网络自动防御系统

内网安全

第一章 、概述  
　　当前随着企业信息化程度越来越高，IP网络的建设也在企业当中越来越深入，几乎在企业的任何地方人们都可以通过有线或无线的方式将终端接入到企业网中，轻松实现信息的获取或传送，但是由于以太网的特性决定了这些终端在接入到网络中是没有经过任何身份认证的，由此会带来巨大的安全隐患。 同时，随着企业业务的迅猛增长，支撑公司业务运行的企业信息网的基础网络接入平台规模也在不断扩大，接入层网络设备数量及种类都越来越多，企业信息网提供的终端接入端口也不断增加，这将给管理人员带来更大的安全控制压力，企业急切需要一套管理平台来集中管理监控网络接入的各个层面的信息，将其纳入整个企业的IT管理流程体系当中。 轩成想科技“网络自动防御系统”是一个集接入控制、防御、审批、统计、分析、图表功能于一体的接入层网络控制网络审计系统。它以终端MAC地址为主，结合IP地址、主机名、接入账号等多种形式作为终端的身份识别，与接入交换机，网关，DHCP服务器、防火墙等设备联动，实时监控终端的网络接入情况。能有效地检测出违反接入策略的接入行为，如非法MAC、非法IP-MAC绑定、非法主机名，以及APR欺骗、广播风暴、异常网络流量等。并对这些行为及时阻断或者限制接入。它还能将这些行为通过邮件、短信等多种方式向管理员发出告警。 此外，轩成想“网络自动防御系统”也是一个开放的服务提供平台，它向外提供了终端接入信息查询服务，终端接入控制服务、终端接入审批服务。这些服务都是基于SOA设计，是标准的Web Service，所以可以很好地与第三方应用平台有机结合，使其发挥出发更强大的作用。  
第二章、产品的主要功能  
※网络准入控制  
按接入终端控制：本单位终端可以接入网络；外来终端需要审批才能接入。
按接入位置控制: 特定端口只在接入特定终端。
按接入时间控制: 特定终端只在特定时间可以接入。  
※终端接入追踪。  
　　实时终端定位：根据终端IP或者MAC查询出使用该IP或者MAC的终端在网络的接入位制作软件

置，包括接入终端的Mac地址，IP地址、主机名、接入交换机所在的端口等关联信息。系统提供多视力展示，包括文字列表方式，综合布线图方式，交换机实体图方式。 历史接入审计：系统自动跟踪终端接入信息的变化，只要有一个信息发生改变，即将其自动记录到历史接入信息库中，以供日后进行审计或进行网络分析。历史接入信息显示历史上某一时刻网络接入快照。系统提供多视图展示，包括文字列表方式，综合布线图方式，交换机实体图方式。  
※终端异常行为监控 
　　可以检测出引起网络异常的终端行为：ARP欺骗、广播风暴、非法静态IP、Flood攻击，蠕虫攻击等。 对于检测出的异常终端，系统可以根据预设策略进行终端接入端口控制，关闭端口、限制端口带宽、转端口VLAN等。  
第三章、产品主要特色  
※旁路控制，部署简单  
　　本系统是旁路控制系统，只要安装一台服务器，网络上与接入交换机在三层上互通即可。不需要在终端机器上安装任何软件，对用户而言是透明的，同时也不需要更改现有的网络结构。因此，部署起来十分方便，管理也相当简单。  
※设备无关，兼容性强  
　　系统采用标准SNMP协议及标准MIB库与接入交换机互动，可以兼容市场上所有网管型交换机，而且前企业中所部署的交换机基本上都是网管型交换机，同时也能兼容今后新的交换机。  
※集中灵活的终端准入系统  
　　系统提供集中式的终端准入管理，在统一的管理中心即可为多台接入交换机的多个终端集中设置准入策略。同时系统提供多种终端准入策略，管理员可以根据不同终端的性质来决定采用不同的策略。可采用的准入策略包括终端Mac与特定交换机甚至是交换机端口绑定，MAC与IP绑定，主机名命名限制，IP地址限制，账号接入限制等，这些策略可以组合起来灵活运用。  
※与布线图实体图联动，实现可视化管理  
　　以往网络管理员发现某一交换机端口上的终端有问题时，为了定位其所接终端的物理位置，需要人工查找信息点与交换机的登录文件，找出信息点编号，然后再到布线图中人工查找信息点的位置，整个过程十分繁琐。而本系统将终端网络接入与综合布线信息相结合，同时实现智能化自信点定位。这样当管理员怀疑一个终端或交换机端口有问题时系统可以直接定位到该信息点，并且信息点分布图直观地看到信息点所在终端的位置。  

 1/2    1 2 下一页 尾页