应用准入网关

信锐应用准入网关从内部终端访问互联网或企业关键应用的权限控制入手,结合网络版杀毒软件、内网桌面管理软件、非法外联客户端,通过终端实名认证、聊天工具帐号/邮件发送帐号审计、BBS发贴控制、智能网络流量控制、网络应用协议过滤、URL网址过滤、IPSEC/SSL?VPN远程接入认证、防火墙策略等安全措施,对接入网络的终端按需实施灵活的安全策略,并严格控制内网用户的网络使用行为,解决

信锐应用准入网关从内部终端访问互联网或企业关键应用的权限控制入手,结合网络版杀毒软件、内网桌面管理软件、非法外联客户端,通过终端实名认证、聊天工具帐号/邮件发送帐号审计、BBS发贴控制、智能网络流量控制、网络应用协议过滤、URL网址过滤、IPSEC/SSL VPN远程接入认证、防火墙策略等安全措施,对接入网络的终端按需实施灵活的安全策略,并严格控制内网用户的网络使用行为,解决终端的随意接入、内部资源滥用或误用、经营数据泄漏,以及病毒泛滥等安全问题。

企业网络准入系统

应用准入模块

应用准入模块通过网页自动重定向,对不合规的终端,进行个性化的友好提示,发送执行合规管理的客户端软件,真正实现了最终用户“自助式”的客户端部署,不仅大幅度减少系统维护人员的工作量,也极大减少用户的厌烦和抵触行为,有效增强了最终用户在内网合规管理系统实施中的积极性,促进内网合规更快获得良好收效。

与应用准入模块联动的客户端,可以是网络版杀毒软件,也可以是内网桌面管理软件或非法外联检测客户端,它们对接入主机做特定的检查:操作系统补丁是否打齐?终端软硬件环境是否符合企业网络接入规范?是否存在非法外联行为?并向应用准入网关发送不同的准入消息,由应用准入网关给出不同的安全解决方案的下载链接。

1. 可分网段分步实施应用准入控制;

2. 对特定的接入主机可不做应用准入控制;

3. 对特定的应用服务器的访问可不做应用准入控制;

4. 可定义终端入网后指定的时间段后再做应用准入控制;

5. 可定义终端准入控制检测周期时间;

 

应用场景

与杀毒软件联动

  部署方式:网桥或路由方式,杀毒软件服务器可以放置在内网或网桥出口位置;

广泛支持:无需做二次开发即可实现联动,支持360企业版(免费)、金山(免费)、卡巴斯基、瑞星、NOD32、趋势、赛门铁克等网络版杀毒软件;

联动过程:接入终端无需安装任何插件或客户端,由准入网关通过协议识别的方式,自动判断接入终端是否安装了相应的杀毒软件,并可友好的引导安装;

用户价值:杀毒软件实现了全网自动强制安装,大大减轻了网管人员的工作量;利用杀毒软件的网管扩展功能(操作系统补丁管理、软硬件资产管理、软件分发、流量监控),将安全管理延伸至终端。

与内网桌面管理软件联动

  部署方式:网桥或路由方式,内网桌面管理服务器放置在内网任意位置;

  联动过程:由准入网关通过协议识别的方式或内网桌面管理客户端通过联动方式,自动判断接入终端是否安装了内网桌面管理客户端,并可友好的引导安装;

  深入联动:内网桌面管理客户端可智能判断终端的安全状况,并可通告准入网关,再由应用准入网关强制引导进行安全修补;

  用户价值:通过与专业的内网桌面管理软件的联动,强化对接入终端的桌面应用控制(屏幕监控、聊天监控、文件操作监控、软硬件资产变化监控等)。ernet

终端非法外联监测

  部署方式:应用准入网关以网桥方式部署在内网与关键服务器/政务外网之间;

  工作原理:由应用准入网关强制接入终端安装非法外联监测客户端;非法外联监测客户端可智能判断内网终端是否与外网相联,并通知应用准入网关,由应用准入网关立即阻断其访问关键服务器/政务外网的数据连接,并实时地向管理员报警;

  审计日志:详细记录了外联主机IP地址、MAC地址、用户名、主机名、外联发生事件等;

  用户价值:有效地解决了终端因非法外联行为,造成政务内网关键信息的泄漏。

 

实名认证模块

用户价值:通过对关键服务器访问的实名认证,有效地防止外来的终端对内部重要文件资源恶意获取;通过对上网的实名认证,有效地控制员工上网权限,并日志对应到人。

  日志对应到人:实名认证模块可实现即便是无线网络DHCP环境、IP地址不固定的情况,终端访问日志、流量日志也能对应到人;

  多因素的组合认证:可对实名用户定义有效期、限定MAC地址、及部门属性,可导入导出实名用户列表;

  灵活的实名登陆策略:支持自定义WEB认证网页;对特权主机可排除不做实名认证;对特定的应用服务器的访问可不做实名认证。

 

智能流量控制模块

用户价值:通过对上网终端的连接数及上网流量的智能管理解决非工作应用严重占用企业出口带宽现象。

清晰呈现当前网络流量信息图表、实时掌握网络的资源占用情况,准确了解带宽占用较大的用户和应用;对各类带宽资源占用大的P2P下载和多媒体应用进行精确识别,并限制其对带宽的滥用;保障关键业务数据传输质量不受其它无关应用的干扰;同网段用户根据当前在线用户数量平均分配带宽资源,避免网段带宽资源被个别用户独占。

客户端连接数控制;

