Bkav NAC
Giải pháp kiểm soát chính sách an ninh
Tải về
Bkav NAC là một giải pháp kiểm soát truy cập mạng – Network Access Control (NAC) có chức năng điều khiển truy cập mạng, giám sát và phát hiện xâm nhập.
Mô hình triển khai
Tính năng
Xác thực và đăng ký
  • Hỗ trợ 802.1X: Mạng Wireless và wired theo chuẩn 802.1X đều được hỗ trợ thông qua một module RADIUS được tích hợp sẵn trong thiết bị. Thiết bị hỗ trợ nhiều cơ chế EAP: PEAP-TLS, EAP-PEAP, …
  • Hỗ trợ đăng ký cho máy cần truy cập mạng: Khi người dùng truy cập mạng, thiết bị hỗ trợ cơ chế đăng ký với nhiều tùy chọn tương tự như các giải pháp “captive portal” khác. Điểm vượt trội của giải pháp xác thực web trên thiết bị là có thể ghi nhớ người dùng đã đăng ký trước đó và sẽ tự động cấp quyền cho họ truy cập mà không cần xác thực trong những lần sau. Thiết bị có thể chỉ định một chính sách mà trước khi người dùng được truy cập mạng thì họ chấp nhận chích sách đó.
  • Tích hợp với các mạng không dây (Wireless): Thiết bị có thể tích hợp tốt với các mạng wireless nhờ sử dụng module RADIUS. Từ đó cho phép nâng cao tính bảo mật các mạng wireless và wired theo cùng một cách giống nhau để đảm bảo tính nhất quán và thuận tiện cho người quản trị, sử dụng cùng một cơ sở dữ liệu người dùng
Compliance
  • Phát hiện các hoạt động mạng bất thường: Các hoạt động mạng bất thường (virus máy tính, worms, spyware, gói tin chặn bởi các policy trong mạng, vv) có thể được phát hiện bằng cách sử dụng IPS của thiết bị để kiểm tra các lưu lượng trong mạng hoặc các sensor được cài trên thiết bị đầu cuối. Từ dấu hiệu quản trị có thể cấu hình cho mỗi vi phạm một tập các hành động có thể là loại bỏ hoặc chấp nhận. Ngoài ra, thiết bị còn cung cấp cho người quản trị có thể cấu hình cảnh báo khi phát hiện dấu hiệu qua mail hoặc SMS
  • Windows Management Instrumentation (WMI): Thiết bị có hỗ trợ WMI cho phép quản trị viên thực hiện kiểm tra, thực thi câu lệnh, cấu hình trên bất kỳ máy tính Windows nào được quản lý bởi Domain Controller (DC)
  • Quản lý chính sách: Trong khi thực hiện xác thực cho người dùng, thiết bị có thể thực hiện đánh giá máy của người dùng có phù hợp với chính sách đã được quy định trước chưa bằng giao thức TNC Statement of Health. Ví dụ, khi máy người dùng truy cập vào mạng thì thiết bị có thể xác minh xem máy đấy đã được cài đặt phần mềm diệt virus chưa, đã được cập nhật đầy đủ bản vá chưa, …
  • Quét lỗ hổng chủ động: Thiết bị tích hợp sẵn module Nessus có thể chủ động quét các lỗ hổng trong mạng hoặc các thiết bị đầu cuối. Sau khi quét xong thiết bị sẽ trả về một trang web có thông tin cụ thể về lỗ hổng và hướng dẫn cách vá. Người quản trị có thể lên lịch chủ động quét.
  • Security Agents: Thiết bị cung cấp các sensor cài đặt lên máy người dùng để thực hiện việc kiểm tra trước khi thiết bị đấy được cấp quyền truy cập mạng.
  • Khắc phục thông qua phương thức xác thực web: Trường hợp máy tính người dùng không thể truy cập được mạng do vi phạm các chích sách mà thiết bị đưa ra, người dùng sẽ được chuyển hướng đến URL thích hợp và ở đấy sẽ có các hướng dẫn khắc phục cụ thể để tối ưu công việc cho người quản trị.
  • Cách ly các thiết bị có vấn đề: Thiết bị hỗ trợ một số kỹ thuật để cách ly bao gồm cả cách lý VLAN (hỗ trợ cả VoIP) với nhiều nhà cung cấp thiết bị.
Quản trị
  • Thiết bị quản trị thông qua giao diện web hỗ trợ các cấp độ quyền khác nhau cho người dùng và xác thực người dùng đối với LDAP hoặc Microsoft Active Directory