網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)白皮書V

1、360 網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)白皮書奇虎360科技有限公司O 一四年360網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)白皮書歷史編寫人日期版本號備注劉光輝2014/11/111.2 補(bǔ)充 802.1x目錄第一章 前言第二章產(chǎn)品概述2.1 產(chǎn)品構(gòu)成2.2 設(shè)計(jì)依據(jù)第三章功能簡介3.1 網(wǎng)絡(luò)準(zhǔn)入3.2 認(rèn)證管理3.2.1 保護(hù)服務(wù)器管理 3.2.2 例外終端管理 3.2.3 重定向設(shè)置3.2.4 認(rèn)證服務(wù)器配置 3.2.5 入網(wǎng)流程管理3.2.6 訪問捽制列表 3.2.7 ARP 準(zhǔn)入3.2.8 802.1x3.2.9 設(shè)備管理 3.3 用戶管理3.3.1 認(rèn)證用戶管理3.3.2 汴冊用戶管理3.3.3 在線用戶管理 3.

2、3.4 用戶終端掃描 新3.4策略管理1.1.1 策略配置3.5 系統(tǒng)管理3.5.1 系統(tǒng)配置3.5.2 接口管理3.5.3 路由管理 3.5.4 服務(wù)管理3.5.5 軟件升級3.5.6 天擎聯(lián)動3.6 系統(tǒng)日志 3.6.1 違規(guī)訪問3.6.2 心跳日志3.6.3 認(rèn)證日志3.6.4 802.1x認(rèn)證日志第四章產(chǎn)品優(yōu)勢與特點(diǎn)第五章產(chǎn)品性能指標(biāo)5.1 測試簡介5.2 被測設(shè)備硬件配置 5.3 360NAC抓包性能指標(biāo) 第六章產(chǎn)品應(yīng)用部署6.1 360NAC 解決方案 6.1.1 部署拓?fù)?.2 .基本原理6.2.1 360NAC工作流程圖6.2.2 360NAC工作流程圖詳述 流程一部署流程二部

3、署流程三部署第一章前言網(wǎng)絡(luò)信息化的飛速發(fā)展為用戶內(nèi)網(wǎng)管理帶來新的問題和挑戰(zhàn)，主要體現(xiàn)在以下幾方面：1) 外來終端隨意地訪問網(wǎng)絡(luò)，不設(shè)防；2) 內(nèi)網(wǎng)中的用戶可以隨意地訪問核心網(wǎng)絡(luò)，下載核心文件；3) 不合規(guī)終端也可以接入到公司核心服務(wù)，對整個(gè)網(wǎng)絡(luò)安全帶來隱患；針對以上問題以及諸多安全隱患，360互聯(lián)網(wǎng)安全中心憑借多年信息安全領(lǐng)域的技術(shù)積淀，推出了基于終端應(yīng)用的準(zhǔn)入系統(tǒng)(簡稱360NAC) 。360NAC 是一套配合360 天擎終端安全管理系統(tǒng)的安全準(zhǔn)入解決方案，它基于用戶核心服務(wù)保護(hù)模式，對非法訪問用戶核心服務(wù)的終端進(jìn)行管控和限制，并對非法用戶強(qiáng)推終端管控軟件，從而實(shí)現(xiàn)了一套從網(wǎng)絡(luò)到終端的立體準(zhǔn)

4、入系統(tǒng)。第二章 產(chǎn)品概述360NAC 是由 360 互聯(lián)網(wǎng)安全中心開發(fā)的，具有自主知識產(chǎn)權(quán)的準(zhǔn)入產(chǎn)品。該產(chǎn)品采用旁路部署方式，采用 360 自有技術(shù)，對企業(yè)內(nèi)網(wǎng)數(shù)據(jù)流進(jìn)行合法性檢查并及時(shí)阻斷非法連接。2.1 產(chǎn)品構(gòu)成360NAC是由硬件準(zhǔn)系統(tǒng)配合天擎客戶端組成的，硬件準(zhǔn)入系統(tǒng)同時(shí)提供B/S架構(gòu)的系統(tǒng)管理平臺供用戶對系統(tǒng)進(jìn)行全方位配置與管理。 2.2 設(shè)計(jì)依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)技術(shù)要求( GB/T 22239-2008 )涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求( BMB 17-2006 )信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求( GA/T 671-2006 )信息技術(shù)安全技術(shù)信

