准入概念
网络准入控制 (NAC=network clean access) 是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC，客户可以只允许合法的、值得信任的终端设备接入网络，而不允许其它设备接入。

等保2.0与准入
a)   应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；
b)   应能够对非授权设备私自联到内部网络的行为进行限制或检查；
c)   应能够对内部用户非授权联到外部网络的行为进行限制或检查；
d)   应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。
a)   应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；
b)   应在关键网络节点处检测和限制从内部发起的网络攻击行为；
c)    应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；
d)  当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 a)   应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；
b)   应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；
c)   当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；
d)   应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。
a)   应对登录的用户分配账号和权限；
b)   应重命名默认账号或修改默认口令；
c)   应及时删除或停用多余的、过期的账号，避免共享账号的存在；
d)   应授予管理用户所需的最小权限，实现管理用户的权限分离；
e)   应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；
f)   访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。









解决方案：ASM设备特点


终端识别分类：自动识别接入的终端资产设备类型、系统和相关信息，并自动分类统计


网络信息识别：自动识别网络位置，绘制拓扑图，图形化展示交换机面板信息，进行精确终端定位。


IP地址识别：图形化展示各子网IP地址使用状态，可进行查询、回溯，执行IP、MAC、端口绑定。




准入技术丰富：拥有业内最丰富的准入技术，支持准入技术复用，适用于各种网络环境。

计算机、手机准入控制：确保用户实名接入，终端合规入网，访问权限清晰。

用户入网流程：通过web重定向页面自主完成身份认证、客户端安装、设备注册、安全检查等入网流程

哑终端准入控制：自动识别哑终端类型，放行合法哑终端入网，防止非法终端伪造哑终端IP、MAC入网

网络边界设备管理：展现网络设备连接信息，精确定位终端所在交换机端口。实时发现网内存在的HUB和NAT设备，杜绝“网中网”行为。



统一管理平台（ACMS）：对准入系统进行统一管理，实现全网终端、设备数据集中汇总、分析与展示，感知准入系统运行状态，对准入系统进行统一策略下发。


入网规范 网络准入 苏州