360網(wǎng)絡安全準入系統(tǒng)技術(shù)白皮書-V3

1、頁眉內(nèi)容360網(wǎng)絡安全準入系統(tǒng)技術(shù)白皮書奇虎360科技有限公司-0-四年十一月360網(wǎng)絡安全準入系統(tǒng)技術(shù)白皮書更新歷史編寫人日期版本備注劉光輝WU12補充S02.li頁眉內(nèi)容U第一章目錄前言第二章產(chǎn)品概述21產(chǎn)品構(gòu)成22設計依據(jù)第三章功能簡介63.1網(wǎng)絡準入(遼認證管理(辺保護服務器管理(乜2例外終端管理6*9I6血認證服務器配置 6血入網(wǎng)流程管理乜j訪問控制列表血血準入新血血.11乜3設備管理33用戶管理胡1認證用戸管理熬？注冊用戶管理孰1用戶終端掃描3策略管理UJ策略配置箱系統(tǒng)管理切系統(tǒng)配置遼2接口管理切路由管理U4服務管理頂軟件升級irOfIk系統(tǒng)日志.逍違規(guī)訪問述心跳日志貓認證日志址!

2、也11認證日志第四章產(chǎn)品優(yōu)勢與特點第五章產(chǎn)品性能指標j.l測試簡介垃被測設備硬件配置j3：0U(抓包性能指標第 / 早 嚴iki JT n|暑 6l：O解決方案 11$丄1部署拓撲n泛基本原理13S213WI1CZ作流程圖13$22規(guī)匸作流程圖詳述U$22.1刑流程一部署U$222城W流程二部署U$22影8IU（流程三部署U頁眉內(nèi)容第一章前言網(wǎng)絡信息化的飛速發(fā)展為用戶內(nèi)網(wǎng)管理帶來新的問題和挑戰(zhàn)，主要體現(xiàn)在以下幾方而：1）外來終端隨意地訪問網(wǎng)絡，不設防；2）內(nèi)網(wǎng)中的用戶可以隨意地訪問核心網(wǎng)絡，下載核心文件；3）不合規(guī)終端也可以接入到公司核心服務，對整個網(wǎng)絡安全帶來隱患： 針對以上問題以及諸多安全

3、隱患，涮互聯(lián)網(wǎng)安全中心憑借多年信息安全領域的 技術(shù)積淀，推出了基于終端應用的準入系統(tǒng)（簡稱mc）o制皿是一套配合徹天擎終端安全管理系統(tǒng)的安全準入解決方案，它基于用戶核心服務保 護模式，對非法訪問用戶核心服務的終端進行管控和限制，并對非法用戶強推終端管控軟件, 從而實現(xiàn)了一套從網(wǎng)絡到終端的立體準入系統(tǒng)。第二章產(chǎn)品概述姍乂是由劃互聯(lián)網(wǎng)安全中心開發(fā)的，具有自主知識產(chǎn)權(quán)的準入產(chǎn)品。該產(chǎn)品采用旁路部 署方式，采用炯自有技術(shù)，對企業(yè)內(nèi)網(wǎng)數(shù)據(jù)流進行合法性檢査并及時阻斷非法連接。21產(chǎn)品構(gòu)成制皿是由硬件準系統(tǒng)配合天擎客戶端組成的，硬件準入系統(tǒng)同時提供腐架構(gòu)的系統(tǒng)管理 平臺供用戶對系統(tǒng)進行全方位配程與管理。肚設

4、計依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護技術(shù)要求（GHT測那）涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求（KB1；-2006）信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求（G1T6加6）信息技術(shù)安全技術(shù)信息安全管理體系要求（GBT22O釧門信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則（6燈刻$1刎）第三章功能簡介SJ網(wǎng)絡準入制皿網(wǎng)路準入控制系統(tǒng)通過安裝天擎-入網(wǎng)、注冊-入網(wǎng)、注冊-安裝天擎-入網(wǎng)，三 種方式靈活實現(xiàn)企業(yè)需要的準入方式。熾認證管理辺保護服務器管理支持將服務器IP添加至保護服務器管理，該服務器即刻被保護，未安裝天擎的終端將不 能訪問被保護的服務器。122例外終端管理支持將終端IP添加至例外終端管理

5、，該終端將不受準入策略限制，無論是否安裝天擎客 戶端都可訪問被保護的服務器。血重定向設置支持識別自泄義呦協(xié)議端口。支持終端分發(fā)地址配置。支持服務器管理地址配苣。血認證服務器配置支持本地LDAP連接。支持第三方LD1P連接。支持Hind恥AD域連接。此4入網(wǎng)流程管理支持安裝天擎客戶端后入網(wǎng)方式。支持注冊、LDAP賬號認證、師儷訓域賬號認證后入網(wǎng)方式。支持注冊、LDAP賬號認證、師儷山I域賬號認證并安裝天擎客戶端后入網(wǎng)方式。125訪問控制列表支持將網(wǎng)絡劃分為三個區(qū)域（保護區(qū)、可信區(qū)、非法區(qū)）靈活的限制區(qū)域間的數(shù)據(jù)的流 動。遼8皿準入支持血欺騙方式實現(xiàn)網(wǎng)絡準入。支持網(wǎng)絡終端掃描功能。新也初I支持鐮自

