版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領
文檔簡介
1、北信源網(wǎng)絡接入控制系統(tǒng) 工作原理與功能64 北信 asvRV*ft鼠安全理 V北京北信源軟件股份有限公司1. 整體說明2. 核心技術(shù)2.1.重定向技術(shù)2.2. 策略路由準入控制技術(shù)2.3.旁路干擾準入控制技術(shù)2.4. 透明網(wǎng)橋準入控制技術(shù)2.5.虛擬網(wǎng)關(guān)準入控制技術(shù)2.6.局域網(wǎng)控制技術(shù)2.7.身份認證技術(shù)2.8.安檢修復技術(shù)2.9. 桌面系統(tǒng)聯(lián)動3. 產(chǎn)品功能對比1. 整體說明準入網(wǎng)關(guān)對接入設備進行訪問控制,對于未注冊用戶進行 WEB重定向進行注冊;注冊后的用戶進行認證或安檢后可以訪問網(wǎng)絡;管理員可以配置采取何種準入控制方式, 如策略路由,旁路監(jiān)聽,透明網(wǎng)橋,虛擬網(wǎng)關(guān)等;同時可以選擇使用不同
2、的認證類型,如本地認證,Radius認證,AD域認證等,而認證途徑采取網(wǎng)關(guān)強制重定向;準入網(wǎng)關(guān)整體上對準入的控制可分為兩類,一類是網(wǎng)關(guān)自己控制數(shù)據(jù)的流 通,另一類則是通過配置交換機,讓交換機來控制數(shù)據(jù)包的流通。目前準入網(wǎng)關(guān) 實現(xiàn)的策略路由和旁路監(jiān)聽,透明網(wǎng)橋等準入控制均屬于前者,也就是網(wǎng)關(guān)自己通過放行或丟棄、阻斷數(shù)據(jù)包,來達到準入控制,對于數(shù)據(jù)包的阻斷是基于tcP實現(xiàn)的;而虛擬網(wǎng)關(guān)則是通過控制交換機 VLAN來達到準入控制;2. 核心技術(shù)為了適應不同業(yè)務環(huán)境下的統(tǒng)一入網(wǎng)控制, 北信源網(wǎng)絡接入控制系統(tǒng)采用多 種核心技術(shù)設計,支持多種準入控制模式,實現(xiàn)從多角度多維度的終端入網(wǎng)安全 控制。2.1.重
3、定向技術(shù)接入控制的目的是為了阻止不可信終端隨意接入網(wǎng)絡,對于不可信終端的 判定需要一個過程,如何在判定過程中進行良好的提示,這就對產(chǎn)品的人機界面設計提出了較高的要求。業(yè)界通常的做法是針對httP性質(zhì)的業(yè)務訪問進行重定向,以往針對httP的業(yè)務區(qū)分主要基于業(yè)務端口(主要為80端口),對于非80業(yè)務端口的httP業(yè)務不能有效區(qū)分。針對以上情況,北信源網(wǎng)絡接入控制系統(tǒng) 對httP業(yè)務進行了深度識別,除80端口的httP業(yè)務可以進行有效重定向之外, 針對非80端口的httP業(yè)務也能進行有效的識別和重定向。除此之外,北信源網(wǎng)絡接入控制系統(tǒng)針對終端入網(wǎng)的控制流程進行了重定 向優(yōu)化,針對終端入網(wǎng)注冊、認證、
4、安檢、修復的整個流程進行了人性化的設計, 整個重定向過程符合終端入網(wǎng)習慣, 貫穿終端入網(wǎng)的全過程,并在重定向頁面提 供人性化幫助提示,主要表現(xiàn)在以下幾大方面針對未注冊終端,提供重定向下載頁面供終端進行Age nt下載和注冊;針對未通過身份認證的用戶,提供多種認證重定向頁面,認證方式可供用戶選擇;提供人性化的安檢評分重定向頁面,采用Ajax技術(shù),使得安檢結(jié)果可以在重定向頁面自動刷新,自動評分,并在重定向頁面提供一鍵修復策 略;在終端入網(wǎng)的每個重定向環(huán)節(jié)提供幫助說明,對業(yè)務操作提供幫助鏈接,幫助終端使用者自動解決入網(wǎng)過程的所有問題,減少網(wǎng)絡管理人員的 參與,提高網(wǎng)絡管理的效率,降低人工成本;重定向
