安极网络准入安全网关

       安全主体

        系统主功能

           子功能

                                 描述

      服务器区管理  

        服务器数据保护  

         服务器资源集中管理

     集中登记注册单位核心服务器，以及服务器相关的网络地址分配。

         访问服务器认证授权

l  通过SecEInfo网络域技术，能识别通过网络访问服务器的任意主机类型：网络域内终端主机、网络域外终端主机。

l  针对两种类别主机授予不同访问权限：禁止、允许。

l  SecEInfo网络域技术有效解决“边界防火墙”存在的“修改MAC/IP、NAT、VPN、代理服务器”等安全漏洞问题，防止“可信的人在不可信计算机上访问服务器”不安全事件发生。

        服务器分级管理

l  授予不同网络域的主机访问同一服务器的权限：允许、禁止。

l  授予同一网络域的主机访问不同服务器的权限：允许、禁止。

        哑终端访问策略

     对于“哑终端、嵌入式设备或者移动终端”等不能走网络隧道，但还需要访问一些不重要的服务的情况，可设置IP/端口白名单列表。

        访客域访问授权

l  主机处于不安全状态时自动进入访客域，授权访客域内终端主机对服务器区的访问权限：禁止、允许。

l  一般设置仅对维护服务器允许访问权限，对数据服务器授予禁止访问权限。

                 Internet网络访问

     自动识别访问来自局域网还是Internet，并对不同的访问授予不同的权限。

        网络数据通信加密

     主机与服务器区之间的网络通信都是加密的，防止网络窃听重要数据。

        防御网络攻击入侵

     采用了数据来源认证技术，具有强大的防止非法服务器攻击的能力。

        支持多种访问方式

     支持“网络共享、B/S、C/S”等访问服务器访问方式的管理。

        支持多种网络部署

     支持透明、路由、混合模式，部署灵活多变。

        支持任意架构服务器

     支持各种不同操作系统的服务器，如Windows、linux、unix、Os等；支持各种不同存储方式，如SAN等。

      网络系统区

      网络分级/准入管理

        网络准入控制

     基于网络域技术，实现高安全性的准入管理：

l  网络通信设备之间通过协商相互认证，并建立安全隧道，实现安全通信，实时拒绝与隧道外的网络设备通信。

l  该功能不但具有其他准入具有的功能，还有效弥补了其他网络准入技术在“NAT、VPN、代理服务器、双网卡、网线直联”等方面存在的安全漏洞。

       网络准出管理

     基于网络域技术，实现高安全性的准出管理：

l  控制单位合法计算机访问外部网络通信路径，防止其通过“拨号、代理服务器、双网卡、VPN、NAT、网线直联”等方式连接不可信网络或者不可信计算机，必须通过SecEInfo安全网关（具有网络边界数据传输控制功能）才可以访问不可信网络，杜绝绕过边界安全产品访问不可信网络的安全事件发生。

       网络分级管理

     由于不同部门所处的安全级别不同，SecEInfo可对其网络域分级划分管理：

l  同一网络域的部门内主机可自由网络通信；

l  不同网络域部门间主机禁止网络通信。

       网络通信加密

    网络通信加密建立在网络域基础上，对网络通信数据流加密；不同网络域的密钥各自不同。

       离线网络域授权

    针对离线情况下，提供申请离线禁止、启用网络域策略，方便出差上网。

       终端主机 

       应用准入管理

       网络安全隧道

     进程级规则

l  设置进程签名规则，认证通过进程其网络通信自动进入网络安全隧道。

l  适用：针对C/S架构的服务，通过网络安全隧道相互认证客户端与服务端的合法性，只有都合法才能进行正常的网络通信。

     服务级规则

l  设置服务器资源规则，任何进程对其网络通信自动进入网络安全隧道。

l  适用：针对“B/S、网络邻居”等架构的服务，通过网络安全隧道相互认证客户端与服务端的合法性，只有都合法才能进行正常的网络通信。

       用户身份认证

    用户身份认证，只有用户身份合法才允许访问服务器资源。

       网络分域管理

    不同部门处于不同网络域中，其网络通信走各自的网络隧道，实现网络分级，防止部门间交叉访问而造成的信息泄露。

       策略分组授权

    对策略分组，减轻管理人员的工作负担。

      终端安全入网

       安全状态定义

    使用进程签名技术，用户自定义终端主机安全状态。如必须运行某杀毒软件、某文档加密系统等。

      安全状态监控

      状态监视

     实时监控安全状态。一旦安全状态发生了变化，则启动安全状态控制引擎。

      状态切换

     安全状态引擎根据当前主机状态，进行不同的控制操作：

     主机处于安全状态。引擎引导主机进入业务网络系统。

      主机处于不安全状态。引擎切断主机与业务的网络连接，自动进入访客域，以便对自身状态修复。

       策略分组授权

     对策略分组，减轻管理人员的工作负担。

      网络边界区 

     网络边界数据传输控制

      未识别应用协议访问控制

     设置未识别的应用协议访问控制准则，默认为禁止访问。

     识别应用协议访问控制

     针对数据安全需求，设置应用级访问授权准则。

     支持如下应用，并根据用户需求可动态扩展协议：

          HTTP、网盘、Web mail、微博、博客、BBS、SMTP、FTP、TELNET、HTTPS、SVN SVN、SVN HTTP、SVN HTTPS、网络邻居、QQ、MSN、FeiQ等。