20190眾銳于的參考學習-認證計費

企業(yè)零感知·辦公信息安全解決方案報告人：崔旭宇日期:2018/12/26與場景親密接觸做方案創(chuàng)新專家客戶需求場景描述01一個個真實的故事解決方案描述02中大企業(yè)/政府/公共安全/金融等行業(yè)尖刀方案競爭分析03一劍封喉SMP+/ESS+產品設計介紹04新進的設計理念目錄contents01客戶需求場景描述一個個真實的故事4客戶的需求1：防止終端大規(guī)模感染病毒影響企業(yè)效率故事二：ARP病毒欺騙影響生產某大型企業(yè)，因為終端向外發(fā)送大量ARP欺騙報文，導致生成三天里不斷出現(xiàn)問題，嚴重影響生產，網絡中心負責人，每日每夜排查，分析報文，查找問題來源；客戶由不敢開啟交換機的限制arp報文數(shù)量，因為這樣會導致生產線上正常的ARP也會受到影響故事一：代碼管理服務器中勒索病毒某中型企業(yè)，因為終端中勒索病毒，甚至后來感染了代碼服務器，服務器代碼文件全加密，索性的是，備用服務器沒有中毒，才避免一場災難5辦公網···終端1終端2終端n1終端n2桌管軟件①通過客戶端軟件檢測終端安全信息上報桌管軟件②桌管軟件下發(fā)終端安全策略客戶的需求1：防止終端大規(guī)模感染病毒影響企業(yè)效率現(xiàn)有解法：使用客戶端保證終端合規(guī)桌管軟件帶來的麻煩：客戶端的分發(fā)、安裝、占用終端資源、導致南屏、死機、上不了網故障，兼容性問題，升級維護問題故事一：客戶端推行失敗某大型企業(yè)，使用H廠家的客戶端，拿著高管的紅頭文件，歷時半年之久才推到了全公司；號稱客戶端是靜默安裝，我們在現(xiàn)場連續(xù)裝2臺電腦，客戶都要不斷點擊下一步，但都裝失敗了，為了避免客戶難堪，第三臺電腦，我說自己安裝，讓客戶去忙，安裝結果依然失敗故事二：客戶端運維人員數(shù)量驚人某中型企業(yè)，使用LR廠家的客戶端，為了運維客戶端，在每一個分廠都放置1-2個客戶端運維人員，總計達到12個人；故事三：客戶端遭員工抵制某大型企業(yè)，在終端安全管理上，曾經采購思科NAC，但是客戶端安裝繁瑣，合規(guī)等待時間太長等原因，導致“怨聲載道”，員工大量投訴，最終廢棄6客戶需求2：防止企業(yè)核心數(shù)據(jù)從終端泄漏出去故事一：報價清單泄漏某中型企業(yè)，剛剛發(fā)布的報價清單，2小時候就達到了競爭對手手里，無法追溯；現(xiàn)在有的企業(yè)，就直接實現(xiàn)內網網隔離，如果你要上網，只能直接通過公用機去上網查資料等辦法；故事二：制造數(shù)據(jù)泄漏某中型企業(yè)，從x企業(yè)化數(shù)百萬購買了一批制造核心數(shù)據(jù)，被員工通過U盤直接拷貝轉手廉價賣給競爭對手；企業(yè)發(fā)現(xiàn)后，因員工無賠償能力，認錯態(tài)度較好，最后，放棄追究民事責任，只做了除名處理親歷的痛：還記得ZZ-portal/ZZ-OS7客戶需求2：防止企業(yè)核心數(shù)據(jù)從終端泄漏出去現(xiàn)有解法：使用云桌面云桌面帶來的麻煩：1、終端用戶抵制（抵制理由：自己要自由安裝辦公所需軟件，否則影響辦公效率等）2、企業(yè)每年新增終端預算完全不夠購買云桌面3、信息中心運維負擔過重故事一：云桌面推行失敗某大型企業(yè)，為了解決數(shù)據(jù)泄露問題，直接上了h廠家的云桌面，但最終因為終端用戶抵制（抵制理由：自己要自由安裝辦公所需軟件，否則影響辦公效率等），信息中心也因為疲于應付各種終端用戶的需求不斷修改配置，導致巨大的工作量而放棄8客戶需求3：防止盜版軟件損失故事一：無法舉證自己企業(yè)究竟有多少終端安裝了盜版軟件某大型企業(yè)，法務部經常接受到一些正版軟件廠家的法律傳票，要求賠償，賠償金額由正版軟件廠家提出，該企業(yè)法務部覺得賠償金額巨大，找信息中心要數(shù