企业内网终端安全无客户端准入控制技术实践

终端无代理/无客户端准入控制技术因其良好的用户体验而倍受创新企业的青睐。无代理/无客户端准入控制技术,顾名思义,是一种在网络中对终端实施访问控制的方法,无需依赖特定的客户端软件。

不同于银行、医院等传统行业的终端准入控制需求,芯片半导体、生物制药、互联网科技等以科技驱动创新为导向的新型企业追求用户体验优先,采用无客户端准入控制产品/方案来保障内网终端资产的合规性。

无代理/无客户端准入控制技术优势主要体现在以下几个方面:

  • 设备兼容性:无客户端准入控制技术可以适用于不同设备,包括Windows操作系统,监控、打印机等IoT物联网设备。
  • 简化配置和部署:通过消除对客户端软件的依赖,无客户端准入控制技术可以简化配置和部署过程。管理员只需配置并管理网络设备上的访问控制策略,而无需为每个设备安装和配置额外的客户端软件。
  • 降低运维成本:无客户端准入控制技术减少了维护大量客户端软件的工作负担。IT 管理员只需专注于配置相关策略,无需考虑不同操作系统和设备上的客户端软件兼容性问题。
  • 更好的用户体验:由于无需额外安装客户端软件,用户可以更方便地访问资源,避免了客户端软件可能带来的性能问题或用户体验的限制。这样可以提高用户满意度和工作效率。

无客户端准入控制技术与Windows AD域结合使用效果更佳。以下是某汽车零部件配套供应商采用宁盾无客户端准入控制技术的最佳实践。

客户案例:

项目背景:

某汽车零部件配套供应商主要生产汽车电器系统、检测设备等,主要客户有奔驰、宝马、大众、通用汽车公司等,生产、研发实力雄厚。为了提高自身信息安全,为车企提供放心、安全的产品与服务,该公司拟对办公网段的设备资产进行识别与合规检测,以确保企业内网设备满足安全性需求。

客户需求:

以办公网段内的Windows电脑为主,检查入网电脑是否加域、是否运行赛门铁克杀毒软件。

1. 发现网络内接入的终端

2. 识别终端的设备类型以及是否加域

3. 主动探测终端运行的杀毒软件,进程,补丁,安装软件等信息

4. 不合规的电脑阻断TCP流量,通过HTTP重定向方式提示不合规内容

宁盾方案及拓扑:

宁盾准入引擎(NDACE)旁挂在客户核心交换机上,并将测试用户的流量镜像到宁盾准入引擎的分析端口。

宁盾准入引擎通过镜像流量分析,发现网络内所有设备的IP信息,通过SNMP或DHCP获取终端IP与MAC的绑定关系。

之后通过嗅探器扫描终端的设备类型,是否为加域的设备,加域电脑通过主动检测,扫描到终端安装的软件,运行的进程,杀毒软件等。

拿到终端的信息后对终端分类并作准入策略。

配置策略:

 

策略解读:

● 加域检测:针对内网网段扫描,过滤掉上线10分钟内的终端,过滤掉非Windows系统终端,检测终端是否有域身份,得到结果打上对应标签;

● 杀毒软件检测:针对上一步已经加域的终端检测,满足已运行赛门铁克或有赛门铁克进程的为合规,反之为不合规;

● 网页告警:针对不合规的终端,阻断其TCP流量(可配置白名单放行关键业务,比如放行到域控的IP),通过http流量重定向网页给用户告知不合规内容。

该方案为无客户端准入,在AD域环境下更好推进,效果也更明显。用户侧全程无感知,且不需要安装客户端,运维压力骤减。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/53905.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Rust】Rust学习

文档:Rust 程序设计语言 - Rust 程序设计语言 简体中文版 (bootcss.com) 墙裂推荐这个文档 第一章入门 入门指南 - Rust 程序设计语言 简体中文版 第二章猜猜看游戏 猜猜看游戏教程 - Rust 程序设计语言 简体中文版 (bootcss.com) // 导入库 use std::io; use s…

