400-658-2855
< 返回 首页 > 产品中心 > 新一代终端准入 > 新闻动态 > 解疑答惑|宁盾ND ACE 风险性终端管理办法

解疑答惑|宁盾ND ACE 风险性终端管理办法

发布时间:2018-08-28 09:45:09 来源: 点击量:

何为风险性终端?

成百上千万台网络终端中,一个中毒,将可能导致生产线全部瘫痪。预计2020年全球将有270亿终端,其中100亿活跃于企业网络中。传统终端安全排查周期长、人为失误率高,无法实时监控终端安全状态,让风险终端得以藏匿于企业网络中。

何为风险性终端?即可能给企业网络带来灾难的终端。宁盾新一代终端准入引擎(ND ACE)基于“主动防御”策略,定义终端合规性网络准入条件,自动化检测入网终端合规性,及时定位风险性终端,并将其隔离于企业网络。

风险性终端可能为:未安装杀毒软件的终端、补丁版本未更新的终端、安装非合规终端(大型网游)占用带宽的终端、弱密码IoT终端、未在企业统计范围内的访客、员工BYOD终端、伪造哑终端IP/MAC地址的终端......

ND ACE实例:及时定位并隔离风险性终端

  • 1、主动探测入网终端的合规性并及时定位终端风险:

    企业办公电脑:是否安装杀毒软件、补丁版本是否更新...

    访客、员工BYOD:认证状态、用户信息、终端类型...

    哑终端及IoT设备:弱密码、IP/MAC地址伪造、...

    网络设备:IP、MAC地址绑定、防私接...


    2、自动化隔离、警告:

    隔离至安全网段

    阻断当前会话

    有线准入下发动态ACL...


    3、基础功能去中心化修复、联动修复

  •  

AD域检测,排除访客及员工BYOD

终端访问内网资源时,检测终端是否加入AD域,并以此作为终端准入条件,排除没有加入域的访客及员工BYOD。另外,可为访客、员工BYOD提供外网访问资源,详情可查看访客、员工BYOD网络认证解决方案



实时检测,排除没有安装杀毒软件的终端

以终端是否安装杀毒软件(赛门铁克、360杀毒等)为条件,与虚拟防火墙、VLAN等网络策略结合,自动化隔离未安装杀毒软件的终端,并与第三方杀毒软件联动进行修复。



实时检测,排除没有更新补丁的终端

以windows 补丁为例,检测近30天内的补丁是否更新完成,并自动隔离未更新补丁的终端至特殊网段。可与第三方软件如LANDesk联动修复或以去中心管理直到员工修复完成才允许入网。



实时检测,排除安装大型网游的终端

为减少终端对网络带宽的影响,规范化企业网络使用环境,禁止员工终端安装大型网游等耗流量高的应用。通过ND ACE 检测终端安装了哪些应用,并对非合规应用进行警告和隔离处理!



哑终端准入,排除伪造IP/MAC地址的终端

传统哑终端仅MAC地址认证就能接入企业内网,非法攻击者使用笔记本伪造哑终端IP/MAC地址后进入企业内网。以摄像头为例,在IP/MAC地址的基础上,ND ACE检测接入网络的终端类型,最终,因笔记本和摄像头的终端类型不同而被排除。



异常流量告警,排除终端中“肉机”的可能性

大部分终端装有盗版软件,一旦该盗版软件被非法编程或恶意程序。安装了该软件的终端即可能成为被携带病毒或“肉机”的对象。大部分windows电脑安装了杀毒软件而躲过一劫,而其他终端难免中招,ND ACE通过检测流量和数据包的对比关系,分析终端是否存在安全风险,帮客户排除终端中“肉机”的可能。



User-Agent检测,排除私接路由等网络设备

ND ACE检测所有入网终端的安全性,包括路由器、交换机、无线AC等,一旦发现新增MAC地址的User-Agent数据中同时包括Mac OS、windows、Android、iOS等操作系统,则认为该终端为“私接”设备,并通过自动化手段对其进行隔离处理。


 

©2018 年 宁盾科技 版权所有。

—END—

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385