5、頁面的提供不基于特定的IE瀏覽器,只要是httP的業(yè)務形式,無論是采用IE瀏覽器訪問,還是采用客戶端登錄(例如 QC登錄),或 是客戶端彈出窗口 (例如QQ飛信彈出內(nèi)容模式)都可以進行重定向。22策略路由準入控制技術(shù)在過去,所有的準入控制模式幾乎都是基于網(wǎng)絡鏈路節(jié)點來進行控制的,從 終端PC網(wǎng)絡交換設備、路由器防火墻等,所有的控制節(jié)點都放在了網(wǎng)絡轉(zhuǎn)發(fā)或傳輸設備本身。這種模式不僅加重了網(wǎng)絡基礎設施的壓力,同時也更容易形成 單點故障,對網(wǎng)絡業(yè)務本身可能造成不可連續(xù)性運營的困擾。隨著近年來準入控制技術(shù)的不斷發(fā)展,越來越多的準入控制技術(shù)都采用了00(Out Of Band )模 式,即所謂旁路部署模式
6、,在準入控制產(chǎn)品的本身出現(xiàn)故障的情況下, 并不會影 響網(wǎng)絡業(yè)務本身的可持續(xù)性運營,網(wǎng)絡準入控制技術(shù)的發(fā)展也由此邁向了一個新 的臺階。北信源網(wǎng)絡接入控制系統(tǒng)的策略路由模式,要求網(wǎng)絡基礎設施的核心設備(例如核心交換機)支持策略路由功能,通過將上行業(yè)務請求通過策略路由的控 制定向到北信源網(wǎng)絡接入控制系統(tǒng),經(jīng)由北信源網(wǎng)絡接入控制系統(tǒng)針對終端的可信程度進行認證和判定后,采用丟棄或者正常轉(zhuǎn)發(fā)到原路由下一跳的方式, 對終 端入網(wǎng)進行安全可信的篩選,從而達到準入控制的效果,具體流程可以參考以下 流程示意圖:上行下行上行EDP Server上行北信is網(wǎng)絡接入控制網(wǎng)關(guān)圖4策略路由準入控制模式示例流程由于策略路由
7、模式只針對上行業(yè)務請求進行處理, 不會影響下行業(yè)務返回的正常轉(zhuǎn)發(fā),也不影響網(wǎng)絡路由和拓撲的更改,其安全性也得到了更多的保障,因而比較適合于大多數(shù)網(wǎng)絡環(huán)境。另外,大多數(shù)支持策略路由的核心設備同時也支持逃生模式,核心設備在確認策略路由的下一跳不可達的情況下,可以按照策略配置自動選擇原有默認路由,從安全角度來看,即使準入控制設備失去功效,也不會影響業(yè)務的正常轉(zhuǎn)發(fā),從而保證網(wǎng)絡業(yè)務的可持續(xù)運營,因此,相對于以往的準入控制模式,策略路由模式無異于更受歡迎。北信源網(wǎng)絡接入控制系統(tǒng)完美的利用了核心設備策略路由的特性,結(jié)合北信源公司安全接入控制理念,并和北信源內(nèi)網(wǎng)安全管理系統(tǒng)有效結(jié)合起來,為客戶的內(nèi)網(wǎng)終端安全
8、管理提供有效的安全保障。23旁路干擾準入控制技術(shù)在00B準入控制模式的發(fā)展趨勢下,北信源公司研發(fā)了基于旁路干擾模式的準入控制方法,該準入控制方法采用和策略路由模式一致的旁路部署方法,是北信源公司在準入控制發(fā)展理念的基礎上自主創(chuàng)新的新型準入控制技術(shù),相對于策略路由準入控制模式,旁路干擾準入控制模式有著更為突出的安全特性。策略路由準入控制模式雖然采用旁路部署模式,但是從技術(shù)原理上來說,采用的是流量劫持的方式對上行業(yè)務流進行篩選。 而旁路干擾準入模式采用的是流量復制的模式對上行業(yè)務流量進行篩選,在篩選過后再采用旁路干擾的方式中斷現(xiàn)行業(yè)務流,是真正的旁路部署模式,不需要對現(xiàn)行業(yè)務流的走向進行任何改動,
