经与一些SI公司讨论后
方案一
Sophos + Sophos XG135防火墙 + SmartIT Desktop Manager(端点+资产+加密)
1.用Sophos + XG防火墙 做身份认证 (AD替代方案)
有安装Sophos登入套件的PC,才能连入防火墙,上网及进服务器
没有安装登入套件的设备,防火墙就会挡掉,只给单纯上网浏览
2.Sophos防毒、防勒索
3.SmartIT Desktop Manager作资产管理及端点管理,关掉所有USB、蓝芽、监控配备
4.SmartIT Desktop Manager作档案加密
5.资安政策 - 锁Bios、PC权限使用者设定
方案二
IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证)
1.IP Guard做端点管理、加密、关闭上传及下传
2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON
3.加密NAS备份 (原本已有一台NAS)
方案三
防火墙 + 防毒软件(兼端点管理) + NAS(可加密、具备类似windows AD功能认证)
【PC端点-防火墙-NAS,变成一个区域内网,
PC端点 不能使用硬件存取、也不可以上传资料
利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入
至于 档案加密 暂时不做】
PaloAlto + Traps
CheckPoint + SandBlast
Fortigate + Forticlient
想请教各位前辈的建议