5、息安全管理體系要求(GB/T 22080-2008 )信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則(GB/T 22081-2008 )第三章 功能簡介 3.1 網(wǎng)絡(luò)準(zhǔn)入360NAC網(wǎng)路準(zhǔn)入控制系統(tǒng)通過安裝天擎-入網(wǎng)、注冊-入網(wǎng)、注冊-安裝天擎-入網(wǎng),三種方式靈活實(shí)現(xiàn)企業(yè)需要的準(zhǔn)入方式。2.2 認(rèn)證管理支持將服務(wù)器IP添加至保護(hù)服務(wù)器管理，該服務(wù)器即刻被保護(hù)，未安裝天擎的終端將不能訪問被保護(hù)的服務(wù)器。2.2.2 例外終端管理支持將終端IP 添加至例外終端管理，該終端將不受準(zhǔn)入策略限制，無論是否安裝天擎客戶端都可訪問被保護(hù)的服務(wù)器。支持識別自定義http 協(xié)議端口。支持終端分發(fā)地址配置。支持服務(wù)器管理地址

6、配置。2.2.3 認(rèn)證服務(wù)器配置支持本地 LDAP 連接。支持第三方LDAP連接。支持 Windows AD 域連接。2.2.4 入網(wǎng)流程管理支持安裝天擎客戶端后入網(wǎng)方式。支持注冊、LDAP賬號認(rèn)證、WindowsAD域賬號認(rèn)證后入網(wǎng)方式。支持注冊、LDAP賬號認(rèn)證、WindowsAD域賬號認(rèn)證并安裝天擎客戶端后入網(wǎng)方式。2.2.5 訪問控制列表支持將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域（保護(hù)區(qū)、可信區(qū)、非法區(qū)）靈活的限制區(qū)域間的數(shù)據(jù)的流動。2.2.6 ARP 準(zhǔn)入支持ARP欺騙方式實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入。支持網(wǎng)絡(luò)終端掃描功能。新 3.2.7 802.1x支持360自主研發(fā)的PC端802.1x客戶端。支持針對PC終端進(jìn)行

7、802.1x認(rèn)證入網(wǎng)合規(guī)性檢查。支持合規(guī)性檢查的策略自定義（普通檢查項(xiàng)、關(guān)鍵檢查項(xiàng)） 。支持根據(jù)管理員的策略自定義給予用戶認(rèn)證成功后的打分功能。支持PC端802.1X認(rèn)證后的日志記錄功能，同時(shí)記錄通過認(rèn)證的交換機(jī)端口。支持用戶進(jìn)行802.1X 認(rèn)證賬戶自主注冊。3.2.8 設(shè)備管理支持展示交換機(jī)的基本狀態(tài)信息， 如接口列表、 端口狀態(tài)、 端口類型、 端口所屬VLAN、 端口 dot1x狀態(tài)。3.3 用戶管理支持本地 LDAP 用戶的添加刪除修改。支持第三方LDAP用戶數(shù)據(jù)的查看。支持手動確認(rèn)用戶注冊。支持自動確認(rèn)用戶注冊。支持取消用戶注冊。支持在線用戶名、用戶IP、用戶MAC地址與用戶最近檢測

