360網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)白皮書V13

1、360網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)白皮書奇虎360科技有限公司二O一 四年 十一 月 360網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)技術(shù)白皮書更新歷史編寫人日期版本號(hào)備注劉光輝2014/11/111.2補(bǔ)充802.1x目錄第一章前言5第二章 產(chǎn)品概述52.1產(chǎn)品構(gòu)成52.2設(shè)計(jì)依據(jù)5第三章 功能簡介63.1 網(wǎng)絡(luò)準(zhǔn)入63.2認(rèn)證管理6保護(hù)服務(wù)器管理63.2.2 例外終端管理6重定向設(shè)置63.2.3 認(rèn)證服務(wù)器配置63.2.4 入網(wǎng)流程管理73.2.5 訪問控制列表73.2.6 ARP準(zhǔn)入73.2.7 802.1x73.2.8 設(shè)備管理73.3用戶管理8認(rèn)證用戶管理8注冊(cè)用戶管理8在線用戶管理8用戶終端掃描8新3.4 策略管理

2、83.4.1 策略配置83.5系統(tǒng)管理9系統(tǒng)配置9接口管理93.5.3 路由管理93.5.4 服務(wù)管理93.5.5 軟件升級(jí)93.5.6 天擎聯(lián)動(dòng)93.6系統(tǒng)日志9違規(guī)訪問10心跳日志103.6.3 認(rèn)證日志103.6.4 802.1x認(rèn)證日志10第四章 產(chǎn)品優(yōu)勢(shì)與特點(diǎn)10第五章 產(chǎn)品性能指標(biāo)105.1測(cè)試簡介105.2被測(cè)設(shè)備硬件配置115.3 360NAC抓包性能指標(biāo)11第六章 產(chǎn)品應(yīng)用部署126.1 360NAC解決方案12部署拓?fù)?26.2.基本原理136.2.1 360NAC工作流程圖136.2.2 360NAC工作流程圖詳述 360NAC流程一部署146.2.2.

3、2 360NAC流程二部署 360NAC流程三部署14第一章 前言網(wǎng)絡(luò)信息化的飛速發(fā)展為用戶內(nèi)網(wǎng)管理帶來新的問題和挑戰(zhàn)，主要體現(xiàn)在以下幾方面：1) 外來終端隨意地訪問網(wǎng)絡(luò)，不設(shè)防；2) 內(nèi)網(wǎng)中的用戶可以隨意地訪問核心網(wǎng)絡(luò)，下載核心文件；3) 不合規(guī)終端也可以接入到公司核心服務(wù)，對(duì)整個(gè)網(wǎng)絡(luò)安全帶來隱患；針對(duì)以上問題以及諸多安全隱患，360互聯(lián)網(wǎng)安全中心憑借多年信息安全領(lǐng)域的技術(shù)積淀，推出了基于終端應(yīng)用的準(zhǔn)入系統(tǒng)（簡稱360NAC）。360NAC是一套配合360天擎終端安全管理系統(tǒng)的安全準(zhǔn)入解決方案，它基于用戶核心服務(wù)保護(hù)模式，對(duì)非法訪問用戶核心服務(wù)的終端進(jìn)行管控和限制，并對(duì)非法

4、用戶強(qiáng)推終端管控軟件，從而實(shí)現(xiàn)了一套從網(wǎng)絡(luò)到終端的立體準(zhǔn)入系統(tǒng)。 第二章 產(chǎn)品概述360NAC是由360互聯(lián)網(wǎng)安全中心開發(fā)的，具有自主知識(shí)產(chǎn)權(quán)的準(zhǔn)入產(chǎn)品。該產(chǎn)品采用旁路部署方式，采用360自有技術(shù)，對(duì)企業(yè)內(nèi)網(wǎng)數(shù)據(jù)流進(jìn)行合法性檢查并及時(shí)阻斷非法連接。2.1產(chǎn)品構(gòu)成360NAC是由硬件準(zhǔn)系統(tǒng)配合天擎客戶端組成的，硬件準(zhǔn)入系統(tǒng)同時(shí)提供B/S架構(gòu)的系統(tǒng)管理平臺(tái)供用戶對(duì)系統(tǒng)進(jìn)行全方位配置與管理。2.2設(shè)計(jì)依據(jù)u 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求（GB/T 22239-2008）u 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求（BMB 17-2006）u 信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（

