NBADswitch除了是一款具备26/50口 10/100Mbps传统Layer 2边际交换机以外,也是一款群组网络的安全侦测器(NBADsensor),它的设计目标就是-以线速效能达成局域网稽核、攻击防护、完整及多层次的可用性与深层的安全管理,以达到内网安全第一线的网络用户网虫散播侦防、隔离、并达到自我治疗、复原的目的。这些手段包括:
Authentication - 设备认证(MAC、IP)、身份认证(802.1x & Health Check)
身份认证-NBADswitch支持IEEE 802.1x认证机制,让网络使用者进入网络之前必须经过身份确认的程序,并支持SyGate、Microsoft NAP端点安全认证,以确保使用者入网前可以提供主机完整性检查(Host Integrity Check)。
设备认证-NBADswitch芯片支持(MAC)、(Port+IP)或(MAC+IP)绑定的设备认证机制(Device Authentication),让不便使用IEEE 802.1x身份认证机制的人员或设备,可利用此机制达到阻止未授权设备(Rogue Device)的入侵或避免网络MAC/IP存取冲突。
Detect - 蠕虫侦测、异常侦测
NBADswitch内建第四层讯务流量统计及异常流量的ASIC芯片,每个封包经过交换器上的每一个端口均可送往此芯片监测,以线速检视是否为不友善的攻击封包,而提供的异常侦测方式包括下列二种:(1)特征侦测(signature based) -已发现之严重等级的蠕虫特征 (2)异常侦测(anomaly based) - 这是一种统计基础的防卫机制,预设每个IP合理的讯务流量临界值(thresholds),当某网络用户session流量超过此临界值,NBADswitch可立即根据预设之的管制动作采取行动。
NBADswitch 高端功能
NBADswitch这些进阶网络功能包括:
认证安全 - Network Access Security
NBADswitch 提供layer 2/3 进阶的网络存取的功能, 用以减少降低网络存取冲突,它包含下列主要三项:
(1). MAC、IP binds for Device Authentication - Device"bound"by管制白名单
A. (port + IP) 的白名单: 这个机制在限定某一特定port只允许某些特定IP address通过网络网络作。
B. (MAC + IP) 的白名单: 这个机制其实是为了一些不便使用ID/PASSWORD或是以802.1x方式认证的设备所设计的,可利用此机制达到阻止未授权设备(Rogue Device)的入侵,另外也可借由这个机制过滤避免IP Address冲突发生。
以上A or B仅可选择一种策略。
C. H/W based & limited to 192 elements - 硬体基础的绑定,不影响交换器效能,目前每台交换机只允许最多192个绑定(binding)的设定。
D. 至多只有一条管制条例会被选择执行
如果不符管制条例任一项, 设备就无法通过认证
所有入侵都被记录在SNMP trap 或是syslog
E.适用于non-mobile 或 mobile 的系统或设备,诸如 : printers、servers 或WiFi 系统