9、 就像在快速運行的高速公路旁邊部署了一臺監(jiān)控攝像頭, 當發(fā)現(xiàn)違規(guī)車輛時通過點對點的對話方式,讓違規(guī)車輛自動接受處罰。由于旁路干擾準入控制模式真正 的旁路部署特性,其對現(xiàn)行業(yè)務流沒有任何影響,因此相對于所有準入控制模式來說,有著得天獨厚、無法比擬的安全性,其具體的業(yè)務流程參考下圖:E DP'Servermi二行 北咱酬阿a按人Eft網(wǎng)關(guān)延跡1a-its 丄圖5旁路干擾準入控制模式示例流程旁路干擾準入控制模式要求核心設備(通常是核心或者匯聚層交換機)具備流量鏡像的功能,相對與策略路由來說,有更多的交換機都支持流量鏡像功能,因此對于不同網(wǎng)絡環(huán)境的適應性更加強大。除此之外,即使核心設備不支持流
10、量鏡像功能,也可以采用 TAP分流的方式對流量進行復制分流,而這僅僅只需要增加一臺分流/分光設備即可。24透明網(wǎng)橋準入控制技術(shù)在不支持策略路由或者旁路鏡像的環(huán)境下, 為了滿足客戶網(wǎng)絡環(huán)境下的準入控制需求,采用串接的方式實現(xiàn)準入控制便顯得尤為重要了。 透明網(wǎng)橋技術(shù)已經(jīng) 被大多數(shù)網(wǎng)絡安全設備接受和認可,也是目前為止在網(wǎng)絡關(guān)口層面控制最為嚴格 的部署技術(shù),北信源網(wǎng)絡接入控制系統(tǒng)在不改變現(xiàn)有拓撲的情況下將網(wǎng)橋串接到 網(wǎng)絡當中,采用ACL的方式對流量IP進行過濾,對不可信不安全的終端進行隔 離修復。北僧源區(qū)細接入控制網(wǎng)蕪下行上行EDP Server圖6透明網(wǎng)橋準入控制模式示例流程2.5.虛擬網(wǎng)關(guān)準入控制
11、技術(shù)虛擬網(wǎng)關(guān)是基于 VLAN ( Virtual Local Area Network )和 SNMP (Sim pieNetwork Management Protocol)兩種技術(shù),在VLAN環(huán)境中,把設備接入的 VLAN分為可信VLAN和不可信VLAN,判斷對應設備是否通過認證:未通過,則通過SNMP Write,將對應設備所接交換機端口所處 VLAN,切為不可信VLAN,以后,該設備再訪問網(wǎng)絡,將會被重定向,直至認證通過后,虛擬網(wǎng)關(guān)才將其所 處VLAN,切換為可信VLAN,正常上網(wǎng)。26局域網(wǎng)控制技術(shù)無論是策略路由、旁路干擾還是透明網(wǎng)橋準入控制技術(shù), 都是基于網(wǎng)絡核心 節(jié)點的網(wǎng)絡接入控
12、制技術(shù),并不能真正對局域網(wǎng)終端節(jié)點之間的互訪進行授信控 制。在以往的所有準入控制技術(shù)當中,對于局域網(wǎng)之間互訪的授信控制是基于接入交換機端口的控制(802.1X)、IP地址獲取控制(DHCP Enforcer)或者通過VLAN技術(shù)進行隔離。北信源網(wǎng)絡接入控制系統(tǒng)授予了終端可信判斷的能力,對于安裝有北信源網(wǎng)絡接入控制系統(tǒng)Age nt的終端,可以自動判斷來訪者的可信程度,如果發(fā)現(xiàn)來訪者是不安全不可信的終端,Age nt會丟棄來訪的數(shù)據(jù)包請求,阻止不可信終端對 自身的訪問。采用終端自判斷的方式將局域網(wǎng)訪問控制從網(wǎng)絡節(jié)點設備下放到終 端自身,不僅可以降低網(wǎng)絡節(jié)點設備自身的壓力, 還可以規(guī)避其它局域網(wǎng)訪問
13、控 制技術(shù)的缺陷,例如802.1X對hub、傻瓜式交換機下終端互訪無法控制的問題以 及采用手動設置IP規(guī)避DHC P自動獲取的IP控制等。而由于安裝Age nt進行注 冊是入網(wǎng)授信必須經(jīng)歷的一個環(huán)節(jié),因此采用終端自判斷的局域網(wǎng)控制技術(shù), 可 以完全有效的控制局域網(wǎng)終端之間的授信訪問過程。2.7.身份認證技術(shù)身份認證是終端可信認證的一個重要環(huán)節(jié),隨著信息安全技術(shù)的不斷發(fā)展, 針對身份認證安全可靠的特性也提出了更高的要求。身份認證最重要的部分是防 偽造、防抵賴,因此身份認證技術(shù)也從最初簡單的用戶名 / 口令,逐漸發(fā)展到證 書、生物技術(shù)、動態(tài)密碼以及多因素認證,防止一切可能偽造和抵賴的因素。為了滿足
