功能介绍
|
终端准入控制
首页>>产品功能>>终端准入控制
神盾终端准入模块可对非法接入的终端进行管理审查,防止未经安全认证的终端接入内网,访问内网或者外网资源。
终端准入设置:启用准入的终端可以进行访问互联网,进行安全设置和准入的白名单。
全网准入 用户价值:在不改变现有网络架构基础上,以无客户端的形式实现内网终端强制身份认证。 1 免客户端实名认证 ※ Web界面强制认证,兼容任何终端类型(PC、笔记本、智能手机)和操作系统(WINDOWS、LINUX、UNIX) 2 可以与AD域/企业管理系统帐号无缝整合 ※ 可以与AD域或企业内部管理系统共享登陆帐号库,实现统一身份认证。 3 兼容现有网络,支持各种设备和方法的准入控制 ※ 支持现有各种网络设备(802.1X交换机、可网管交换机、普通交换机、无线路由)的接入控制。支持802.1x接入控制、DHCP接入控制和SNMP接入控制。 ※ 支持对非法接入终端直接关闭其连接的交换机端口。 4 不改变网络结构的准入控制 ※ 旁路部署,可跨VLAN、跨路由部署与管理。
动态的“网络隔离” 用户价值:根据用户帐号,按人、按部门划分虚拟子网或VLAN,控制用户访问权限。 1 兼容802.1x和非802.1x网络 ※ 在普通二层交换机环境,将不同的终端按部门划入不同“虚拟子网”。 ※ 支持CISCO VMPS 服务,动态设置接入终端的VLAN, u 访客自动进入隔离VLAN。 ※ 支持SNMP扫描与SNMP TRAP服务,动态设置接入终端的VLAN,访客自动进入隔离VLAN。 2 支持移动办公 ※ 当终端和人员变动办公位置后,依然可以被置于相同的虚拟子网或VLAN。 u 按人、按部门划分“虚拟子网” ※ 动态地按人、按部门、分配IP,IP网段及VLAN,并可设置“虚拟子网”之间的访问控制策略。 ※ 支持针对不同终端个性化设置:一个MAC地址对应多个IP、入网时间段、是否需要实名认证、是否需要安装桌面软件。
IP集中管控、日志到人 用户价值:监控由DHCP分配的IP地址所在交换机端口位置,便于对网络审计进行追踪管理 1 固定IP,中心下发,统一管理 ※ 对固定IP实行中心下发的管理方式,可以防止用户私改IP私设IP。 2 动态IP,定位到人 ※ 在动态IP环境下,可随时定位到人。对每个人不同时间获得的IP进行审计。 3 定位终端接入网络的物理位置 ※ 图形化显示交换机所有端口使用状况,如:有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户帐号等 ※ 定位IP接入网络的交换机及端口。 4 系统日志支持第三方数据库 ※ 可将系统日志直接转储到第三方数据库中,支持微软SQLSERVER、MYSQL、POSTGRESQL、ORACLE。支持标准的SYSLOG日志服务器。支持声音报警、邮件报警。
员工 / 访客区别对待 用户价值:为访客提供不受物理位置限制、不影响内网安全的接入机制 1 随时随地登录 ※ 外来访客或临时工作者不受物理位置的限制,可以从任意端口接入来宾访客网。但其访问权限被严格控制。 2 内部员工准入 ※ 内部 “员工”,经过实名认证或桌面准入认证后,自动划入员工对应部门专网。 3 访客入网隔离 ※ 外来“访客”,自动划入访客专网,同企业内网逻辑隔离访客隔离网权限控制 ※ 安全设备根据访客网段IP地址设立单独的访问权限,如:只能访问Internet、只能收发邮件等。
私改IP地址的监控 用户价值:监控IP地址使用状况,杜绝私改IP的行为,防止IP地址冲突 1 自动收集终端信息 ※ 自动收集网内IP-MAC地址等网络信息,无需人工添加 2 IP地址使用监控 ※ 实时监测所有固定地址和动态分配地址使用状态。 3 及时阻断非法终端 ※ 发现私改IP行为立即予以阻断,不影响其他终端设备正常使用。 4 非法行为记录 ※ 记录非法操作用户ID、IP地址、MAC信息和时间,方便追查。
与神盾内网安全软件整合 用户价值:实现符合企业网络管理规范的终端设备,才允许接入网络 1 强制推行 ※ 终端首次接入网络时,强制下载神盾内网桌面管理软件客户端或第三方主机健康检查插件(360安全卫士、各类杀毒软件客户端)。 2 入网扫描 ※ 只有安装了规定的安全软件, 终端才能接入办公内网。 3 安全隔离 ※ 对不合规终端放入隔离区,禁止与办公内网通讯。 4 正式准入 ※ 完全符合要求的终端才能入网 |