Forescout ConterACT 安全理念:
1、实时网络发现,全网覆盖
部署快速简单,无需改变当前网络架构,通过与交换机联动,以及本身的扫描引擎快速发现连入网络的网络设备,且无需安装客户端软件做到对终端透明,且勿须采取任何措施。
自动发现任何网络设备,包括普通计算机终端,外来设备,打印机,VoIP设备,WiFi,等
无缝嵌入现有网络架构,紧密结合公司内部现有的目录结构,包括microsoft AD,Sun Java System Directory, IBM Lotus Notes等
2、内至网络IPS
采用无签名库主动响应的机制,采用特有的“trap”技术,积极阻挡间谍软件,监测欺骗攻击和其他隐藏风险,且不不依赖于任何 *** 作系统,避免了零日攻击的风险,为企业提供更深层的安全防护同时不需要管理员维护更新。
3、无需登陆 基于角色访问
Forescout能否精确定位网络设备和用户的角色和身份(如域成员, 认证帐户),快速分析当前用户状态以及策略的分析,比如公司员工: 基于角色访问;合作伙伴: 受限的访问;来宾访问等。采用各种灵活的访问控制方式:包括VLAN隔离,Virtual Firewall,端口组塞,等。
4、强制端点安全和修复
为企业用户量身打造安全策略,检查所有的终端是否符合相关安全要求(如检查 *** 作系统,防病毒模块,应用程序,防火墙,注册表等),审核员工,合作伙伴,以及来宾访问,采用透明修复的方式,将中断用户工作可能性降到最低,如存在风险,提示用户或直接采取相应补救措施。
5、强大的报告和监视功能
用户可预先定义或者自定义报告的方式,实时监测事件对象,预先定义好的事件模块单元,如PCI, SOX, HIPPA, FISMA 等,以图形的方式呈现给管理员
ForeScout NAC 深层防御
1网络访问控制: 单独的设备和用户认证
2基于角色的访问: 严格控制用户访问(即使在同一局域网内)
3>
二是高可靠性,确保业务连续性 用户一旦建成网络准入控制系统后,就意味着所有终端每天进入网络,都依赖于这套网络准入控制系统的解决方案。建议用户根据自身网络规模和网络重要性,进行合理的选择。
三配套服务完善,响应及时 建设网络准入控制项目不同于部署网关型的产品,只部署在一点,需要进行改动时,仅仅对其一点进行改动就可以了。而网络准入控制系统的部署关系到网络中的每一台终端、每一个使用者,缺乏部署经验,盲目的进行部署,势必造成大范围的问题。因此要建设好网络准入控制的项目,一定需要有一个相关项目经验丰富,具有良好风险管理的专业技术服务团队支撑。像南京阳途的话就比较好 ,从事相关行业好多年了,不仅专业、售后还有保障。
a NAC系统组件
网络准入控制主要组件有:
。终端安全检查软件
。网络接入设备(接入交换机和无线访问点)
。 策略/AAA服务器
终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证。当前更倾向于采用轻量级或可溶解的客户端。以降低终端的部署和使用压力。
网络接入设备 — 实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。
b NAC系统基本工作原理
当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、***等)进行交互通讯。然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后, 策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)