14、不同安全程度的身份認證需求,也為了適應客戶網(wǎng)絡環(huán)境中可能已 經(jīng)存在的身份存儲和認證方式,北信源網(wǎng)絡接入控制系統(tǒng)針對各種主流身份認證 技術(shù)進行了符合性開發(fā),為各種主流身份認證技術(shù)提供了認證接口, 典型的諸如 和Radius、LDAP、AD域、CA系統(tǒng)、郵箱系統(tǒng)相結(jié)合的認證,可以滿足當前技 術(shù)下大部分認證系統(tǒng)的需求。28安檢修復技術(shù)除身份認證外,安檢修復也是針對終端可信認證的重要環(huán)節(jié), 據(jù)權(quán)威機構(gòu)研 究證明,80%的信息泄密來自于企業(yè)或機構(gòu)的內(nèi)部計算機終端。由于大部分企業(yè)計算機終端的使用人員安全意識薄弱且非計算機專業(yè)人員,對于計算機的自主安全防護能力存在一定欠缺,因此造成了很大的泄密隱患。針對內(nèi)部
15、終端被動泄密的問題,歸根結(jié)底是因為終端的安全策略配置不夠嚴 謹(例如guest賬戶開啟、弱口令設置以及不正常的注冊表鍵值等)或者計算機 本身存在安全漏洞(例如關(guān)鍵補丁未安裝、殺毒軟件未安裝或者病毒庫過期等原因)造成的。針對此類情況,北信源網(wǎng)絡接入控制系統(tǒng)采用主動探測和一鍵修復 的技術(shù)設計,對入網(wǎng)計算機終端的安全測試進行檢查和評分,對存在安全隱患的 計算機終端強制禁止入網(wǎng),并提供一鍵策略修復技術(shù),解決終端可能存在的不安 全隱患,從而達到全網(wǎng)終端的統(tǒng)一安全管理。2.9.桌面系統(tǒng)聯(lián)動北信源準入控制系統(tǒng)支持與桌面系統(tǒng)聯(lián)動, 在已經(jīng)部署桌面系統(tǒng)的環(huán)境下,支持注冊客戶端透明準入,不需要二次認證注冊,由桌面
16、管理平臺下發(fā)安全策略,客戶端安全信息實時上報到準入網(wǎng)關(guān), 實時更新終端安全策略狀況,風險控 制嚴格,客戶端上報安全信息不合規(guī)時,立即被隔離到隔離區(qū),此時客戶端僅能 訪問隔離區(qū)中的服務器,直到修復完全直到滿足安全策略要求。產(chǎn)品支持與客戶端AD域?qū)嵜剑习踩蟮淖孕畔⒉艤试S入網(wǎng),同時自動配合域組織架構(gòu)信息,達到實時動態(tài)審核,同步更新域組織信息,簡化 實名注冊審核機制,規(guī)范終端實名架構(gòu),統(tǒng)一管理,一目了然。3. 產(chǎn)品功能對比功能項功能描述北信源江南天安注冊管理自定義注冊信息,要求可以定義必須填寫的注冊信息項,可根據(jù)需 要啟用/禁用自定義項。自定義單元豐富簡單終端注冊的日志記錄功能,并可根據(jù)
17、時間、設備名、注冊者、IP及動作等關(guān)鍵字進行記錄查詢。支持支持針對IE、QQ登陸及彈出窗口等web形式的訪問提供入網(wǎng)重定向提示, 提示進行客戶端注冊。支持支持支持實名制注冊審核管理功能,支持與0A系統(tǒng)、AD域等組織架構(gòu)服務器同步組織架構(gòu),自動根據(jù)設置關(guān)鍵字段實名審核,同時支持 已注冊終端可通過管理員手動審核或者短信審核通過之后才可以接 入網(wǎng)絡。支持不支持資產(chǎn)管理終端硬件資產(chǎn)統(tǒng)計和查詢,統(tǒng)計內(nèi)容應至少包含CPU內(nèi)存、硬盤等基本硬件設備信息以及光驅(qū)、顯卡、鼠標、網(wǎng)卡、鍵盤等相關(guān)外設信息。明細多豐富支持終端軟件資產(chǎn)統(tǒng)計和查詢,統(tǒng)計內(nèi)容應至少包含操作系統(tǒng)版本、操作系統(tǒng)補丁安裝情況、IE版本、主機名稱、