)據(jù)，結果信息中心拿不出相應證據(jù)，只好按照正版軟件廠家的要求進行賠償；9客戶需求4：實現(xiàn)網絡準入認證故事一：通過acl實現(xiàn)網絡準入某中型醫(yī)藥企業(yè)，網絡準入認證都沒有，員工出差需要訪問內網資源時也沒有通過軟件來管理，管接入交換機的人就配置接入交換機，搞點acl，懂核心的就配置配置核心，搞點acl，懂防火墻的就配置防火墻，懂出口的就配置出口，配置多了后，傻了，也不知道哪個對應那個人的業(yè)務；于是，定期組織團隊所有人在一起回顧，將不需要的acl刪除，有時候幾個月一次，有時候半年一次，需要花幾天時間來處理，通常還會刪錯，導致得罪同事，麻煩領導，領導怪罪下來，又沒有手段來限制員工長時間違規(guī)使用網絡；故事二：離職、換崗，網絡權限回收不及時某中型企業(yè)，網絡準入認證沒有，離職員工回到公司附近，連接無線信號，獲取企業(yè)信息（由于業(yè)務系統(tǒng)賬號沒有及時注銷）直接應用到競爭對手的產品中。Radius-serverAD/DC業(yè)務系統(tǒng)服務區(qū)深信服思科華為h3carubaRadius-client華為arubaacl2arubaRadius-clientacl1acl3Radius-client高管員工服務商訪客Radius-serverAD/DC業(yè)務系統(tǒng)服務區(qū)深信服思科華為h3carubaRadius-client華為arubaacl2arubaRadius-clientacl1acl3Radius-client高管員工服務商離職員工10客戶需求5：需要兼容現(xiàn)有設備，及利舊處理故事一：被綁架購買設備某大型企業(yè)，早期采購了有線思科設備/無線aruba設備，隨著國產設備的功能性能逐步滿足企業(yè)的需求后，加之國家政策的傾向性，企業(yè)逐步采購國產設備，

導致國外產品在中國銷量下滑，服務質量也因此下滑，導致企業(yè)經常找不到國外產品的支持，另外，國外認證產品綁定自己的設備銷售，價格也很貴，搞的企業(yè)很被動；故事二：SMP+/ESS+面臨兼容因為銳捷18年正式進入企業(yè)，認證計費產品所面臨的事情就是對現(xiàn)有設備的兼容問題，如何更好、更快的兼容企業(yè)現(xiàn)有的設備。11客戶需求6：身份的真實性故事一：員工抵賴某大型快遞企業(yè)，由于員工安全意識不強，將自己的賬號密碼借用給他人，出現(xiàn)相關訂單信息泄露，以賬號被盜或者系統(tǒng)中毒為由，推卸責任，需要把使用者與賬號密碼關聯(lián)起來，導致安全問題，擔心領導問責。12客戶需求7：單AD、多AD身份、父子AD、主備AD等多身份支持故事一：多個身份系統(tǒng)某大型電器互聯(lián)網企業(yè)，因為收購了許多小型企業(yè)，小型企業(yè)有自己的身份AD系統(tǒng)，這些身份信息由很難整合，但網絡建設又是統(tǒng)一構建的，客戶提出，認證系統(tǒng)必須同時支持到多個身份系統(tǒng)進行認證，校驗身份。注：企業(yè)通常使用AD來存儲賬號、密碼等組織信息；單AD多AD父子AD主備AD13客戶需求8：有線網絡移動辦公會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫數(shù)據(jù)中心娛樂資源辦公資源RG-UAC高級辦公：ftp/生產信息故事一：物理劃分網絡，變動時，要么跳線，要么改配置某中型汽車制造企業(yè)，由于銷售人員經常出差（為了充分利用工位，所以采用移動辦公），組織結構也會出現(xiàn)調整，辦公室也會出現(xiàn)更換，每次更換辦公地點，客戶就要去機房跳線，或者去更改交換機的配置，使得對應身份在對應地點訪問對應的有線網絡權限。