网御星云新一代准入网关NAC_网络接入控制系统

网御星云新一代准入网关NAC

网御星云网络接入控制系统是由我司自主研发的面向企业网络接入管理的一款产品，能够在不改变网络结构的情况下，对各种复杂网络实现准入控制，在实现准入控制基础上，通过边界探测技术，对全网的网络边界各接入点实现自动探测和防护，加强了网络可视性和可控性。

立即咨询

首页 > 产品中心 > 网络安全 > 网御星云新一代准入网关NAC

为什么需要网络接入控制 icon

一台终端受控，整个网络遭殃

随着物联网发展，传统的办公坏境，正在发生转变，IoT设备正逐步深入到组织的核心业务，每个终端的接入，都将带来安全的风险点

当前IT运维管理面临的挑战 icon

产品简介

网御网络接入控制系统是由我司自主研发的面向企业网络接入管理的一款产品，能够在不改变网络结构的情况下，对各种复杂网络实现准入控制，在实现准入控制基础上，通过边界探测技术，对全网的网络边界各接入点实现自动探测和防护，加强了网络可视性和可控性。系统支持包括802.1x、策略路由、VLAN隔离、DHCP等多种先进准入控制技术，提供多场景的准入控制应用，适应企业复杂的网络环境，针对内网的安全管理工作，率先提出了“设备可知“、”入网可信“、”边界可控“、”行为可管”的网络准入管理概念，在性能上、功能上优于基于Software-baseNAC和Infrastructure-baseNAC的厂商，对网络中的用户、终端、网络、应用进行全方位的管控。

NAC：总体解决思路 icon

违规不准入，准入必合规

发现
快速发现、识别全网接入设备，包括终端、网络设备、哑终端，实现资产自动化梳理。

管理
采用业内主流的8种准入控制技术，针对不同类型终端，采取不同的准入管理策略。

呈现
可视化大屏，对全网设备运行设备状态进行统一监控，将全网接入资产信息可视化呈现。

自动发现在线设备

终端设备流程化管理

安全态势可视化呈现

内置丰富报表，基于多个维度，对在线资产快速核查

核心功能

多样化的准入控制技术

系统支持６大准入控制技术，包括：802.1X、EVG、策略路由、端口镜像、DHCP、透明网桥，适用于不同的网络环境，多种准入技术复合应用，大大提高了网络适应性。

丰富的用户认证方式

系统提供多种认证方式，包括用户名/密码、口令卡、短信认证、动态令牌、指纹认证、证书认证，根据用户的安全需求，可以灵活组合，使用户的认证环节更安全。

精准的网络资产识别

系统采用先进的技术手段，对网络资产信息精准的识别，包括：PC机、笔记本、手机、打印机、IP电话、摄像头等设备,通过设备扫描，被动监听等多种方式相结合，将收集到的网络资产，建立台账信息，同时结合准入控制功能，对指纹信息发生变化的终端进行告警或阻断，防止非法设备伪造MAC地址接入网络。

无客户端的准入方案

系统支持无客户端模式的准入控制方案，通过web重定向引导页面，即可完成用户的准入控制，解决了系统资源的占用、实施困难、客户端兼容性等问题，让管理简单、高效。

灵活的终端基线检查

系统支持终端安全加固、安全基线、USB接入管理、安全防护、强制行为控制等检查策略，并且在用户访问的整个过程当中都可以进行检查，一旦发现于预定义的策略不符，系统可以进行告警或阻断。

产品优势

网络适应性强
网络设备品牌无要求，支持市面所有品牌交换机，适应各种复杂网络环境，有线、无线、专线。

多场景安全接入
提供无客户端准入控制，有客户端终端安检、基于“人”的实名制认证，多种场景灵活部署。

多维度终端管控
支持PC电脑入网合规检查、持国产化操作系统、LINUX系统安全检查，支持哑终端安全防护。

一体化联动方案
开放式API接口，支持与桌面管理系统、零信任SDP、高级威胁检测与响应、数据防泄密产品联动。

可视化报表呈现
通过多种模板呈现，实现资产可视化、安全可视化、行为可视化，让运维管理人员第一时间发现资产的安全态势。

场景一、无感知终端接入场景（轻量级） icon

入网无感知：入网用户无需作任何操作，无感知入网；以终端作为入网条件：管理后台后台维护终端可信名单（IP地址、MAC地址）；友好提示：不在可信名单终端通过浏览器提示，由管理员审批入网。

