中文
- 什么是全网行为管理
- 为什么需要全网行为管理系统
- 深信服全网行为管理
- 网络接入认证控制
- 为您推荐
什么是全网行为管理
全网行为管理设备的初代产品是上网行为管理设备,所谓的上网行为管理指的是在企业、学校及其他公共场所等网络环境中,通过技术手段对用户违规的上网行为进行管理,以达到维护网络安全、提高工作效率、保护企业利益等目的的一种网络管理方式。全网行为管理在上网行为管理的基础上,进行了功能扩展,管理的范围由上网行为的管理延伸至终端的管理以及办公业务和数据的管理,实现对全网终端、应用、数据和流量的可视可控,防范智能感知终端违规接入、敏感数据泄露、上网违规行为等内部风险,解决上网管控、终端准入管控和数据泄露管控的场景问题,实现“内部风险智能感知,全网行为可视可控”的一体化管控。
为什么需要全网行为管理系统
● 不明身份、不明终端入网造成内网安全风险剧增;
● 外来人员拿一根网线即可接入企业的内部网络,进行非法接入,给企业各业务系统带来风险;
● 未安装杀毒软件、安装不合规操作系统以及使用弱密码和不合规终端等接入网络,给内网环境带来极大的威胁,导致病毒在内网传播;
● 敏感数据及文件被随意外发,如个人隐私信息、企业机密信息、政务文件、红头文件等;
● 利用企业网络进行网络造谣、人身攻击,肆意外发各种不良信息,给企业造成极大损害,且被追究法律责任;
● 先进的加密、代理技术让非法“内容”容易绕过管控;
● 员工访问业务系统,出现操作失误或数据泄露时无法定责;
● 员工访问业务系统时,可能会存在一些恶意或无意的行为对业务系统造成危害,如大量下载数据、爬取所有数据、执行删除或清空等敏感操作
.......
全网行为管理是为解决这些问题而产生的,是保障企业网络安全、保护信息安全、提高员工工作效率的重要手段。全网行为管理通过综合管理用户上网行为,不仅保护了企业网络免受潜在威胁,也促进了更高效、更合规的工作环境。
深信服全网行为管理
深信服全网行为管理产品聚焦办公网安全威胁,提供多样化的身份认证、精细化的行为管控、全场景的违规行为管控,全面管控办公网用户身份安全,降低终端违规接入、上网违规行为、敏感数据泄露等内部风险,通过网端融合管控实现全网可视、可控,让办公更规范、更高效、更安全。
网络接入认证控制有哪些
- 802.1x认证(802.1x身份认证),又称为EAPOE(Extensible Authentication ProtocolOverEthernet,以太网可扩展认证协议)认证,其主要目的是解决局域网用户接入认证问题。
- Portal认证,指用户通过浏览器访问外网的时候,被全网行为管理设备的认证驱动重定向到Portal界面,只有当用户登录成功,在线信息保存在驱动中之后,数据报才会被驱动放通,实现认证控制。
- MAB认证,支持对哑终端进行放行,比如打印机、扫描仪等设备,可在入网失败用户中放行,需要交换机开启MAB属性。
不同的网络接入认证方案的实现原理不同,效果也不同,各有利弊,分别有其适用的场景。在公共场所的接入认证一般使用Portal认证,Portal认证不需要安装客户端。使用Web页面进行认证,操作方便,能够减少用户终端的维护工作量,便于运营。此外,还可以在Web页面上进行业务拓展,如广告展示、责任公告、企业宣传等。
对于严格管控内网接入的场景,一般推荐使用802.1x认证,在没有认证之前不能访问内网(包括二层网络也不能接入),即不能经过二层交换机,满足企业对内网的严格准入控制。对于哑终端或是自助终端,可以使用MAB认证,对于企业希望免认证直接上线的设备,也可以采用这种认证方式,实现全网终端方便快捷上线、简单安全入网。3种认证方式的对比情况如下,不同的认证方式适用于不同对象。
|
控制点 |
认证方式 |
适用场景 |
适用对象 |
|
二层接入控制 |
802.1x认证 |
(1)需要交换机配合,且需要安装客户端(实施较复杂) (2)未认证前同一个交换机下的PC之间不能互访,管控严格 |
员工 |
|
M A B 认 证 |
(1)需要交换机配合,不需要安装客户端(实施复杂度中等) (2)未认证前同一个交换机下的PC之间不能互访,管控严格 |
哑终端 自助终端 免认证设备 |
|
|
三层接入控制 |
Portal认证 |
(1)交换机对数据进行镜像操作即可, 一般只有核心交换机对三层 交换机支持,不需要安装客户端(实施简单) (2)可支持多种认证方式,如密码认证、AD域认证、短信认证、 微信认证、单点登录认证等 (3)控制点在三层核心交换机上,未认证前,不能上互联网、不能 访问业务系统;但核心交换机下面的二层交换机PC之间可以互访 |
员工 访客 哑终端(绑定MAC地 址,做免认证) |
|
认证方式 |
内容描述 |
说明 |
|
本地认证 |
用户名/密码认证、IP/MAC/IP-MAC地址绑 定,支持绑定短信和微信快捷认证 |
基于设备本地数据库中的用户进行网络接入认证,设备对于本地用户具备全生命周期管理权限 |
|
第三方认证 |
LDAP、RADIUS、POP3、Proxy、数据库等 |
基于第三方的数据库或者统一认证平台进行网络接入认证, 一般设备仅同步用户基本信息,不同步密码信息 |
|
短信认证 |
通过接收短信获取验证码,快速认证 |
设备与短信网关或者短信猫等进行结合,通过短信验证码的方式,实现网络接入认证 |
|
O A 认 证 |
通过OA认证协议对接,支持钉钉、企业微信等第三方账号授权认证 |
通过标准的认证对接协议与设备进行对接,调用第三方用户认证平台,实现网络接入认证 |
|
会议室二维码认证 |
提供二维码和会议号,用户扫码或输入会议号认证上网,支持通过验证手机号码实名认证 |
通过二维码扫码功能,实现快速网络接入认证 |
|
访客二维码认证 |
接待人员扫描访客手机上的二维码,备注信息后访客即可通过认证 |
通过使用已经认证过的设备,对访问二维码进行授权操作,实现快速网络接入认证 |
|
双因素认证 |
USB-Key认证 |
通过用户名/密码认证同时结合硬件Key认证,在二次认证的条件下,完成增强性身份验证,实现网络接入认证 |
|
单点登录 |
AD域、POP3、Proxy、Web和第三方系统等 |
通过结合第三方用户认证平台,确保在用户处于一些特定情况下,实现网络接入免认证方式的单点登录认证,本质是认证信息的同步和信任。对于单点登录失败的用户,则使用其他认证方式进行验证 |
|
强制认证 |
强制指定IP地址段的用户必须使用单点登录 |
要求仅允许使用单点登录,不允许使用其他认证方 式实现上线 |
|
802.1x认证 |
交换机端口授权的认证方式,能够在认证通过之前有效阻止PC的TCP和UDP报文,实现二层的强管控 |
基于标准的802.1x协议,实现入网接入认证,在二 层接入环境下即进行校验 |
|
M A B 认 证 |
基于802.1x,支持哑终端通过MAC地址认证的方式接入网络 |
基于标准的802.1x协议,依靠MAC地址信息,实 现哑终端设备的认证 |
|
C A 认 证 |
支持基于802.1x的外部CA(证书颁发机构)认证,同时支持在线证书状态协议(OCSP)查询 |
基于标准的802.1x协议,结合CA体系,进行认证 |
