返回
sygate网络准入控制方案

sygate网络准入控制方案

ID:1641059

大小:538.00 KB

页数:11页

时间:2017-11-12

sygate网络准入控制方案_第1页
sygate网络准入控制方案_第2页
sygate网络准入控制方案_第3页
sygate网络准入控制方案_第4页
sygate网络准入控制方案_第5页
资源描述:

《sygate网络准入控制方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、SYGATE网络准入控制方案-II-目录1.SYGATE网络准入控制概况11.1Sygate相关背景资料11.2导言12.SYGATE网络准入控制方案22.1边界准入控制32.1.1远程接入权限32.1.2互联网访问权限42.1.3域名解析权限42.1.4支持的VPN列表42.2接入层准入控制52.2.1LanEnforcer与802.1x交换机配合工作的说明52.2.2LANEnforcer结合域来做准入控制62.2.3支持的交换机厂商列表62.3Web应用准入控制72.4本地准入控制73.结论—SYGAT

2、E持续不间断网络9-II-1.Sygate网络准入控制概况1.1Sygate相关背景资料SYGATE是“可信赖计算组织”(TRUSTEDCOMPUTINGGROUP,TCG)的核心成员,致力于发展、定义和促进开放标准的计算机安全技术,以保护网络、节点、应用和信息的安全。TCG在基础设施工作组下面专门成立了一个可信任网络连接子组,该子组负责开发可信赖网络连接(TrustedNetworkConnect)的新标准。这项新标准将保护网络免受病毒、蠕虫、拒绝服务等攻击,允许用户加强安全策略,阻止易受攻击的系统连接。1

3、.2导言企业的网络与业务系统以及办公系统连接的越来越紧密,但是网络的安全状况却越来越令人堪忧。今天几乎所有病毒基于网络来主动传播,系统漏洞成为传播的最有力方式,它们与网络入侵、黑客技术进一步融合,少数病毒直接以瘫痪和拥堵网络为目的,更有甚者目标直指企业的核心敏感信息。传统的病毒解决方案只能治标不能治本、特征库更新滞后、与快速型病毒对抗时速度处于下风……,等等弊端不一而足。面对新的形势,传统的病毒方案已是力不从心,颓势尽显。从另一个角度来看,服务器和桌面系统不遵循企业安全策略的并不在少数,去定位,隔离和修复这些

4、系统意味着需要消耗大量的人力资源和时间。更无奈的是,即使下大力气梳理,没有好的技术手段来保障,过一段时间以后这些问题又会重新浮现。SYGATE的网络准入控制技术正是在这样的时局下应运而生,以主动防护技术为基石,为网络和终端建立了一套多维,多层次的立体防护体系。-9-2.SYGATE网络准入控制方案网络准入控制最大的挑战在于网络环境的复杂性,主要归结为以下几方面:²终端用户的多样性—雇员、客户、供应商和合作伙伴²终端设备的多样性—公司自有设备,家中的PC,第三方人员笔记本²终端接入方式的多样性—有线、无线、虚拟

5、私有网(VPN)和拨号所以SYGATE运用了四种准入控制技术来应对。每种技术可单独工作,也可配合使用。整个准入控制体系见下图:网络准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络,或者规范用户接入网络的行为,从而铲除网络威胁的源头,避免事后处理的高额成本。网络准入控制策略可以简单一分为三,即检查策略、接入策略和修复策略:检查策略–根据进程、文件、注册表等设置的检查结果来判断:用户身份是否合法主机防火墙是否安装并运行防病毒软件是否安装并运行,病毒特征库是否及时更新主机入侵检测系统是否运行、及时更新操作系

6、统关键安全补丁是否安装-9-操作系统安全配置是否妥当是否感染特定病毒实体……接入策略–根据上述检查结果,SYGATE强制服务器和网络设备以及SYGATE客户端联动来决定:拒绝终端/用户接入容许终端/用户接入隔离终端/用户(单机隔离,VLAN隔离)限制终端/用户访问权限应用程序,远程主机,时间,协议类型,端口互联网访问权限远程接入权限域名解析权限Web应用连接权限(website,webmail,webOA,webCRM,webERPetc)修复策略–在隔离或限制接入的情况下,还可以通过自动修复来换回正常的网络

7、访问权限。修复的内容包括:自动开启IE,连接内部安全网站上相关的提示页面自动分发病毒专杀工具自动升级病毒特征库自动分发操作系统关键补丁自动纠正错误的系统配置……2.1边界准入控制2.1.1远程接入权限边界准入通常用来控制使用VPN和RAS拨号的远程用户。实际上这些远程用户游离于企业周边防火墙的保护之外,经常暴露在宾馆,网吧,咖啡厅等公共网络之中,它们所面临的安全风险最大。病毒一旦攻陷远程用户主机,就会以客户机为跳板,进入企业网络,从而给企业生产和办公带来灾难性的损失。边界准入控制拓扑图如下:-9-SYGATE

8、强制服务器(GatewayEnforcer)以内连(inline)的方式站在VPN网关和企业网络之间,它能够验证远程用户主机上是否运行了SYGATE客户端软件,并且要求SYGATE客户端提交该远程主机的安全检查报告,当用户没有运行SYGATE客户端,或者安全检查结果不达标的时候,认证强制网关能够阻止用户访问企业内部网络,但提供用户恢复其安全的绿色通路。2.1.2互联网访问权限GatewayEnfor

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。