14客戶需求9：防止病毒通過終端作為跳板攻擊數(shù)據(jù)中心故事一：終端中毒，先斷數(shù)據(jù)中心某中型企業(yè)，終端沒有做任何防護，勒索病毒期間，其研究院出現(xiàn)幾臺終端中毒，有蔓延趨勢，信息資源部做法是，直接把數(shù)據(jù)中心斷網，給服務器打補丁，掃描病毒等操作，確定安全后，再去處理終端中毒事情，然后再恢復網絡；故事二：被烏云黑了某大型企業(yè)，服務商去機房操作，導致服務器中毒了，其數(shù)據(jù)庫被烏云發(fā)布到了網上，讓企業(yè)去贖回；該事件驚動了當?shù)鼐?，直接將服務商抓了起?5客戶需求9：防止病毒通過終端作為跳板攻擊數(shù)據(jù)中心現(xiàn)有解法：人肉打補丁、開啟防火墻等加固操作人肉帶來的麻煩：不科學/不及時故事一：人肉打補丁某大型企業(yè)，為了保證服務器安全，特定制定了服務器維護標準，標準明確要求3個月定期巡檢服務器是否需要打補丁，防火墻是否開啟等；非常麻煩；16客戶需求10：為新建廠房/辦公大樓/分公司提供建設依據(jù)故事一：網絡建設依據(jù)某中型企業(yè)，需要在江西建設一個新的研發(fā)基地，知道大概人數(shù)，但不知道辦公網絡建設大概多少個AP，多少出口等，客戶告訴我，我現(xiàn)在的辦法是在SMP查，看看用戶一般有多少個終端，毛估一下，需要多少AP、出口等；=x平均一個人多少終端多少人推算出多少AP、多少出口等17客戶需求11：過等保資質要求/企業(yè)ISO資質要求故事一：資質要求（1）、企業(yè)在競標中，資質要求；（2）、參與國家機關項目，必須過軍密資質；（3）、企業(yè)上市，要求上述資質01在無客戶端桌管軟件情況下，防止終端病毒大規(guī)模爆發(fā)，影響企業(yè)辦公效率02防止企業(yè)核心數(shù)據(jù)從終端的U盤、串口、光盤等形式泄漏0308統(tǒng)計終端安裝盜版軟件數(shù)量，防止正版軟件廠家通過法律傳票超額勒索；兼容企業(yè)現(xiàn)有設備，及利舊處理0504網絡實名準入認證基于身份的策略隨行，實現(xiàn)基于身份的網絡權限接入來實現(xiàn)移動辦公06多因素認證，確保身份的真實性，從而確保身份安全企業(yè)需求終端合規(guī)增值需求網絡準入網絡準出防止病毒通過終端作為跳板攻擊數(shù)據(jù)中心；為新建廠房/辦公大樓/分公司提供建設依據(jù)07單AD、多AD身份、父子AD、主備AD等多身份支持過等保資質要求/企業(yè)ISO資質要求09101102解決方案描述中大企業(yè)/政府/公共安全/金融等行業(yè)尖刀方案企業(yè)零感知·辦公信息安全2.0解決方案·場景1會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+/ESS+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)娛樂資源辦公資源AD/DC機器名：RJ001域賬號：.cn密碼：sh2008@xx運行一個bat腳本/exe，配置開機自動完成1x認證RG-UAC管理員賬號：domainadmin密碼；shyfzx@333④綁定機器名：RJ001與如下域賬號域賬號：.cn密碼：sh2008@xx①預裝：安裝操作系統(tǒng)/殺毒軟件等②使administrator

登錄操作系統(tǒng)，設置機器名：RJ001③使用域賬號.cn將終端加域管理員員工:cuixuyu⑤登錄操作系統(tǒng)高級辦公：ftp/生產信息業(yè)務目標：1、準入（接入交換機準入）網絡認證2、實名認證3、終端合規(guī)檢測部署條件：1、接入交換機支持1x認證2、企業(yè)要有AD域控，終端由管理員加入域控，并配置登錄操作系統(tǒng)后，自動觸發(fā)1x認證根據(jù)終端的合規(guī)結果，動態(tài)調整它能訪問的網絡權限完成操作系統(tǒng)登錄，并自動完成1x認證，使用的也是域賬號放通接入交換機，允許接入內網發(fā)起對終端合規(guī)檢測，如果不合規(guī)，下發(fā)合規(guī)策略到終端，完成合規(guī)處理注：1x認證，是認證后獲取ip的，所以，合規(guī)檢測只能在認證完成之后

