网络安全 频道

中兴ZSA四大功能保证用户无害接入

1、用户接入认证

    用户接入认证模块包含内网用户接入认证和外网用户接入认证两部分。无论用户在办公室还是外出,都可以接入企业IP网络。

    校内内网用户采用802.1x认证模式,中兴通讯全系列接入交换机均支持802.1x认证功能。

    外出用户可以通过Internet,采用L2TP/IPSEC认证模式接入校园网,中兴提供系列化的VPN网关。

2、安全接入控制

    安全接入控制主要是实现网络测的安全接入控制,主要包含如下几个组成部分:

     用户权限集中管理,权限集中统一控制,自动部属下发执行。

     丰富的用户信息绑定

    防止帐号盗用,确保身份唯一,防IP地址冲突,防IP地址盗用,防帐户盗用,禁止非法位置接入,方便用户定位。

 支持Radius+扩展用户属性,支持用户名、密码、MAC、VLAN ID、NAS IP、NAS Port等信息上传iSAM,用于复合认证和绑定。

 iSAM支持扩展用户属性,并支撑用户定位信息、接入时间允许、接入位置允许、登陆次数限制、剩余时间/流量等,并与接入交换机/VPN网关上传的信息进行复合认证。

 iSAM下传IP、用户ACL、计费模式、剩余时间/流量等信息,接入交换机/VPN网关合并上传信息进行复合绑定。

     增强防代理功能,防止业务流失

     防恶意攻击

    全面提升网络安全,iSAM可以设置单位时间内登陆尝试次数,防止DDOS式攻击和穷举法密码破解泄漏;接入交换机可以设置DHCP Relay功能,DHCP请求只能发往特定的上行口,从而防止私接DHCP服务器给网络带来的地址混乱。

     全面支持用户定位属性

    接入交换机/VPN网关全面支持用户定位信息(接入端口、MAC、VALN、NAS IP、NAS Port等)上传;  iSAM全面支撑用户定位属性,并与接入上传属性进行复合认证,并实时记录;iSAM下传用户上网属性,在接入层与上传属性复合绑定,防止冲突和盗用;iSAM支持基于各种定位信息的复杂查询,包括实时查询和历史信息查询。从而防止用户非法位置接入,方便异常用户反查定位。

3、终端安全管理

    终端安全管理系统主要实现用户侧的安全,通过交互处理,系统联动,保证接入用户均为可信任的用户,从而把隐患挡在网络之外,保证整个网络的安全。终端安全管理系统包括资产管理、补丁管理、行为监控及文档策略四部分组成,实现“资产清晰、补丁完整、行为可控、文件安全”的管理目标。

     硬件资产管理,第一时间更新设备信息,最大程度保护硬件资产。

     软件管理,对PC的所有软件程序进行管理(包括安装、运行、升级、卸载等行为)。

     防病毒软件自动安装和升级。

    安全中心可以对所有客户端进行控制及管理——包括应用程序强行下发。如果被检测到没有安装防病毒软件,提示安装,否则不予上网;或者选择强制安装某种防病毒软件;

     软件补丁下发和升级,配置补丁下载中心,实行补丁级别管理,可以实现批量下发,以及按照部门、IP、OS,补丁综合查询,强制下发等功能。

     用户行为管理和监控,主要包括报文监控、流量监控、流量行为分析。

     文档管理之I/O管理,系统能够对终端(PC)的所有I/O接口进行管理,包括USB口的应用。

     安全警戒域管理-新用户入网,新用户先采用通用帐户进入安全域,下载和安装必要的软件和补丁(ZSA客户端、防病毒软件、桌面管理系统等)。

     安全警戒域管理-有隐患用户登陆,存在隐患的用户(譬如没有安装防病毒软件等)登陆网络,自动进入安全警戒域。只有安装了所有必须软件的用户才能访问网络其他资源。

     安全警戒域管理-已登陆用户出现隐患,发现已登陆用户存在安全隐患(譬如私自卸载防病毒软件等),自动进入安全警戒域。只有安装了所有必须软件的用户才能访问网络其他资源。防止用户在正常登陆后卸载必须软件/停止必须的软件服务。

4、AAA计费管理

    中兴通讯有着20多年运营商专业计费经验,提供了专业、精确、灵活的计费方案。可以实现内外网单独计费,可以提供包月、按时长、按流量、卡计费、预付费、封顶等业务的不同组合,帮助用户实现精确运营。AAA多业务认证计费系统采用基于IP的标准RADIUS协议与客户端设备进行通信,支持用户的认证、授权和计费。

0
相关文章