针对单个IP地址/IP地址段主机设置带宽;

根据当前在线用户数量,智能动态分配各客户端的流量;

当有多余带宽,允许突破限制,充分利用带宽;

可指定应用协议数据流量不做流量控制;

实时显示各客户端连接数、收发包量、速率、累计流量。

 

网络应用协议过滤模块

用户价值:通过对网络应用协议阻断、网址黑名单过滤等技术手段,减少终端用户在上班时间做与工作无关的事情。

实时查看、分析用户网络行为,通盘掌握网络使用情况;通过对网游、聊天、视频、炒股等与工作无关的互联网应用加以识别并封堵,提升员工工作效率,保障有效业务应用;对于炒股、聊天等应用,可以通过限制用户使用时长、时段的方式,减轻用户的抵触情绪,体现人性化管理思路。

只有许可的QQ/MSN帐号才能在内网登陆;

只有许可的邮件帐号才能在内网发送邮件;

可禁止接入终端在BBS上发贴或上传文件;

支持域名关键字黑白名单过滤,;

可限制P2P软件(BT、电驴等)数据流量;

封堵游戏、远程控制软件、VOIP等非法软件;

所有应用协议封堵均支持时间段,支持例外用户策略;

支持封堵的应用协议自动升级。

 

IPSEC/SSL VPN远程访问模块

用户价值:外网移动终端可通过安全、快速的SSL VPN访问公司的ERPCRMOA,杜绝了简单对外映射服务器端口产生的安全隐患。

  简单易用的应用发布系统:针对不同VPN用户有不同的内部应用访问权限;

  VPN访问应用加速功能:通过内置的智能加速技术,大大提高ERP等大数据量应用的访问速度;

  线路自动跳转加速功能:可以智能选择电信、网通、铁通等线路,让电信用户访问电信线路,网通用户访问网通线路;

  多种身份认证方式:远程用户除可使用用户名、密码验证外,还支持用户名密码+USB Key、用户名密码+客户端PC硬件绑定、用户名密码+数字证书等多种双因子认证方式,企业可根据不同用户角色来选择各种认证,多种组合可搭配选择,以此实现数据的安全访问;

  VPN客户端广泛的适用性:支持http-connect,socks4socks5代理上网环境;VPN客户端端口可自定义,适用于只开放80端口的网络环境;

 

防火墙功能模块

用户价值:图形化的防火墙策略定制界面,简单易用。灵活的智能路由、多链路负载均衡功能,充分利用了外网带宽。独创的WEB跳转功能解决了跨ISP运营商发布网络应用,访问

速度慢的问题。

  图形化管理:操作界面充分利用面向对象的特性,使用户直接拖拽鼠标即可完成复杂的防火墙策略定制;

  多外网链路负载均衡:最高支持三条外网线路接入,智能实现带宽聚合、线路备份、负载均衡。支持电信、联通、教育网的智能策略路由,实现电信流量走电信、联通流量走联通,可免费升级智能路由策略库;

  灵活的应用发布:支持全地址映射功能;支持连续端口映射

  WEB跳转功能:根据网站访问者IP来源(电信、网通、铁通、移动教育)网关自动将其访问的域名跳转到对应域名;

  支持多动态域名互为备份功能:适合于ADSL无固定外网IP地址环境;

  ARP病毒防御:可采用内网PPPoE拨号上网,彻底化解ARP欺骗;通过自动扫描IP/MAC列表,实现双向绑定,防范ARP病毒;可防御内网PC与网关IP地址冲突。

 

日志分析

用户价值:通过日志分析,实时详尽的了解终端当前的安全状态。

  日志分析系统:实时显示外网线路总流量、上网流量的协议分布、网关的CPU内存占用、各接口地址状态、在线的实名用户名称、安全准入IP地址、ARP事件、SSL VPN在线用户列表、内网主机实时上下行流量。

日志数据可直接存储到SQL SERVER/MYSQL数据库,方便与第三方系统联动;支持发送至第三方SYSLOG服务器。

1)简易部署,系统更稳定。

结合802.1xRADIUS AAA认证技术的旁路部署方式,支持hub和二层交换机等老旧设备,新旧网络易于升级改造扩展,无需改变企业原有网络部署,认证后数据无需再经过准入服务器,系统更稳定。

 

2)友好集成、安全认证

提供Portal认证、终端认证、白名单免认证、接口认证等多种认证方式,支持ADLDAPHTTP等第三方认证,为企业内部办公网络建立第一道安全防线。

 

3)多样化安全检测、人性化修复管理

提供操作系统漏洞检测、软件检测、主机安全检测、网络防护检测等细粒度终端安全检测策略,严格规范入网终端,并提供快速修复操作,确保进入企业内部网络的终端都能达到安全检测的要求。

 

4)网络可视化、IP可视化

网络拓扑智能绘制,网络设备信息直观展示,查看终端、用户、IPMac等信息;支持通过矩阵图显示IP使用状态,包含:在线IP、离线IPIP闲置占用情况等。

 

5)安全报告实时审计,企业网络安全状况一览无余。

实时上报终端入网时间、安全扫描结果、排行统计、IP使用记录等,按部门、用户查看违规状况,网络安全管理高效简单。

 

6)系统管理三权分立,权责分明。

系统权限细粒化,不同职责不同权限,避免误操作,操作内容实时审计,管理简单安全。

 

7)兼容性强,可拓展

检测接口与信护宝DLP兼容,利于企业后期信息安全建设规划。