上網終端接入交換機策略設備RG-SMP+/ESS+企業(yè)零感知·辦公信息安全2.0解決方案·場景1AD/DC管理員登錄將終端加入域控，運行一個bat腳本，配置登錄操作系統(tǒng)，并自動完成1x認證員工使用域控賬號登錄操作系統(tǒng)操作系統(tǒng)自動使用域賬號發(fā)起1x認證Radius認證讀取終端信息（包括賬號等）、對終端進行合規(guī)性檢測/策略下發(fā)（如安裝殺毒軟件/禁止使用U盤/開啟防火墻/給操作系統(tǒng)打補丁/安裝企業(yè)要求軟件等）根據(jù)終端的合規(guī)結果，動態(tài)調整用戶能訪問的網絡權限告知終端可以訪問的網絡權限定時同步所有的應用系統(tǒng)的資源情況反饋已經放行定時對終端進行合規(guī)性檢測，如果不合規(guī)，就將用戶踢下線處理并在終端訪問任意網址時，會彈出界面告知終端情況；也可以ARP/DHCP報文中發(fā)現(xiàn)終端也可以ARP/DHCP報文中發(fā)現(xiàn)終端放通網絡內網接入權限企業(yè)零感知·辦公信息安全2.0解決方案·場景2會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+/ESS+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)娛樂資源辦公資源AD/DC機器名：RJ001域賬號：.cn密碼：sh2008@xxRG-UAC管理員賬號：domainadmin密碼；shyfzx@333④綁定機器名：RJ001與如下域賬號域賬號：.cn密碼：sh2008@xx①預裝：安裝操作系統(tǒng)/殺毒軟件等②使administrator

登錄操作系統(tǒng)，設置機器名：RJ001③使用域賬號.cn將終端加域管理員員工:cuixuyu⑤登錄操作系統(tǒng)高級辦公：ftp/生產信息業(yè)務目標：1、終端合規(guī)后，才能準入（接入交換機準入）網絡2、實名認證部署條件：1、接入交換機支持二代portal協(xié)議2、企業(yè)要有AD域控，終端由管理員加入域控合規(guī)可以在認證前也可以在認證后完成輸入任意網址重定向到SRG-SMP+告知終端正在合規(guī)性檢測檢測后結果，以及能是否放通內網的權限放通可上網的權限注：合規(guī)可以在認證前也可以在認證后完成

上網終端接入交換機策略設備RG-SMP+/ESS+企業(yè)零感知·辦公信息安全2.0解決方案·場景2AD/DC管理員登錄將終端加入域控員工使用域控賬號登錄操作系統(tǒng)員工輸入任意網址重定向至SMP對終端進行合規(guī)性檢測/策略下發(fā)（如安裝殺毒軟件/禁止使用U盤/開啟防火墻/給操作系統(tǒng)打補丁/安裝企業(yè)要求軟件等）根據(jù)合規(guī)結果，告知策略設備，動態(tài)調整用戶可以訪問的業(yè)務系統(tǒng)權限告知終端可以訪問的網絡權限定時同步所有的應用系統(tǒng)的資源情況反饋已經放行定時對終端進行合規(guī)性檢測，如果不合規(guī)，就將用戶踢下線處理并在終端訪問任意網址時，會彈出界面告知終端情況；也可以ARP/DHCP報文中發(fā)現(xiàn)終端也可以ARP/DHCP報文中發(fā)現(xiàn)終端可以根據(jù)合規(guī)結果，決定是否允許接入內網（由管理端配置決定）企業(yè)零感知·辦公信息安全2.0解決方案·場景3會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+/ESS+