8、時(shí)間查看。支持跨路由器掃描在線PC。3.4 策略管理3.4.1 策略配置支持針對PC終端的遠(yuǎn)程桌面、文件共享、特定軟件、特定進(jìn)程等功能的狀態(tài)（啟用或禁用）進(jìn)行準(zhǔn)入控制。3.5 系統(tǒng)管理3.5.1 系統(tǒng)配置支持密碼修改。支持系統(tǒng)時(shí)間查看修改。3.5.2 接口管理支持接口 IP、MAC、類型、啟用狀態(tài)、連接狀態(tài)查看。支持接口 IP地址修改。支持接口狀態(tài)、類型修改。3.5.3 路由管理支持路由信息的添加與刪除。3.5.4 服務(wù)管理支持系統(tǒng)服務(wù)器的停止、啟動與重啟3.5.5 軟件升級支持頁面操作方式升級360 網(wǎng)絡(luò)安全準(zhǔn)入內(nèi)核。3.5.6 天擎聯(lián)動支持針對天擎聯(lián)動，完成對用戶終端的全方位保護(hù)。3.6

9、系統(tǒng)日志系統(tǒng)日志包括違規(guī)訪問日志、心跳日志、認(rèn)證日志三大類。3.6.1 違規(guī)訪問支持違規(guī)訪問的四元組信息、訪問時(shí)間的查看、查詢與刪除。3.6.2 心跳日志支持心跳日志記錄查詢與刪除3.6.3 認(rèn)證日志支持本地LDAP、第三方LDAR Windows AD域認(rèn)證記錄查詢與刪除。3.6.4 802.1x認(rèn)證日志支持802.1x成功或失敗認(rèn)證記錄的查詢與刪除。第四章產(chǎn)品優(yōu)勢與特點(diǎn)基于標(biāo)準(zhǔn)旁路部署，對用戶網(wǎng)絡(luò)沒有任何影響基于自有旁路重定向技術(shù)，方便自動分發(fā)支持第三方LDAP和AD域認(rèn)證。和360天擎無縫融合，提供天擎網(wǎng)絡(luò)準(zhǔn)入功能。阻斷策略配置靈活，可以滿足多種場景。支持無客戶端準(zhǔn)入方式。第五章產(chǎn)品性能

10、指標(biāo)5.1 測試簡介測試目的在于對360NAC進(jìn)行壓力性能測試結(jié)果分析，評估出 360NAC的整 體性能。主要測試360NAC鏡像接口的抓包能力，分別測試單接口以及整機(jī)的抓 包性能5.2被測設(shè)備硬件配置型號360NAC-5130360NAC-3130360NAC-1130主板NSA5130簡)NSA3130件)NSA1130低)CPUI7 2600*1G850*1D525內(nèi)存8G(DDR34G*2)4G(DDR32G*2)2G(DDR32G*1)CF卡1G*11G*11G*1硬盤500GB500GB500GB接口4光6電2光6電5電5.3 360NAC抓包性能指標(biāo)圖1性能測試拓?fù)鋱D平臺抓包能力

11、(bps)51305G31302G1130600M第六章 產(chǎn)品應(yīng)用部署5.2 360NAC 解決方案5.2.1 部署拓?fù)洚?dāng)前解決方案是著眼于國稅項(xiàng)目， 使用阻斷方式來干擾終端正常網(wǎng)絡(luò)訪問， 來達(dá)到準(zhǔn)入功能。其網(wǎng)絡(luò)部署及數(shù)據(jù)流如下圖：5.3 . 基本原理5.3.1 360NAC 工作流程圖5.3.2 360NAC 工作流程圖詳述 360NAC 流程一部署只有安裝天擎客戶端的PC才有權(quán)限訪問受保護(hù)服務(wù)器。1. 用戶訪問受保護(hù)服務(wù)器打開終端分發(fā)頁面。2.點(diǎn)擊鏈接，下載并安裝天擎客戶端，之后用戶PC可正常訪問受保護(hù)服務(wù)器。 360NAC 流程二部署用戶經(jīng)過注冊、管理員確認(rèn)、下載并安裝天擎客戶端后才能訪問受保護(hù)服務(wù)器。1. 客戶PC訪問受保護(hù)服務(wù)器，打開注冊頁面，填寫用戶真實(shí)信息并提交。2. 管理