场景二、实名制用户接入场景（中量级） icon

身份认证：终端入网必须通过身份认证；终端合法准入：身份认证成功后，对终端进行合法准入（IP地址、MAC地址）；实名制管理：身份认证成功后，自动关联用户、IP、MAC地址等。

基于“人”入网实名制管理 icon

多因素认证：认证方式业界最全，并支持扩展；支持多因素组合认证。认证协议业界最全，充分利用现有的管理体系。默认开启证书认证模式，安全理念贯穿产品设计始终。

身份数据来源

自建账号

LDAP/AD用户

RADIUS用户

数据库用户

Oauth服务器

身份校验方式

静态口令

证书

USBKey

短信

动态口令（硬令牌）

手机令牌（软令牌）

场景三、外部访客接入场景（中量级） icon

员工授权：可采用二维友、授权码等多种方式进行授权，可自定义入网时长；权限控制：可基于角色，对访客人员进行安全域访问控制，细粒化管控；入网记录：自动关联访客人员与接待人员的授权访问记录，方便追朔。

场景四、终端安全合规接入场景（重量级） icon

准入依据：身份合法、终端合法、终端合规；一键修复：无需管理员参与，提供傻瓜式修复；客户端支持：终端安全检查，依赖客户端程序，通过引导页面，引导安装。

终端入网安全检查

终端安全管理类
USB设备管理

终端ACL管理

可信SSID管理

AD域检查

软件下发

非法外联管理

计算机名称检查

系安全管理类
密码策略设置

弱口令账户

Guest来宾账户

屏幕保护设置

补丁检查

Windows防火墙

系统时间

行为规范管理类
系统服务检查

必须安装的软件

必须运行的进程

禁止安装的软件

禁止运行的进程

杀毒软件检查

场景五、IOT哑终端接入场景 icon

对IOT设备的非法接入管控、脆弱性扫描、异常行为发现

多种准入控制方式，适用不同网络环境 icon

802.1X

旁路部署，交换机端口镜像，支持 802.1X认证，控制交换机端口

EVG

旁路部署，端口VLAN切换，二层网络环境，控制到端口级 DHCP

旁路部署，对IP控制动态IP环境，控制到终端层

SNMP

旁路部署，交换机端口开启关闭支持SNMP协议，控制交换机端口启停

策略路由

旁路部署，上行数据引流三层网络环境，控制到核心交换机透明网桥

串接部署，过滤所有流量任何网络环境，控制到访问区域

端口镜像

旁路部署，交换机端口镜像交换机支持端口镜像，控制在交换机镜像源地址

ARP准入

旁路部署，ARP控制主机流量二层网络环境，控制到终端

网络边界清晰可管简化运维 icon

设备发现与阻断-无需客户端

HUB:通过交换机联动;

NAT:通过数据报文及指纹信息;

随身WIFI: 与NAT设备同理;

下接终端控制-需要客户端(HUB除外)

NAT:更改TTL值;

随身WIFl:通过客户端，禁止共享服务;

精准识别接入网络IP端点信息 icon

IP地址状态统计

IP地址矩阵图

IP使用详细信息

实名制IP管理

IP使用记录

IP/MAC绑定

支持多场景接入管控

办公
无客户端模式

支持证书、令牌环等做强身份认证

对终端进行合规检测

出差
通过IPSEC

VPN方式

访问公司内网资源，实现统一认证授权

访客
无客户端模式

微信/短信认证

二维码/WEB认证

哑终端
摄像头、打印机、取款机等不能主动发起认证，也能统一认证管理，采用MAC、指纹认证

支持灵活的部署模式

管理可以自定义终端入网流程及接入策略，提供有客户端、无客户端部署模式。支持是否开启身份认证，支持是否安装客户，支持是否允许用户修改密码，支持是否管理员授权，支持是否开启基线核查，支持设备注册和审核，支持是否开启访问控制，支持来宾上网码申请，支持限制用户在线时长。