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)娛樂資源辦公資源RG-UAC高級辦公：ftp/生產信息業(yè)務目標：1、終端合規(guī)后，才能準入（接入交換機準入）網絡2、實名認證部署條件：1、接入交換機支持二代portal協(xié)議2、企業(yè)要沒有AD域控輸入任意網址重定向到SMP+瀏覽器上運行網絡護航模式插件，只執(zhí)行一次，后續(xù)上網不需要運行企業(yè)零感知·辦公信息安全2.0解決方案·場景3企業(yè)零感知·辦公信息安全2.0解決方案·場景4會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)娛樂資源辦公資源AD/DC機器名：RJ001域賬號：.cn密碼：sh2008@xx運行一個bat腳本/exe，配置開機自動完成1x認證RG-UAC管理員賬號：domainadmin密碼；shyfzx@333④綁定機器名：RJ001與如下域賬號域賬號：.cn密碼：sh2008@xx①預裝：安裝操作系統(tǒng)/殺毒軟件等②使administrator

登錄操作系統(tǒng)，設置機器名：RJ001③使用域賬號.cn將終端加域管理員員工:cuixuyu⑤登錄操作系統(tǒng)高級辦公：ftp/生產信息業(yè)務目標：1、實名網絡準入認證2、合規(guī)動作，動態(tài)調整vlan，以及可以訪問的業(yè)務系統(tǒng)權限3、移動辦公部署條件：1、企業(yè)要有AD域控，終端由管理員加入域控2、設備支持1x認證/radius屬性實現(xiàn)vlan跳轉，從而實現(xiàn)移動辦公使用域賬號登錄操作系統(tǒng)后，自動觸發(fā)1x認證下發(fā)一個隔離vlan只能訪問隔離權限資源發(fā)對終端進行合規(guī)處理將用戶進行下線處理，要求終端重新1x認證終端再次發(fā)起1x認證通過radius屬性下發(fā)vlan終端用戶進而獲得新的ip根據(jù)認證結果和合規(guī)結果，動態(tài)調整權限注：既要實現(xiàn)1x認證、又要實現(xiàn)移動辦公（策略隨行），必須進行兩次1x認證

上網終端接入交換機策略設備RG-SMP+企業(yè)零感知·辦公信息安全2.0解決方案·場景4AD/DC管理員登錄將終端加入域控員工使用域控賬號登錄操作系統(tǒng)終端觸發(fā)1x認證進行radius認證讀取終端信息（包括賬號等）對終端進行合規(guī)性檢測/策略下發(fā)根據(jù)合規(guī)結果，告知策略設備，用戶可以訪問的網絡權限告知終端可以訪問的網絡權限定時同步所有的應用系統(tǒng)的資源情況反饋已經放行定時對終端進行合規(guī)性檢測，如果不合規(guī)，就將用戶踢下線處理并在終端訪問任意網址時，會彈出界面告知終端情況；下發(fā)隔離vlan，終端獲取到隔離vlan的IP通過踢下線來實現(xiàn)重定向，所以需要踢下線接口踢用戶下線通過命令，觸發(fā)終端觸發(fā)1x認證進行radius認證下發(fā)用戶vlan終端會從dhcp上獲取到對應vlanip，從而實現(xiàn)移動辦公（策略隨行）根據(jù)合規(guī)結果，告知策略設備，用戶可以訪問的網絡權限企業(yè)零感知·辦公信息安全2.0解決方案·場景5會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)娛樂資源辦公資源RG-UAC員工:cuixuyu高級辦公：ftp/生產信息業(yè)務目標：1、終端合規(guī)后，才能準入（接入交換機準入）網絡2、實名認證3、移動辦公部署條件：1、企業(yè)要沒有AD域控，終端由管理員加入域控2、設備支持web認證/支持vlan修改配置設備隔離vlan、dhcp地址池、vlan接口的vrrp，所有用戶接入都是默認隔離vlan觸發(fā)web認證下發(fā)開啟終端網絡護航模式插件終端用戶運行插件，并觸發(fā)合規(guī)性檢測SMP下發(fā)命令到終端，釋放ip，重新獲取ip，直到獲取到新的ip為止,SMP通過telnet給設備下發(fā)切換valn的命令放通對應的網絡權限,通過終端命令觸發(fā)1x認證，或MAC快速認證注：在有AD的情況下，也能使用web認證，流程上會少“下發(fā)開啟終端網絡護航模式插件終端用戶運行插件”步驟，使得體驗更加好一些；

