的交換機。
無客戶端準入控制
傳統準入控制方案要求安裝客戶端,IDNac支持WEB Portal 認證技術,免客戶端和外掛程式安裝,用戶僅僅通過瀏覽器即可完成用戶認證。
非網關型全網準入
IDNac旁路部署在核心交換機上,不改變網路結構,網路數據不經過IDNac。IDNac是將控制點精準到區域網路的每一個接入點,從而實現了全網準入控制。
設備指紋識別
大多數準入控制方案無法避免非法人員仿冒網路印表機等設備入網,從而繞過網路準入控制。IDNac獨創網路“設備指紋”概念。它使用“設備指紋”對印表機、生產等設備進行標識和認證,將仿冒者“拒之門外”。
ID網路技術
IDNac採用ID網路技術,能夠對接入網路的終端ID(CID:Computer ID)、設備ID(DID:Device ID)及使用的ID(UID:User ID)實現精準定位和標識。並在此基礎上,實現了:
■ 全網ID集中管理,區域網路和VPN統一賬戶管理;
■ 按人、部門、角色進行管理;
■ 按部門、角色控制WiFi接入;
■ 用戶入網實名審計;
全網IP位址管理(IPAM)
IDNac內置IPAM模組,能夠對全網實現統一IP管理。IPAM 模組實時收集全網的IP和MAC地址,面臨遠程網路時,IDNac管理IDSensor實時收集IP和MAC地址並進行核准,防止非法盜用IP位址。
固定IP,中心下發
IDNac內置高性能的DHCP模組,可以對指定的人或終端下發固定IP,真正實現IP位址的可管和可控。
IPAM 入侵防護
IPAM能夠阻止非法終端進入區域網路。不同於軟體ARP攻擊,IPAM對非法終端接入採取的是硬體點對點攻擊方法,解決軟體ARP造成用戶網路癱瘓的問題。
雲安全防護
雲計算和虛擬化給用戶帶來了可觀的效益,節省大量成本,但將伺服器遷移至傳統信息安全邊界之外,擴大了網路犯罪者的活動範圍。IDNac雲安全技術支持雲計算安全要求的動態分區、分域,進行二次強認證以及強化用戶認證級別的要求。
IDNAC部署方式
IDNAC旁路接入核心交換機或匯聚層交換機上,支持全網範圍內的分散式部署。IDNac可以實現雙擊熱備(HA),7x24小時跨VLAN對整個交換網路實時監測,防止非法終端或設備接入網路內部。IDNac可管理ACK IDSensor鷹眼系列,完美支持遠端分支機構。
產品優勢
1.兼容舊有網路,改動少,成本低,風險小
2.基於WEB認證,支持無客戶端接入控制,使用簡單,容易部署
3.實現多種準入控制方案混合部署,最大限度地兼容各種複雜網路環境
4.彌補802.1x認證漏洞,實現全網接入控制,支持HUB、傻瓜交換機
5.兼容各類桌面軟體、防病毒軟體、補丁軟體
6.實現IP位址實名化,動態分配網路許可權,合理劃分安全域,切實實現移動辦公並與日誌分析類產品配合,實現實名審計
7.統一管理用戶帳戶、終端、網路設備、IP位址
8.靈活多樣的部署方式,基本不改變原有網路結構,高效、可靠。
9. 穩定可靠 支持HA雙機熱備,保證網路的不間斷運行
10.