兼容市面主流操作系统 icon

检查终端入网环境是否存在安全风险：

WIN系统
兼容WIN 7、WIN 8、WIN XP、WIN 10等，安全基线检查策略

国产化系统
兼容UOS、麒麟、中科方德、凝思磐石、深度等安全基线检查策略

Linux系统
兼容Centos、Redhot、Fedora、Ubunt等安全基线检查策略

内置指纹库，安全准入无死角 icon

40大类，100多个厂商，可自定义

PC设备(Windows、Mac等）

网络设备（思科、华为、锐捷等）

服务器（Windows、Linux、视频服务器等）

移动设备（Android、Iphone等）

摄像头（Hikvision，Dahua，YAAN等）

网络打印机（HP、施乐、柯尼卡等）

IP电话（Avaya、YEALINK、华为、宝利通）

指纹机（Keico Hightech等厂家）

点钞机（Zhejiang Weirong，GLORY等厂家）

……

动态安全域管控，细粒化访问控制 icon

基于角色“动态”授权，细粒化“访问控制”规则

多样化部署方案

icon 资产台账可视化管理 icon

高可用性保障业务连续性 icon

开放API，一体化联动方案 icon

终端管理系统（ISM）
通过API接口联动，检查PC是否安装终端管理客户端，如未安装，强制引导安装。

高级威胁检测与响应（EDR）
通过API接口联动，强制安装EDR客户端，发现异常终端，通知NAC强制下线。

零信任(SDP)
构建内、外网接入解决方案，对有风险的终端，通过API联动，基于网络的阻断。

数据防泄漏（DLP）
DLP调用API接口，通过与NAC联动，强制PC安装DLP客户端。

成功案例（部分）

武汉大学中南医院

需求总结

医院终端多样化，需要做到安全接入管控；信处化技术水平有限，需要一套工具，做安全管控，简化运维；需要加强终端的安全管控；

部署效果

通过入网的身份认证、准入授权、安全检查，实现流程化的管理方案，加强终端安全；通过对全网IP设备的采集、IP地址管理、终端定位，大大提高了运维效率；

泰州公安应用－视频专网 icon

需求总结

全网IP设备的发现与分类；基于旁路无感知的准入控制管理；摄像头设备的安全状态，弱口令、漏洞；

部署效果

全网IP设备发现、分类；实现对市、分局所有接入的终端、服务器、摄像头进行准入控制；分级部署、集中管理；

泰州公安应用－信息网 icon

一机两用安装率、违规外联、终端弱口令等每年部里考核

需求总结

资产管理难，台账不清晰；一机两用安装率低；非法接入终端无法管控；

部署效果

通过一机两用联动，实现全网资产的自动化运维；对入网终端进行合规检查，对违规终端隔离修复；对终端违规外联行为第一时间阻断。

某税务网络准入应用场景 icon

需求总结

终端违规外联通报；终端接入无管控；无法及时了解各终端安全接入状态；

部署效果

终端违规外联通报；终端接入无管控；无法及时了解各终端安全接入状态；

湖北省高级人民法院

FYB/T 53006—2020《法院专网网络准入和主机防护技术规范》

需求总结

各下级单位私搭乱建；终端安全不可控；行标驱动；

部署效果

对高级院、中层院所有的IP设备进行梳理、分类，方便后续运维；对入网终端设备进行准入控制，必须由运维人员确认方能接入，防止私搭乱建；

产品推荐查看更多>>

应急处置工具箱

天镜网络安全事件应急处置工具箱，是一款通过安全策略快速定位问题，融合多种网络安全应急处置能力，针对网络攻击、网络入侵、恶意程序等导致的网络安全突发事件，实现快速响应，并尽可能将事件造成的损失和影响降到最低的应急处置设备。

安全可靠

高效稳定

立即咨询查看详情

美创科技医院防统方安全系统

医院防统方安全系统以统方数据为核心，提供事先防范、事前阻断、事中预警、事后审计，覆盖整个统方数据访问生命周期，形成全面的防统方安全管理体系。

安全可靠

功能完备

立即咨询查看详情

移动云网络安全平台

DDoS防护产品是移动云为企业用户量身打造的一套DDoS纵深防护体系。包含近源抗D防护、DDoS高防和DDoS原生防护多种防护规格，具备全面、高效、灵活的DDOS防护能力，保障用户业务的稳定、安全运行。

防护面广

防护力强

响应迅速

专业运营

立即咨询查看详情

数字化社区查看更多>>