上網終端接入交換機策略設備RG-SMP+企業(yè)零感知·辦公信息安全2.0解決方案·場景5AD/DC管理員登錄將終端加入域控員工使用域控賬號登錄操作系統(tǒng)觸發(fā)web認證進行web認證下發(fā)開啟終端網絡護航模式插件，終端用戶運行插件，并觸發(fā)合規(guī)性檢測，對終端進行合規(guī)性檢測/策略下發(fā)定時同步所有的應用系統(tǒng)的資源情況SMP配置交換機，讓所有端口都到默認隔離vlanSMP通過telnet給設備下發(fā)切換valn的命令SMP下發(fā)命令到終端，釋放ip，重新獲取ip，直到獲取到新的ip為止,合規(guī)后后，告知策略設備，用戶可以訪問的網絡權限告知終端可以訪問的網絡權限反饋已經放行定時對終端進行合規(guī)性檢測，如果不合規(guī)，就將用戶踢下線處理并在終端訪問任意網址時，會彈出界面告知終端情況；通過踢下線來實現(xiàn)重定向，所以需要踢下線接口通過終端命令觸發(fā)1x認證/web認證進行1x/mac快速認證會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba娛樂資源辦公資源AD/DCRG-UAC終端入網無感知員工:cuixuyu研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)高級辦公：ftp/生產信息數(shù)據(jù)流到RG-UAC上傳終端信息：Ip：75Mac：xx:xx:xx:xx終端信息：Ip：75Mac：xx:xx:xx:xx使用nmap/NBTScan探測終端信息&安全信息返回終端信息Ip：75Mac：xx:xx:xx:xx終端安全信息/終端指紋等該終端第一次接入，請開啟web認證使用ie訪問旁觀設備將用戶重定向到認證界面實名認證用戶名：cuixuyu密碼：111Ip：75機器名：RJ001IP:75MAC：XX:YY:ZZ:NN終端指紋：操作系統(tǒng)id等用戶名：cuixuyu⑧smp根據(jù)安全用戶權限、終端安全級別等，授予普通辦公用戶權限和外網限速限制應用權限⑨數(shù)據(jù)流企業(yè)零感知·辦公信息安全2.0解決方案·場景6解決方案·經典場景描述·終端用戶第二次以后零感知·非加域終端·準出認證解決方案·經典場景描述·終端用戶第二次以后零感知·非加域終端·準出認證會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba娛樂資源辦公資源RG-UAC終端入網無感知員工第二次入網:cuixuyu①終端數(shù)據(jù)流經過旁掛設備，提取出流表IP:75MAC：XX:YY:ZZ:NN機器名：RJ001IP:75MAC：XX:YY:ZZ:NN終端指紋：操作系統(tǒng)id等通過nmap/NBTScan等協(xié)議去探測終端信息以及終端安全信息⑧SMP此時已經知道這個終端是誰的了smp根據(jù)安全用戶權限、終端安全級別等，授予普通辦公用戶權限和外網限速限制應用權限⑨數(shù)據(jù)流研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)高級辦公：ftp/生產信息企業(yè)零感知·辦公信息安全2.0解決方案·場景6解決方案·經典場景描述·終端用戶零感知