ClearPass技术交流

Sub headline is 24 pt Arial bold,Text 1,First-level bullet is 24 pt Arial bold,Second-level bullet is 20 pt Arial,Text 1 lighter 35%,Third-level bullet is 18 pt Arial,Text 1 lighter 35%,First-level bullet is 24 pt Arial bold,Second-level bullet is 20 pt Arial,Text 1 lighter 35%,Second-level bullet is 20 pt Arial,Text 1 lighter 35%,Third-level bullet is 18 pt Arial,Text 1 lighter 35%,Third-level bullet is 18 pt Arial,Text 1 lighter 35%,Click to edit Master title style,CONFIDENTIAL Copyright 2011.Aruba Networks,Inc.All rights reserved,ClearPass,技术交流,People move.Networks must follow.,网络接入需求在企业环境的发展趋势,The iPad,地震,80,million iPad users worldwide,Source:iPad for Business Survey 2012;IDC,终端结构的裂变,30,年来第一次,少于,50%,的终端是基于,Windows/Intel,100%,财富,500,强已经认可,iOS,i,Pad,销售,:,年增长,111%,(2012,年第一季度已销售伍百四万个,IPAD,),*Apple Q1 Results,IT,的大众消费化,By:Dimensional Research 2011,中国客户调研,78.9%,允许员工自带设备,57.8%,允许外来访客入网,58.2%,认为安全是最大的挑战,43.4%,希望网络便于维护管理,企业网络接入需求的变化趋势,终端类型,接入方式,用户身份,BYOD 2011,ANY DEVICE,ANY NETWORK,BYOD 2012+,Employee,iOS,EVERYONE,VPN,BYOD,带来的企业接入新挑战,ANY NETWORK,BYOD 2012+,VPN,iOS Android Ultrabooks,ANY USER,如何才能持续保护企业网络和用户终端安全？,如何才能使员工和访客接入拥有更加可靠和直观的体验？,如何才能减少,IT,和帮助台人员的工作负担？,ARUBA,帮助您开启,BYOD,网络服务,ClearPass,提供用户帐号的管理、以及基于用户身份、终端类型和接入位置的识别和策略分发,Mobility,Controller,配合各种类型的“瘦”接入点对用户流量进行策略控制,AirWave,实现网络和用户历史信息的统计和追踪,新型移动企业架构,AirWave Network,Management,数据中心,Mobility Controller,+,各种类型的“瘦”接入点,WIRELESS,WIRED,VPN,REMOTEOFFICE,OUTDOOR,各种终端设备,ClearPass Access Management,+,ARUBA ClearPass,方案介绍,ClearPass Policy Manager,:,中心化的身份认证和策略决策,另外提供以下功能组件：,ClearPass Onboard,:,访客和员工移动终端的自助配置和部署,ClearPass Profile:,多因素终端识别，提供策略决策的依据,ClearPass OnGuard:,终端设备的健康性检查和自动修复,ClearPass Guest:,访客接入的帐号自助注册和集中管理,ClearPass QuickConnect:,基于云端的,802.1X,快速部署服务,Aruba ClearPass,产品简介,实现企业,BYOD,的开放式架构,ClearPass,实现移动终端的安全接入,终端部署,1,策略决策,2,策略实施,3,自动化的员工终端部署（,Onboarding,）,1.,访问终端部署页面,接入网络,2.,VPN,ClearPass,策略服务器,1,配置终端的,802.1X,、,VPN,和,e-mail,参数，并部署终端证书或密钥,ClearPass QuickConnect,简化,802.1X,部署,ClearPass QuickConnect,简化,802.1X,部署,自动化的访客终端部署（,Onboarding,）,1.,3.,接入网络,2.,联系人对访客帐号进行确认,ClearPass,策略服务器,访客帐号通过,web,、,email,或短信进行分发,填写访客信息,新来访客,联系人,ClearPass,访客管理（,Guest,）,Centos 5.5 Linux OS,2.6.18 kernel,FreeRadius,Fast,feature rich and scalable,PostgreSQL Database,ANSI-SQL:2008,Apache Web server,Runs over 100 million websites,54%of internet websites(Feb 2010),ClearPass