华为NAC安全解决方案是华为公司结合自身长期安全管理经验开发出来,并长期应用实践的一套全面的终端安全管理系统。该系统通过对终端用户进行身份认证和安全策略检查的双重认证检查,阻断非法终端,隔离并修复不安全终端;对进入企业网络后的终端进行行为监控和审计,使终端安全得到有效保障,防范不安全终端给企业安全内网带来的安全威胁;同时提供资产管理功能,协助企业管理者实现软硬件终端资产可控可管,防止资产和信息外泄。构筑在检查、隔离、加固、管理的安全模型之上的NAC安全解决方案为企业提供持续的内网终端安全管理和保护。
方案概述
华为的NAC安全解决方案以“只有合法的用户、安全的终端才可以接入网络”为主导思想,提供以“用户认证、安全检查、修复升级”为基础的一体化终端安全防护功能。可帮助企业构建一个安全网络,保证企业业务的正常开展和进行。
华为NAC安全解决方案的主要功能包括:
1、接入控制
NAC方案提供全面的有线无线一体化接入控制方案,支持MAC、802.1x、Portal和SACG等等多种认证方式,接入用户可通过安全客户端、Web、Webagent进行认证,系统可基于帐号、网络区域等灵活控制接入用户的网络访问权限;
同时,NAC方案可实时监控网络设备的接入行为,自动发现并识别IP打印机、IP电话、服务器等非PC类接入设备,全面掌控企业网络;
2、安全检查和控制
NAC方案支持对用户接入终端的安全性进行检查,保证只有“健康的、安全的”终端方可接入网络。企业网络管理人员可以自定义企业网络安全规则和策略,比如终端必须安装启动防病毒软件、病毒库必须是最新的,终端系统不得安装违规软件,必须安装系统补丁等等;
3、系统修复与升级
如果系统存在安全隐患,华为NAC方案提供了系统自动和手动的修复升级功能。支持与WSUS(Windows Server Update Services)的联动,可自动下载和升级系统补丁;提供与指定的企业版防病毒软件的强联动,触发病毒库的更新等;
4、行为管理
提供全面的用户行为管理功能,对用户使用网络和计算机资源的行为进行管控,包括USB设备监控、非法外联管理、进程与服务监控、ARP防护等;
5、桌面运维管理
提供全方位的桌面运维管理功能,包括资产管理、软件分发、补丁管理、远程协助等,协助管理员集中管理维护全网终端。
系统组成
| 项目 | 组件说明 |
| TMC | 软件,TSM服务器组件之一,分级式部署时作为上级的管理中心,订制总体的安全策略、补丁及软件分发任务等,下发给各个管理节点的TSM服务器,并对下级各管理节点的TSM服务器的运行状态进行实时监控。 |
| SM | 软件,TSM服务器组件之一,是TSM系统的管理核心,提供各种业务功能管理,包括资产管理、软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等;采用B/S架构,管理员可通过WEB界面进行管理; |
| SC | 软件,TSM服务器组件之一,是TSM系统里管理策略的实施者,SC根据SM配置的数据对SA进行管理,SM决定如何做,SC协调各部件进行实施;当用户通过SA认证后,SC控制网络准入控制设备(如交换机、防火墙、wlan设备等)开放用户访问权限; |
| SA | 软件,安装在终端主机上,协助用户进行网络准入认证,并实时收集终端的安全状况上报服务器;SA对终端资源占用和系统消耗小,CPU占用率一般为 2%以内, 最大内存占用30M; |
| NAD | 网络准入控制设备,与TSM服务器进行联动,控制终端的网络访问权限,向不同身份、不同安全状态的终端用户开放不同的访问权限;网络准入控制设备可采用华为X3/X7系列交换机、AR系列路由器、USG/Eudemon系列防火墙、WS系列Wlan设备以及其他主流交换机产品,可针对不同的网络接入场景选择相应的联动设备。 |
发表评论