連携製品ごとの検疫システムの概要について説明します。
(1) JP1/NETM/NMと連携した検疫システムの概要
JP1/NETM/NMと連携した検疫システムでは,セキュリティポリシーによる危険レベルの判定結果によって,危険レベルが高いクライアントについてはネットワークへの接続を遮断できます。
JP1/NETM/NMと連携した検疫システムの概要を次の図に示します。
図12-2 JP1/NETM/NMと連携した検疫システムの概要
ネットワークへの接続を拒否されたクライアントはオフライン環境でセキュリティ対策を実施するか,またはJP1/NETM/NMの検疫支援機能を使って,オンライン環境でセキュリティ対策を実施します。
JP1/NETM/NMと連携した検疫システムでの検疫プロセスを次の表に示します。
表12-2 検疫プロセス(JP1/NETM/NM)
項番 | 検疫プロセス | 内容 |
---|---|---|
1 | ![]() | クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。 |
2 | ![]() | JP1/NETM/NMによって危険レベルの高いクライアントのネットワーク接続を拒否する。 |
3 | ![]() | ネットワークへの接続を拒否されたクライアントのセキュリティ対策を実施する。
|
4 | ![]() | 危険レベルを再判定し安全と判断されれば,JP1/NETM/NMによってクライアントのネットワーク接続を許可する。 |
(2) 認証サーバと連携した検疫システムの概要
認証サーバと連携した検疫システムでは,セキュリティポリシーによってクライアントを判定し,IEEE802.1X認証方式またはMAC認証方式でクライアントを認証します。
危険レベルの判定結果でセキュリティに問題がないと判定された場合,クライアントは社内ネットワークに切り替えられます。セキュリティに問題があると判定された場合は,セキュリティ対策専用のネットワークに切り替えられます。また,ネットワーク接続を拒否することもできます。
このマニュアルでは,動的VLAN環境でのセキュリティ対策専用のネットワークを検疫ネットワークと呼びます。また,固定VLAN環境でのセキュリティ対策専用のネットワークを認証前ネットワークと呼びます。
動的VLAN環境の認証サーバと連携した検疫システムの概要を次の図に示します。
図12-3 認証サーバと連携した検疫システムの概要(動的VLAN環境の場合)
動的VLAN環境の場合,危険レベルの高いクライアントは,検疫ネットワークに接続してセキュリティ対策を実施します。また,スイッチでVLANを作成します。
固定VLAN環境の認証サーバと連携した検疫システムの概要を次の図に示します。
図12-4 認証サーバと連携した検疫システムの概要(固定VLAN環境の場合)
固定VLAN環境の場合,危険レベルの高いクライアントは,認証前ネットワークに接続してセキュリティ対策を実施します。
認証サーバと連携した検疫システムでは,アクションポリシーに基づいたネットワーク接続の許可および拒否は,JP1/NETM/CSC - Agentの接続制御リストに登録されます。接続制御リストに従って,クライアントのネットワーク接続を制御します。
認証サーバと連携した検疫システムでの検疫プロセスを次の表に示します。
表12-3 検疫プロセス(認証サーバ)
項番 | 検疫プロセス | 内容 |
---|---|---|
1 | ![]() | クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。 また,IEEE802.1X認証方式またはMAC認証方式でクライアントを認証する。 |
2 | ![]() | 接続制御リストに従って,スイッチがクライアントの接続先を次のとおり切り替える。
|
3 | ![]() | 検疫ネットワークまたは認証前ネットワークに接続されたクライアントのセキュリティ対策を実施する。 |
4 | ![]() | クライアントの再認証および危険レベルの再判定を実施し,安全と判断されれば,スイッチがクライアントの接続先を社内ネットワークに切り替える。 |
(3) NetInsight II -PDと連携した検疫システムの概要
NetInsight II -PDと連携した検疫システムでは,セキュリティポリシーによる危険レベルの判定結果によって,危険レベルが高いクライアントについては,接続しているスイッチのポートを閉じることでネットワークへの接続を遮断できます。
NetInsight II -PDと連携した検疫システムの概要を次の図に示します。
図12-5 NetInsight II -PDと連携した検疫システムの概要
ネットワークへの接続を拒否されたクライアントは,オフライン環境でセキュリティ対策を実施します。
表12-4 検疫プロセス(NetInsight II -PD)
項番 | 検疫プロセス | 内容 |
---|---|---|
1 | ![]() | クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。 |
2 | ![]() | NetInsight II -PDによって,危険レベルの高いクライアントが接続しているスイッチのポートを閉じることで,接続を拒否する。 |
3 | ![]() | ネットワークへの接続を拒否されたクライアントのセキュリティ対策を,オフライン環境で実施する。 |
4 | ![]() | 危険レベルを再判定し安全と判断されれば,NetInsight II -PDによって,クライアントが接続しているスイッチのポートを開くことで,接続を許可する。 |
(4) JP1/NETM/DM(AMT連携機能)と連携した検疫システムの概要
JP1/NETM/DM(AMT連携機能)と連携した検疫システムでは,セキュリティポリシーによる危険レベルの判定結果によって,危険レベルが高いクライアントについてはネットワークへの接続を遮断できます。
JP1/NETM/DM(AMT連携機能)と連携した検疫システムの概要を次の図に示します。
図12-6 JP1/NETM/DM(AMT連携機能)と連携した検疫システムの概要
ネットワークへの接続を拒否されたクライアントはオンライン環境でセキュリティ対策を実施します。
JP1/NETM/DM(AMT連携機能)と連携した検疫システムでの検疫プロセスを次の表に示します。
表12-5 検疫プロセス(JP1/NETM/DM(AMT連携機能))
項番 | 検疫プロセス | 内容 |
---|---|---|
1 | ![]() | クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。 |
2 | ![]() | JP1/NETM/DMのAMT連携機能によって危険レベルの高いクライアントのネットワーク接続を拒否する。 |
3 | ![]() | ネットワークへの接続を拒否されたクライアントのセキュリティ対策をオンライン環境で実施する。 |
4 | ![]() | 危険レベルを再判定し安全と判断されれば,JP1/NETM/DMのAMT連携機能によってクライアントのネットワーク接続を許可する。 |