您现在的位置:首页 > 产品中心
产品中心-准入控制系统(硬件)

产品简介

飞想内网准入管理系统系列产品是上海飞想信息科技有限公司针对网络管理自主研发的内网地址管理及主机安全准入系统。飞想内网准入管理系统2.0是内网准入管理系统系列的第二代产品,它契合国家保密局2006年颁布的国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》,以及ISO17799的国际标准,结合飞想科技多年来网络安全产品的研发和推广经验,是新一代内网准入管理系统的软硬件一体化产品,它针对内网运行管理的实际问题以及信息分级保护的要求,提供灵活和系统的解决方案。

详细功能描述

飞想终端准入控制系统集成了DHCP 准入控制、SNMP 准入控制、IP/MAC准入控制802.1X准入等多种技术于一体的终端准入控制系统。它采用旁路部署模式,不需要改变用户的网络结构;适用于所有的交换机环境(可管理/普通交换机)。它提出一套完整的内网规范管理的系统,实现了对内部网络的人、终端、IP、设备的统一规范管理,实现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求,同时有效地解决了目前各大企事业单位普遍存在的非法外联、无法保证网络边界完整、无法做到网络出口唯一、无法做到IP 地址中心下发、统一管控、无法做到内部网络实名制等一系列的问题。

产品有那些功能?

精细到人和终端的网络管理

n 固定IP,中心下发,统一管理

对固定IP实行中心下发的管理方式,可以防止用户私改IP、私设IP

n 动态IP,定位到人

在动态IP环境下,还随时定位到人。对每个人不同时候得到的IP进行审计。

n 定位人接入网络的位置

图形化显示交换机所有端口使用状况,如:有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户名等。定位IP接入网络的交换机及端口

来宾访客网

n 随时随地登录

外来访客或临时工作者不受物理位置的限制,可以从任意端口接入的来宾访客网。但其访问权限被严格控制。

n 内部员工准入

如果是企业员工,则进入主机健康检查和正常准入流程。

n 访客入网隔离

如果是访客,则划入访客专网,同企业内网逻辑隔离。

n 访客网权限控制

安全设备根据访客网段IP地址设立单独的访问权限,如:只能访问Internet、只能收发邮件等。

私改IP地址的监控

n 自动收集终端信息

部署时自动收集网内IP-MAC地址等网络信息。

n IP地址使用监控

实时监测所有固定地址和动态分配地址使用状态。

n 及时阻断非法终端

发现私改IP行为立即予以阻断,不影响其他终端设备正常使用。

n 非法行为记录

记录非法操作用户IDIP地址、MAC信息和时间,方便追查。

产品典型的应用范围

1、内网管理混乱的问题:防止随意接入笔记本

2、非法外联的问题

3、保证内、外网隔离的问题:防止内外网机器的网线乱插,病毒无法控制

4、保证网络边界完整的问题

5、防止私改网址,IP 网址无法可控的问题

6、核心系统安全保障的问题、防止IP冲突造成服务器不能访问

7、内网无法实名制的问题

8、保证终端设备合规性和安全性的问题

9、细粒度网络访问控制权限可实现的问题

10、无法支持移动办公的问题

11、与任意健康检查客户端结合,例如:主动强制安装桌面管理软件、杀毒软件

12、解决无线实名登陆 :防止恶意破解无线路由的密码,进入内网

产品有什么优势?
1、即插即用
2、不需要安装客户端
3、适用于任何网络环境,普通交换机都支持、不需要交换机支持802.1x
4、适用于无线网络环境
5、可与任意健康检查客户端结合,例如:主动强制安装桌面管理软件、杀毒软件
和行为管理产品有什么区别?
1、行为管理产品一般是串接在网络出口,对上网主机的上网行为做管理;终端准入是旁路部署模式,对进入内网的主机进行实名准入控制。二者实现的功能完全不同,不可相互替代,但可相互补充。
2、行为管理产品的IP/MAC绑定只针对上互联网的主机做过滤,并不能禁止其入内网;也不能对只使用内网的主机起作用。
一个网口可控制多个VLAN吗?

系统支持支持IEEE 802.1Q Trunk 协议从而管理多个VLAN,只需要在核心交换机设置连接准入网关的接口为TRUNK口,并在准入网关管理系统中添加需要被监控的VLAN即可。

没有核心交换机或不支持TRUNK的多网段网络怎么部署?