6、主研發(fā)的H端血.11客戶端。支持針對P（終端進行S02.li認證入網(wǎng)合規(guī)性檢査。支持合規(guī)性檢查的策略自左義（普通檢查項、關(guān)鍵檢查項）。支持根據(jù)管理員的策略自左義給予用戶認證成功后的打分功能。支持Pf端聞.IX認證后的日志記錄功能，同時記錄通過認證的交換機端口。 支持用戶進行S02.1X認證賬戶自主注冊。血設備管理支持展示交換機的基本狀態(tài)信息，如接口列表、端口狀態(tài)、端口類型、端口所屬1口、 端口 d疝狀態(tài)。翳用戶管理311認證用戶管理支持本地LDAP用戶的添加刪除修改。支持第三方LD1P用戶數(shù)據(jù)的査看。M2注冊用戶管理支持手動確認用戶注冊。支持自動確認用戶注冊。支持取消用戶注冊。1U在線用戶管理

7、支持在線用戶軻、用戶IP、用戶血地址與用戶最近檢測時間査看。用戶終端掃描支持跨路由器掃描在線P仁14策略管理策略配置支持針對pt終端的遠程桌面、文件共享、特左軟件、特泄進程等功能的狀態(tài)（啟用或禁 用）進行準入控制。舫系統(tǒng)管理遼1系統(tǒng)配置支持密碼修改。支持系統(tǒng)時間查看修改。312接口管理支持接口叭血、類型、啟用狀態(tài)、連接狀態(tài)查看。支持接口 IP地址修改。支持接口狀態(tài)、類型修改。路由管理支持路由信息的添加與刪除。U4服務管理支持系統(tǒng)服務器的停止、啟動與重啟謝軟件升級支持頁而操作方式升級鐮網(wǎng)絡安全準入內(nèi)核。15J天擎聯(lián)動支持針對天擎聯(lián)動，完成對用戶終端的全方位保護。社系統(tǒng)日志系統(tǒng)日志包括違規(guī)訪問日志

8、、心跳日志、認證日志三大類。怕違規(guī)訪問支持違規(guī)訪問的四元組信息、訪問時間的查看、查詢與刪除。說心跳日志支持心跳日志記錄查詢與刪除M3認證日志支持本地mip、第三方uiap、師儷皿域認證記錄查詢與刪除。址4妙認證日志支持血.15成功或失敗認證記錄的查詢與刪除。第四章產(chǎn)品優(yōu)勢與特點基于標準旁路部署，對用戶網(wǎng)絡沒有任何影響 基于自有旁路重左向技術(shù)，方便自動分發(fā) 14頁眉內(nèi)容支持第三方LBAP和AD域認證。和360天擎無縫融合，提供天擎網(wǎng)絡準入功能。 阻斷策略配置靈活，可以滿足多種場景。支持無客戶端準入方式。第五章產(chǎn)品性能指標il測試簡介測試LI的在于對涮n（進行壓力性能測試結(jié)果分析，評估出制皿的整體

9、性能。 主要測試涮皿鏡像接口的抓包能力，分別測試單接口以及整機的抓包性能12被測設備硬件配置型號XUUC-5BIurnuimiAC-mi主板氐砌高）iwi；猱中）xsAim(低)1726001cm惱內(nèi)存MDDR34H)創(chuàng)瓏的卅 1)(T卡16*1ii1G1硬盤aOOGBWjOOGB接口1光6電2光6電j電抓包性能指標交橫帆mm愎wU圖1性能測試拓撲圖平臺抓包能力郵）非保護網(wǎng)纟:心跳心跳reset/http-302安裝客戶端安裝客戶端 安裝客戶端未安裝客戶端2G1130第六章產(chǎn)品應用部署解決方案山部署拓撲當前解決方案是著眼于國稅項目，使用阻斷方式來干擾終端正常網(wǎng)絡訪問，來達到準入 功能。其網(wǎng)絡部署及數(shù)據(jù)流如下圖：0 II2硬審辰豪八-1360NAC泄基本原理121測工作流程圖遼2JO工作流程圖詳述蝕廉皿流程一部署只有安裝天擎客戶端的PC才有權(quán)限訪問受保護服務器。L用戶訪問受保護服務器打開終端分發(fā)頁而。2點擊鏈接，下載并安裝天擎客戶端，之后用戶P（可正常訪問受保護服務器。頁眉內(nèi)容U223HUC流程二部署用戶經(jīng)過注冊、管理員確認、下載并安裝天擎客戶端后才能訪問受保護服務器。1.客戶Pt訪問受保護服務器，打開注冊頁面，填寫用戶真實信息并提交。I 管理員確認用戶注冊。