·非加域終端·銷售場景會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba娛樂資源辦公資源AD/DCRG-UAC終端入網無感知員工:cuixuyu研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)高級辦公：ftp/生產信息Vpn認證：賬號：cuixuyu密碼：111終端ip：75MAC：xx：xx：xx：xx⑧smp根據(jù)安全用戶權限、終端安全級別等，授予普通辦公用戶權限和外網限速限制應用權限使用nmap/NBTScan探測終端信息和安全信息返回終端信息和安全信息終端ip：75MAC：xx：xx：xx：xx終端指紋企業(yè)零感知·辦公信息安全2.0解決方案·場景7解決方案·經典場景描述·訪客場景·準出認證會客廳食堂辦公區(qū)財務區(qū)會議室研發(fā)區(qū)員工家里/出差賓館RG-SMP+arubaarubaarubaarubaarubaaruba華為h3c華為華為h3c華為華為h3c華為arubaarubaaruba娛樂資源辦公資源AD/DCRG-UAC終端入網無感知研發(fā)數(shù)據(jù)：代碼服務器財務數(shù)據(jù)：財務系統(tǒng)普通辦公：OA/郵件系統(tǒng)/軟件/DNS/DHCP安全區(qū)：補丁/病毒庫應用系統(tǒng)高級辦公：ftp/生產信息訪客訪問任意網址，重定向到二維碼界面上訪客:guset內部員工：cuixuy，用已經登錄的手機掃描其二維碼，及可授權訪客訪問外網完整權限訪問外網完整權限企業(yè)零感知·辦公信息安全2.0解決方案·場景8解決方案·解決方案一欄用戶角色網絡管理員高管普通員工內部訪客長期服務商短期服務商外部臨時訪客終端類型Windows臺式機Windows筆記本MAC筆記本IOS-PADIOS-手機安卓手機啞終端終端是否加域是否終端安全級別終端信息安全級別終端網絡安全級別用戶IDSMP上的賬號、密碼AD域控上的賬號、密碼微信/企業(yè)號ID釘釘ID動態(tài)驗證碼手機短信碼生物ID證書ID卡ID接入位置會客廳食堂辦公區(qū)域財務區(qū)域研發(fā)區(qū)域會議室公司外部接入方式有線無線接入?yún)f(xié)議1xweb微信連wifi二維碼MAB認證網絡權限完整外網權限限速限應用外網權限內網完整權限專網權限（財務網/研發(fā)網）普通辦公權限(訪問郵件/OA等)安全區(qū)（下載安裝軟件權限/DNS解析+DHCP+病毒庫+系統(tǒng)補丁更新權限）用戶使用某ID擁有X角色在Y終端（是否加域、其安全級別）

在Z地方

使用M接入方式使用N接入?yún)f(xié)議擁有W網絡權限用列：1、張三使用AD域控上的賬號，該具有普通員工角色，在windows加域終端，檢測終端安全級別很高，且在辦公區(qū)域，使用有線接入，無需使用任何接入?yún)f(xié)議，即可以接入網絡；具有內網完整權限和外網限速限應用權限（比如不允許上qq、微信等）2、李四是個普通員工，在自己帶來的windows終端（沒有加域，且檢測安全級別很低）上，在辦公區(qū)域，使用web接入網絡；SMP重定向一個帶有開啟終端網絡護航模式的插件界面，用戶僅需運行一次后（后續(xù)上網不需要再運行）；SMP給李四授予內網完整權限和外網限速限應用權限（比如不允許上qq、微信等）；5、王五是個普通員工，在自己帶來的MAC終端（沒有加域，且檢測安全級別很低）上，在辦公區(qū)域，使用web認證，使用域賬號進行登錄；具有內網完整權限和外網限速限應用權限（比如不允許上qq、微信等）4、田六是個銷售，使用AD域控上的賬號，在自己購買的MAC終端（沒有加域，且檢測安全級別很低）上，在公司外部，使用VPN接入；SMP給田六授予普通辦公權限（訪問郵箱/OA等）；3、孫七是個臨時訪客，在IOS-手機（不加域終端，檢測安全級別低）上，在會客廳，張三掃描孫七提供的二維碼，使用無線web接入，給孫七只授予完整外網訪問權限；03競爭分析一劍封喉主要對比項網絡權限集中管控（30%）終端安全管控功能（20%）終端檢測無感知（30%）用戶入網無感知（20%）結論寧盾ND-ACE網絡接入權限在ND-ACE中配置，由ND-ACE的vFW執(zhí)行；vFW支持四層控制。