《向量数据库指南》——GPTCache 中的温度参数

目录 GPTCache 中的温度参数 a. 从多个候选答案中随机选择 b. 调整概率跳过缓存,直接调用模型 GPTCache 中的温度参数 为了平衡响应的随机性和一致性,并满足用户偏好或应用需求,在多模态 AI 应用中选择适当的温度参数值至关重要。GPTCache 保留了机器学习中温度参数的概…

【ASP.NET MVC】使用动软(三)(11)

一、问题 上文中提到,动软提供了数据库的基本操作功能,但是往往需要添加新的功能来解决实际问题,比如GetModel,通过id去查对象: 这个功能就需要进行改进:往往程序中获取的是实体的其他属性,比如…

postgresql|数据库|MySQL数据库向postgresql数据库迁移的工具pgloader的部署和初步使用

前言: MySQL数据库和postgresql数据库之间的差异并不多,这里的差异指的是对SQL语言的支持两者并不大,但底层的东西差异是非常多的,例如,MySQL的innodb引擎概念,数据库用户管理,这些和postgresq…

驱动开发(中断)

头文件: #ifndef __LED_H__ #define __LED_H__#define PHY_LED1_MODER 0X50006000 #define PHY_LED1_ODR 0X50006014 #define PHY_LED1_RCC 0X50000A28#define PHY_LED2_MODER 0X50007000 #define PHY_LED2_ODR 0X50007014 #define PHY_LED2_RCC 0X50000A28#def…

orangepi 4lts ubuntu安装RabbitMQ

4lts的emmc 系统安装选文件系统格式 ext4 需先安装erlang: sudo apt install erlang 安装RabbitMQ: sudo apt install rabbitmq-server - 添加用户以便远程访问: - 账号密码都是admin: sudo rabbitmqctl add_user admin admin -sudo rabbitmqct…

创建vue-cli(脚手架搭建)

目录 功能 需要的环境 使用HbuilderX快速搭建一个vue-cli项目 组件路由 element-ui vue-cli 官方提供的一个脚手架,用于快速生成一个 vue 的项目模板;预先定义 好的目录结构及基础代码,就好比咱们在创建 Maven 项目时可以选择创建一个 骨…

【每日一题】21. 合并两个有序链表

【每日一题】21. 合并两个有序链表 21. 合并两个有序链表题目描述解题思路 21. 合并两个有序链表 题目描述 将两个升序链表合并为一个新的 升序 链表并返回。新链表是通过拼接给定的两个链表的所有节点组成的。 示例 1: 输入:l1 [1,2,4], l2 [1,3,4…

HDFS中的Federation联邦机制

HDFS中的Federation联邦机制 当前HDFS体系架构--简介局限性 联邦Federation架构简介好处配置示例 当前HDFS体系架构–简介 当前的HDFS结构有两个主要的层: 命名空间(namespace) 由文件,块和目录组成的统一抽象的目录树结构。由n…

网页版Java(Spring/Spring Boot/Spring MVC)五子棋项目(二)前后端实现用户的登录和注册功能【用户模块】

网页版Java五子棋项目(二)前后端实现用户的登录和注册功能【用户模块】 在用户模块我们要清楚要完成的任务一、MyBatis后端操作数据库1. 需要在数据库创建用户数据库1. 用户id2. 用户名3. 密码4. 天梯积分5. 总场数6. 获胜场数 2. 创建用户类User和数据库…

arcgis--数据库构建网络数据集

1、打开arcmap软件,导入数据,如下: 该数据已经过处理,各交点处均被打断,并进行了拓扑检查。 2、在文件夹下新建文件数据库,名称为路网,在数据库下新建要素类,并导入道路shp文件&…

网站无法访问的常见原因

有多种问题可能会阻止用户访问您的网站。本文将解决无法访问网站,且没有错误消息指示确切问题的情况,希望对您有所帮助。 无法访问网站的常见原因有: (1)DNS 设置不正确。 (2)域名已过期。 (3)空白或没有索引文件。 (4)网络连接问题。 DNS 设…