18、網(wǎng)卡 MAC信息以及設備 內(nèi)安裝的應用軟件使用情況。支持支持對終端計算機軟件安裝信息的收集,包括當前軟件安裝信息和歷史 安裝信息。支持支持身份認證與安全檢查本地認證系統(tǒng),支持自定義本地用戶和密碼,支持本地認證用戶自行修改密碼。支持支持支持與AD域服務器、LDAP服務器實現(xiàn)聯(lián)動認證,并且支持帳戶信 息的自動同步以及導入導出;支持支持認證超時機制,超時帳戶強制自動登出,要求超時時間可以自行配 置。必須支持帳戶超期統(tǒng)一登出機制,登出時間可根據(jù)需要自行設 置。支持不支持帳戶嘗試登錄限制,要求嘗試登錄次數(shù)可進行配置,嘗試登錄失敗 可鎖定帳戶,鎖定時間可按需配置。支持支持帳戶角色綁定功能,不同用戶帳戶繼承
19、所屬角色的訪問權(quán)限以及安 檢要求。支持不支持安檢規(guī)范定義配置功能,可根據(jù)角色屬性定制不同的安檢規(guī)范,安 檢規(guī)范應至少包含殺毒軟件安裝情況檢查、補丁漏洞檢查、系統(tǒng)共支持支持享資源檢查、IE主頁修改項檢查、guest來賓帳戶啟用情況檢查、遠程桌面啟用情況檢查、系統(tǒng)啟動項檢查、系統(tǒng)進程檢查、IE代理檢查等。支持指定時間周期內(nèi)安檢。支持不支持安全域控制功能,可根據(jù)角色屬性定制不同的安全域,用戶認證成 功后,安全域角色控制功能自動生效,相關(guān)角色帳戶只能訪問指定 的安全控制域。支持不支持對未認證通過用戶入網(wǎng)時進行阻斷,能夠提供web重定向提醒,并說明入網(wǎng)阻斷原因。支持支持對身份認證通過后的用戶終端進行安全
20、檢查,并對安檢進度提供進 度條提示,未通過安檢的終端給出未通過項提示并阻斷入網(wǎng),支持 安檢未通過一鍵修復功能。支持支持準入控制串接和旁路部署模式,支持策略路由、旁路干擾、透明串接、虛擬 網(wǎng)關(guān)等多種準入控制模式。支持不支持旁路鏡像部署基于終端心跳和終端水印認證雙重準入判斷,自動發(fā)現(xiàn)采用NAT模式入網(wǎng)的終端并強制認證。支持,特有水印技術(shù)不支持準入策略制定功能,可根據(jù)訪問IP源、目的域以及準入流程進行策 略制定,目的域需是IP、端口以及目錄的組合支持不支持準入流程差異化控制,可根據(jù)準入策略控制終端僅注冊、僅認證、 注冊及認證、注冊認證及安檢等差異化準入控制策略。支持支持對路由、無線、AP、HUB等環(huán)境下的終端實施準入控制,支持對IPHONE IP AD等非windows操作系統(tǒng)的終端實施準入控制。支持支持不全三層環(huán)境下IP和MAC綁定支持不支持訪客控制外來終端或者訪客初次入網(wǎng)阻斷,并給出入網(wǎng)指導提示支持支持外來終端或者訪客自助申請上網(wǎng)碼,只需要提供
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年度餐飲服務業(yè)員工勞動合同范本
- 二零二五年度2025年度酒店物業(yè)轉(zhuǎn)讓與品牌合作合同
- 2025年度二零二五特色餐飲店員工管理合同書
- 2025年度高層建筑腳手架施工與安全監(jiān)督服務合同
- 光纖通信在航空航天中的應用考核試卷
- 城市規(guī)劃城市地下管線安全考核試卷
- 醫(yī)療器械用信息化學品的綠色合成與工藝優(yōu)化考核試卷
- 信息技術(shù)云計算與物聯(lián)網(wǎng)應用考核試卷
- 冷凍飲品及食用冰制造行業(yè)產(chǎn)品追溯系統(tǒng)建設考核試卷
- 中藥店鋪經(jīng)營計劃與目標設定考核試卷
- 中建集團面試自我介紹
- 《工業(yè)園區(qū)節(jié)水管理規(guī)范》
- 警校生職業(yè)生涯規(guī)劃
- 意識障礙患者的護理診斷及措施
- 2024版《53天天練單元歸類復習》3年級語文下冊(統(tǒng)編RJ)附參考答案
- 2025企業(yè)年會盛典
- 215kWh工商業(yè)液冷儲能電池一體柜用戶手冊
- 場地平整施工組織設計-(3)模板
- 交通設施設備供貨及技術(shù)支持方案
- 美容美發(fā)店火災應急預案
- 餐車移動食材配送方案
評論
0/150
提交評論