Guest,部署架构,ClearPass,Guest,基于,Role,的访客管理员权限,基于,Role,的访客管理员权限,每个访客管理员具有各自的管理界面,每个访客管理员只能访问各自的页面和表单,每个访客管理员只能创建和查看各自指定的访客帐号,ClearPass,Guest,访客帐号管理,集中管理模式,访客帐号管理,自助注册模式,访客帐号创建,可以与访客手机帐号绑定,支持联系人,email,确认机制,支持,LDAP,预认证机制,访客帐号的分发,Web,页面,Email,发送,打印访客凭条,手机短信发送,定制个性化企业风格页面,基于访客信息的智能广告服务,广告媒体格式：,文字,图片,(jpg,png,gif),Flash,文件,(swf),在线视频,SMS/MMS,广告投放算法：,固定投放,轮流投放,加权投放,智能分析,多厂商无线网络设备整合,终端接入的策略决策,Employees,Contractors,Guests,Students,Faculty,HQ,Branch,Home,Remote,Time,of day,Data,Video,Voice,Health,Device,Type,Personal,Corporate,Policy,VPN,Media,Virtual,Desktop,Cloud,允许员工个人终端访问受限的网络资源,BYOD Policy,为企业高级经理人员提供更高的优先级,Executive Class Policy,实现协同办公系统（,Lync,）的服务质量优化,Multimedia Policy,阻止非授权的用户接入,Unauthorized Use Policy,撤销丢失终端的接入授权,Device Revocation Policy,隔离并修复不符合企业安全准则的终端设备,Device Quarantine Policy,2,ClearPass,终端识别（,Profiling,）,ClearPass Policy Manager 5.1,自动识别所有终端设备,智能手机,平板电脑,打印机,笔记本电脑,实施基于终端类别的精细策略,仪表盘实时显示终端分类统计,终端设备的精确分类,5,级终端分类,数据采集器,MAC,DHCP,HTTP,企业基础设施,ActiveSync,IF-MAP,AD,ClearPass,策略服务器,移动控制器,OnGuard,网络安全准入控制（,OnGuard,）,收集终端设备信息,检测终端是否健康,阻止不安全终端对企业网络资源的访问,修复不安全终端,将网络安全隐患限制到最低程度,接入网络,ClearPass,策略服务器,在网络中实施差异化策略,任何网络,ClearPass,策略服务器,负责终端策略决策,终端策略实施,Permit,Deny,Whitelist,Blacklist,Redirect,NAT,Bandwidth Mgmt,Optimize Multimedia,ARUBA,提供更加优化的策略实施能力,3,无线用户的关联历史审计,用户,时间,IP,地址,位置,Bingo!,导出关联记录,4,简化移动终端设备的部署的连接,ARUBA ClearPass,的价值,重新获得对网络安全的控制能力,在多样化的企业网络中启用,BYOD,案例介绍,沙特石油公司,解决方案,作为,Radius,服务器提供,802.1X,认证服务,未授权用户和非健康终端控制器,BYOD,终端自助注册和部署服务,ClearPass,Policy Manager,OnGuard,和,QuickConnect,选择,ARUBA,的原因,支持多厂商网络设备和多终端终端操作系统,支持服务器,N+1,集群和扩展,完整的,AAA,NAC,和,策略管理功能,快速的,802.1X,终端自助部署能力,项目背景,在,3,年内增长到,18,5000,个终端设备,网络设备,:Aruba,HP,Juniper,HP,Alcatel-Lucent,Cisco,AD,案例介绍,国内某证券公司,用户需求,将用户区分为临时访客、长期访客和内部员工,认证和接入控制机制：,临时访客：,Web Portal,认证,长期访客：,802.1X,认证,+,网络安全准入,内部员工：,802.1X,认证,+,结合企业,AD,要求采用自助注册和部署机制,统一,Portal,引导页面,系统部署,ARUBA,无线控制器,+802.11n,无线接入点,ARUBA ClearPass Policy Manager+Guest+OnGuard+QuickConnect,案例介绍,国内某证券公司（,ARUBA,实现方式）,Guest,临时访客,联系人,注册审核,长期访客,内部员工,Dot1X,ClearPass,Guest,ClearPass,策略服务器,Active,Directory,企业网,互联网,unhealthy,healthy,连云港用户测试案例介绍,用户需求,在客户侧实现外网（,chinanet,）和内网无线覆盖；,在客户的无线覆盖区域，只允许特定客户可以使用无线网络；,客户在登录外网或内网是均采用“一次一密”；,由于某公司主要用电信的天翼手机，密码的获取方式采用手机获取；,在客户侧接入的客户分为三类：一、只能上外网，二、只能上内网，三、既能上内网，又能上外网。,网络拓扑结构,客户自助注册的实现方式,手机号码查询,ARUBA,控制器,ClearPass,Guest,Active,Directory,基于内容的策略控制,Employees,Contractors,Guests,Students,Faculty,HQ,Branch,Home,Remote,Time,of day,Data,Video,Voice,Health,Device,Type,Personal,Corporate,Policy,VPN,Media,Virtual,Desktop,Cloud,ARUBA,实现方案的特点,基于手机号码预检测的一次一密,实现帐号与,SSID,和位置的绑定,支持,web,、手机短信等多种帐号分发机制,支持用户认证页面、自助注册页面的客户化,提供基于用户身份、终端类型和接入位置的访问权限控制,采用手机号码作为用户名，便于日后的网络安全审计,AirWave,支持最长,550,天的无线用户关联记录，包括用户名（手机号）、,MAC,、,IP,等,支持智能广告投放业务，能够在认证页面