主要功能
完全自主國內品牌,符合國家政策(等保)要求,並有眾多案例供參考
實名準入控制
兼容老舊各種網路設備,不需要交換機支持802.1x協定、HUB也支持;
支持六種準入控制技術(802.1x/EoU/DHCP/ARP/SNMP準入控制技術)
強大的用戶管理、支持VPN接入控制、無線接入控制;
LDAP/CA/Radius/AD認證/動態令牌/靜態密碼
免客戶端、免外掛程式、不依賴與網路設備、不改變網路結構
10分鐘部署,旁路接入,不改變網路結構的準入控制;
使用設備:IDNac, IDWall
終端健康檢查
規範區域網路終端和伺服器的健康檢查、違規隔離,合規準入
終端核查、防硬體篡改
能夠檢查終端網卡的唯一性、禁止Proxy代理;
強制安全隔離
強制外掛程式安裝
進程黑白名單、違規強制退網
安全修復嚮導
設備指紋識別—ACK獨有不安裝外掛程式的主機健康檢查技術
使用設備:IDNac, IDWall
實名制IP位址管理
規範區域網路IP管理,符合“等保”要求,安全強制分區、分域
■ 按ID分配IP
■ 固定IP,中心下發
■ 動態劃分安全域:根據ID,按人、按部門劃分子網或VLAN,控制訪問許可權,限制危險擴散範圍
■ 非法IP、MAC監測、報警和阻斷
■ IP位址的實名管理、統計和審計
■ 根除ARP病毒、禁止修改IP位址
■ 非法IP的阻塞
■ IP/MAC實時監視,免除IP/MAC綁定之苦;
使用設備:IDNac, IDWall
來賓訪客網
為訪客提供不受物理位置限制、不影響區域網路安全的接入機制
■ 訪客網與辦公網隔離
■ 利用現有網路,不改變網路配置
■ 訪客入網,不受物理位置限制
■ 可要求內部員工授權入網政策
■ 訪客網許可權控制
■ 入網審計
使用設備:IDNac
網路威脅定位
支持對人、終端和IP的網路接入位置的定位
■ IP精準定位到人、到交換機連線埠
■ 私接Hub、傻交換機,精確定位
■ 異常終端定位
■ 區域網路、外網、保密網互聯互通定位
■ 增加可視性
使用設備:IDNac
防非法外聯、保邊界完整
對區域網路的所有終端、設備進行規範管理和掃描,防止非法設備和IP網路入侵
■ 分散式、全網邊界監控
■ 設備指紋識別
■ 實現內、外網隔離,內、外網聯通報警
■ 防止私接路由器、HUB、傻交換機等
■ 防止3G網卡、WiFi代理的非法外聯
使用設備:IDNac, IDAgent
網路訪問控制
規範區域網路訪問,控制人員網路訪問許可權
■ 網路接入許可權控制
■ 專門設計,保護區域網路核心資源
■ 對穿越訪問,進行終端健康檢查
■ 專門設計,對下級單位和外部訪問進行終端健康檢查
■ 支持“靜默認證”技術,避免重複認證
■ 支持“自動提升認證強度”技術,保證重要服務的認證強度
■ ACL下發和聯動
■ 支持按用戶、按安全域定義訪問控制策略
■ 專門設計,防止區域網路大頻寬的網路病毒攻擊
使用設備:IDWall, IDNac
高性能日誌存儲和審計
滿足等保要求,長期、海量日誌存儲,集中日誌搜尋和審計
■ 高性能日誌收集
■ 海量日誌存儲
■ 實名日誌搜尋和審計
■ 實名日誌報表
■ 滿足等保要求
使用設備:IDLog
網路運維管理
■ 維持設備單點登錄
■ 隔離運維網路和其他網路
■ 運維設備集中管理
■ 規範運維人員操作許可權
■ 運維操作實名審計
使用設備:IDGuard
高可用性
ACK專業HA技術,支持各種網路結構下的不間斷網路準入服務
■ 雙機熱備(HA)
■ 分散式部署,互為災備
■ 應急逃生
■ 分級、分權管理
■ 各種網路環境的管理
使用設備:IDMonitor
典型客戶
國家電網公司
國家電網公司河北省分公司
國家電網天津市分公司
中國國電電力集團
國電電力華北分公司
四川省電力公司資陽電力
四川省電力公司樂山電力
中國財政部
國家電力監督管理委員會
山東省青島市政府
山東海事局
天津郵政總局
浙江司法廳
進出口檢驗檢疫局
中國有色金屬研究院
華北電力科學研究院
建設銀行北京研發中心
工程兵指揮學院
中國中醫科學院廣安門醫院
徐州工程兵指揮學院
京能集團京玉電廠
粵電靖海發電廠
平海電廠
北京太陽宮燃氣熱電廠
廣州粵點集團連州發電廠
韶關電廠
韶關冶煉廠
望峰崗煤礦
淮南潘一煤礦
潘北煤礦
京能集團
淮南礦業集團
中山華帝
松下電器
佛山海天
中電普華
佳士科技
四川藝朗
北京億陽信通股份有限公司
四川電信
成都電信
內蒙古聯通
河北聯通
廣東移動梅州分公司
茂名移動
瀘州電信
顧北煤礦
新莊孜煤礦
顧橋煤礦