端点安全：网络访问控制 (NAC)

当今，安全经理肩负着预防客户私有数据被盗或泄漏的责任，并且大多数安全经理还要向审计人员进行报告，证明他们已经为保护信息采取了安全措施。另外，企业正逐渐允许并非他们拥有或管理的PC远程连接他们的网络。客户PC与供应商PC，有时候员工的家用PC也会被允许访问关键的系统和数据。

在所有连接到网络的PC中实施一种访问策略，被认为是预防恶意软件及其他影响保密信息的攻击最有效的方法之一。然而，潜在的网络干扰，以及大部分网络访问控制(NAC)方法增加的管理复杂性限制了该技术的采用。

Check Point端点安全具有统一的NAC功能，可保护企业免受不安全的端点连接到他们的网络的风险。但是与其他解决方案不同的是，它能够最大限度地利用对防火墙、VPN、交换机以及端点安全的投资。

1. 确保端点的合规性
在允许网络接入端点之前和接入之后，Check Point NAC会实施策略，要求对以下各方面进行更新：防病毒程序、防间谍软件程序、防火墙规则与软件补丁；特定的应用版本和注册项；以及其他标准。它能够隔离不安全的员工PC，并且无需终端用户参与即可自动对它们进行合规性处理。Check Point NAC还能通过承包商、客户和未知访客用户对网络访问进行限制，并减轻未托管PC带来的风险。

2. 联合实施
在允许企业或访客电脑访问网络之前，Check Point端点安全能够实施一种符合全面的网络访问控制(NAC)的策略。Check Point端点安全采用Cooperative Enforcement™（基于主机的NAC）技术，预先与OPSEC合作伙伴和许多其他网络和安全供应商相集成。Check Point端点安全客户端软件在PC上对的NAC策略合规性进行评估，并将结果传达到网关，以允许或阻止网络访问。

对于内部NAC, Check Point端点安全与Check Point的VPN-1安全网关的防火墙组件结合使用，可提供网络分段级的防火墙NAC。Check Point端点安全还能够与大量来自其他供应商的交换机和无线接入点结合使用，以确保只有安全、合规的PC能够获得访问LAN的权限。另外，Check Point端点安全支持行业标准的802.1x验证，在多供应商网络环境中支持NAC，并且没有将企业锁定在一种供应商网络设备或软件中。其结果是成本效益更高，并且NAC部署不受影响。

在企业环境中，VPN-1防火墙组件能够与Check Point端点安全联合实施端点安全合规性。该功能充分利用了Check Point端点安全服务器的合规能力，以核实来自内部网络各种主机的连接。采用联合实施功能，任何主机通过网关进行连接都要进行合规性测试。例如，如果一个端点试图穿越防火墙，VPN-1就能够对Check Point端点安全进行检测，然后确定适当的安全状态，例如电脑是够启用了正确的策略、补丁等级或防病毒程序。如果端点是合规的，那么就允许其访问企业网络。如果端点不具有合规性，那么就被限制在一个独立的虚拟局域网（VLAN）上，或者流量被限制在特定的目标IP地址、端口和协议。这就增加了网络的完整性，因为它阻止了带有恶意软件组件的主机访问网络。通过与Check Point端点安全进行联合实施，VPN-1支持管理员使用他们的安全网关获得对他们内部网络的控制。

对于远程访问NAC,Check Point端点安全能够与Check Point VPN-1、Connectra网关，以及包括Cisco Systems、Microsoft和Nortel Networks在内的其他供应商的VPN结合使用。在数据流量允许访问网络之前，Check Point端点安全将对通过VPN进行连接的端点的合规性进行检测。

3. 安全的自动修复
Check Point端点安全提供自动修复功能，以纠正诸如过期的防病毒软件或缺少补丁等违反访问策略的行为。Check Point端点安全能够从管理服务器进行更新，并自动将这些更新安装在不合规的端点，而不对终端用户的工作效率产生影响。

4. 集中管理
所有用于网络访问控制的Check Point 产品，都能够从单一的管理平台进行管理。统一管理为管理员提供了有效的解决方案，并为审计人员和高管提供一致且完整的连接性与安全性事件报告。

考虑到保密数据被盗或泄漏的潜在成本，现在就要阻止不安全的端点连接到你的网络。欲了解Check Point端点安全统一的 NAC解决方案的详细信息，请使用下列资源。

Check Point NAC

OPSEC 技术合作伙伴
认证集成