终端准入外联控制解决方案

方案背景

        目前,大多数单位都通过内部局域网(包括VPN,VLN等),安装捍卫者USB安全管理系统后可以有效的防止单位内部机密信息通过移动存储介质来泄密,但是怎样才能在有效管理非法主机入侵内网,窃取内网数据,内网终端非法外联外部网络,泄漏内网机密呢?安装捍卫者非法接入外联控制系统可以有效的满足众多单位的需求,从而使单位内网始终处于一个安全健康的工作网络中。

捍卫者准入控制解决方案

针对上述跨路由的网络结构,捍卫者非法接入外联控制系统可以达到如下效果:
1、根据单位实际情况自由设定内网计算机是否允许上互联网;
2、防止非法主机接入内部网络;
3、允许合法主机访问单位内网;
4、防止内网终端非法外联;
5、IP和MAC绑定,随意更改计算机IP自动断网;

方案实现方式

MAC过滤方式:

此方式由底层驱动记录MAC白名单,在白名单的计算机可以相互访问,不在白名单的计算机不允许访问。在单位内网各终端安装捍卫者非法接入外联控制系统后,首先须将内网各路由器MAC添加为例外路由器MAC,这样安装捍卫者软件的所有内网计算机可接受策略管理;若仍允许内网计算机访问互联网,只需将网关出口的路由器MAC添加为例外主机,这样通过网关出口路由器访问到内网的所有主机或Mac都放入白名单;通过例外路由器过来的计算机则以IP为主,若为合法安全主机,则将其IP加为例外后,可访问内网,若为非法主机,则不能访问单位内网。

IP过滤方式:

此方式无须考虑单位内部是否跨路由,只要内网计算机可以相互访问,安装捍卫者非法接入外联控制系统后,便可以实行策略。如果外网接进来某计算机,若为合法计算机,将其IP添加为例外即可访问内网各终端,若为非法计算机,则不可以访问内网,此方式可实现IP与MAC绑定,若单位员工随意更改IP,则导致终端断网,且此方式实现了内外网的软件隔离。

方案应用及产品推荐

行业方面:

本方案广泛应用医疗、机械、政府单位、公安、边防等。

运行环境:

内网环境、禁止上互联网办公环境。

方案中产品应用

本方案中主要应用捍卫者准入控制系统。除此之前,应用本方案的用户,还可以选购捍卫者其他终端安全及网络安全产品,推荐捍卫者USB安全管理、资产管理、登录管理、桌面管理、软件安装及文件分发。