權限執(zhí)行設備存在性能與不穩(wěn)定性問題。4分ND-ACE可以通過部分技術手段進行主動終端信息獲取與流量分析，技術運用上偏窄，終端模型沒有建立對于終端安全，管控的功能非常弱，并且沒有模型。3分加域場景下無客戶端實現(xiàn)，非加域場景下可以不使用客戶端支持部分功能，尚未發(fā)行客戶端。7分與ND-AM配置，支持在入網無感知的情況下，記錄用戶身份，支持Mac白名單。6分5.1分ForeScoutCounterACT網絡接入權限在CounterACT中配置，由CounterACT的vFW執(zhí)行；vFW支持四層控制。沒有身份與認證，所以網絡接入權限其實是不完備的。5分對于終端，F(xiàn)oreScout能做出豐富安全管控功能，包括通知，殺進程、啟動殺毒軟件等。對于屏保這類，需要借助于AD去完成，防截屏功能不具備，僅支持加域Windows。對終端進行建模與合規(guī)性分析。但存在缺失身份以及歷史數(shù)據(jù)回溯的問題。7分加域場景下無客戶端實現(xiàn)，非AD場景下可以不使用客戶端支持部分功能，也可以使用客戶端（Windows、Linux、MacOS），客戶端重定向頁面下發(fā)，用戶一鍵安裝，客戶端沒有認證功能。9分CounterACT本身不做用戶入網認證，需要依賴于AD或者第三方Radius來做。支持Mac白名單。4分6.4分新華三EAD新華三采用NFV，成本可控，擴展性強，策略執(zhí)行分布式帶寬可能有瓶頸支持策略隨行成本較低8分iNode能夠進行殺毒軟件檢測、補丁維護、遠程協(xié)助等常用管控，但不具備注冊表修改、屏保、防截屏等功能5分新華三采用iNode客戶端進行終端檢測，檢測項較豐富，并進行合規(guī)性分析與修復。需要安裝、維護客戶端。5分支持多種方式的無感知認證，主推VxLAN（存在設備異構問題），計算機名無感認證存在一些問題。7分6.3分華為AC-Campus華為采用service-chain，核心節(jié)點集中控制，策略執(zhí)行是分布式，支持策略隨行；不支持異構設備。成本較高7分華為采用360貼牌客戶端能夠支持常規(guī)的殺毒軟件檢測、注冊表維護、進程保護等管控，也能進行屏保設置、防截屏等、文件檢測、安全配置等功能。8分華為采用TSM/AnyOffice/360貼牌客戶端進行終端檢測，檢測項較豐富，并進行合規(guī)性分析與修復。需要安裝、維護客戶端。6分支持多種方式的無感知認證，支持策略隨行。7分6.9分第一階段版本與競品相比我們的優(yōu)勢主要對比項網絡權限集中管控（30%）終端安全管控功能（20%）終端檢測無感知（30%）用戶入網無感知（20%）結論聯(lián)軟UniAccess內置虛擬防火墻（四層），自定義訪問控制列表，自定義觸發(fā)場景，網絡流量統(tǒng)計及網絡異常檢測。非傳統(tǒng)網絡廠商。5分終端入網自動發(fā)現(xiàn)，自動收集終端軟硬件資產信息，設備快速定位；桌面壁紙屏保統(tǒng)一設置，終端漫游管理；補丁管理、安全基線、權限管控，U盤、外聯(lián)檢測、主機監(jiān)控、上網審計、文件操作管控等，強桌管，對于終端信息安全與網絡安全力度較強。Linux與MacOS版本支持部分功能。9分有Windows、Linux、MacOS客戶端，客戶端支持多級部署架構，策略統(tǒng)一下發(fā)，數(shù)據(jù)統(tǒng)一匯總，終端統(tǒng)一升級6分UniNAC主要支持1x