可用准入网关的不同的网口与不同的网段的交换机相连,来控制不同的网段。每台准入网关有4-5个网口,在这种情况下,就能控制4-5个网段。
我想对无线上网用户进行实名认证,怎么操作?
1、关闭无线路由的DHCP功能。
2、将无线路由LAN口接到内网相应网段的交换机上,WAN口不连网线,不做地址转换。
3、在准入网关DHCP服务配置中,为无线接入用户规划分配内网的IP地址
4、在准入网关管理系统中增加实名认证用户帐号
5、使用终端准入网关DHCP服务为无线用户实名认证后分配内网IP地址。
非法接入主机的判断条件有那些?
由以下条件组合而成:IP地址、MAC地址、组名、主机名、网段、是否通过实名认证,是否安装准入客户端。它们必须是同时与信任接点信息相同,才能入网。对于组名,主机名为空时,此条件不判断。
终端准入网关可以直接控制交换机吗?
飞想终端准入网关可以通过SNMP 协议了解终端连入的交换机端口位置,同时帮助网管人员直接阻断交换机端口,从而对终端实现阻断。
它不同于传统的网管软件, 终端准入网关将网络管理的范围从网络设备的管理延伸到接入网络的终端、终端的IP 和终端使用的人。使得网络人员能够更加全面地了解网络和网络使用的终端及其使用者。
如何统一管理局域网IP地址?
私改IP 的情况多发生于固定IP 的网络中。国内一些部门,为了能及时确定IP 的使用者,常常对每个人使用的终端指定IP 网址。但是由于缺乏静态IP、中心下发的技术,因此多采用在终端上设置并绑定IP 网址。
让每一各用户学会设置IP 网址是一件耗时耗力的事情。同时,一旦用户学会了如何设置IP 网址,就总会有用户因为各种各样的原因,自己私改IP 网址。
网管人员常常采用加装客户端软件,防止用户私改IP 网址。但是,病毒也是软件,病毒也能改变终端的IP 网址。同时,网管人员无法控制没有安装客户端软件的终端私设IP 后接入网络。
要想从根本上解决这一问题,只有采取静态IP、中心下发的策略。中心IP 下发可以通过DHCP 协议实现。其实,DHCP 协议只是一种中心下发的协议。与绑定终端与IP 网址并不矛盾。比较熟悉DHCP 服务器的人,就知道如何使用DHCP 对特定终端下发指定IP 网址。
由于,IP 可以经由网络接入设备下发给终端,网络接入设备就能够记录哪个IP 网址是由哪个端口分配出去的。进而可以对网络的边界进行控制和保护。在交换器上,这一功能被称作DHCP Snooping 功能和IP Source Guard 功能。DHCPSnooping 功能可以监察DHCP 协议,记录那些IP/MAC 地址对是经由哪个端口下发的。如果,从这个端口有不同的终端接入,那么交换器就会启动IP Source Guard 功能,阻断数据包上传。
所以,在设计网络准入控制平台时,应将DHCP 服务器集成进去。这样,有利于对网络的边界进行保护和控制,有利于对网址进行统一管理。
适合于哪些类型用户?
产品适用于政府、银行、军工、机房、涉密企事业,以及有对无线网络的用户进行管理的单位。

终端准入产品部署的典型拓朴结构

终端入网检查流程

我想通准入功能强制安装360等杀毒软件,怎么操作?
准入网关启用桌面准入后,终端在上网浏览网站时,系统将推送准入客户端下载网页,终端PC安装准入客户端后,它以后台服务的方式监控系统运行的进程列表,如果发现系统未运行360等杀毒软件,当终端再次上网浏览网站时,系统将推送360等杀毒软件客户端下载网页,直到终端运行了360杀毒软件,才允许其上网。

我如何通过终端准入系统了解当前IP地址分配情况?
在主界面分类树区,选择【网段】栏,在所有节点下选择网段(LAN1、LAN2、LAN3、LAN4)点击鼠标右键选择菜单【IP使用】,即可显示当前网段IP地址分配情况。用户可利用本列表,为新进网用户分配空闲IP地址。
动态分配:在节点定义中未分配的IP地址
静态分配:在节点定义中已经分配的IP地址