5、GA/T 671-2006）u 信息技術(shù) 安全技術(shù) 信息安全管理體系要求（GB/T 22080-2008）u 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則（GB/T 22081-2008）第三章 功能簡介3.1 網(wǎng)絡(luò)準(zhǔn)入 360NAC網(wǎng)路準(zhǔn)入控制系統(tǒng)通過安裝天擎 入網(wǎng)、注冊(cè) 入網(wǎng)、注冊(cè) 安裝天擎 - 入網(wǎng)，三種方式靈活實(shí)現(xiàn)企業(yè)需要的準(zhǔn)入方式。3.2認(rèn)證管理保護(hù)服務(wù)器管理支持將服務(wù)器IP添加至保護(hù)服務(wù)器管理，該服務(wù)器即刻被保護(hù)，未安裝天擎的終端將不能訪問被保護(hù)的服務(wù)器。3.2.2 例外終端管理支持將終端IP添加至例外終端管理，該終端將不受準(zhǔn)入策略限制，無論是否安裝天擎客戶端都可訪問被保護(hù)的服務(wù)器。重

6、定向設(shè)置支持識(shí)別自定義http協(xié)議端口。支持終端分發(fā)地址配置。支持服務(wù)器管理地址配置。3.2.3 認(rèn)證服務(wù)器配置支持本地LDAP連接。支持第三方LDAP連接。支持Windows AD域連接。3.2.4 入網(wǎng)流程管理支持安裝天擎客戶端后入網(wǎng)方式。支持注冊(cè)、LDAP賬號(hào)認(rèn)證、WindowsAD域賬號(hào)認(rèn)證后入網(wǎng)方式。支持注冊(cè)、LDAP賬號(hào)認(rèn)證、WindowsAD域賬號(hào)認(rèn)證并安裝天擎客戶端后入網(wǎng)方式。3.2.5 訪問控制列表支持將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域（保護(hù)區(qū)、可信區(qū)、非法區(qū)）靈活的限制區(qū)域間的數(shù)據(jù)的流動(dòng)。3.2.6 ARP準(zhǔn)入支持ARP欺騙方式實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入。支持網(wǎng)絡(luò)終端掃描功能。新3.2.7 802.1

7、x支持360自主研發(fā)的PC端802.1x客戶端。支持針對(duì)PC終端進(jìn)行802.1x認(rèn)證入網(wǎng)合規(guī)性檢查。支持合規(guī)性檢查的策略自定義（普通檢查項(xiàng)、關(guān)鍵檢查項(xiàng)）。支持根據(jù)管理員的策略自定義給予用戶認(rèn)證成功后的打分功能。支持PC端802.1X認(rèn)證后的日志記錄功能，同時(shí)記錄通過認(rèn)證的交換機(jī)端口。支持用戶進(jìn)行802.1X認(rèn)證賬戶自主注冊(cè)。3.2.8 設(shè)備管理支持展示交換機(jī)的基本狀態(tài)信息，如接口列表、端口狀態(tài)、端口類型、端口所屬VLAN、端口dot1x狀態(tài)。3.3用戶管理認(rèn)證用戶管理支持本地LDAP用戶的添加刪除修改。支持第三方LDAP用戶數(shù)據(jù)的查看。注冊(cè)用戶管理支持手動(dòng)確認(rèn)用戶注冊(cè)。支持自動(dòng)確認(rèn)用戶注冊(cè)。支

8、持取消用戶注冊(cè)。在線用戶管理支持在線用戶名、用戶IP、用戶MAC地址與用戶最近檢測(cè)時(shí)間查看。用戶終端掃描支持跨路由器掃描在線PC。3.4 策略管理3.4.1 策略配置支持針對(duì)PC終端的遠(yuǎn)程桌面、文件共享、特定軟件、特定進(jìn)程等功能的狀態(tài)（啟用或禁用）進(jìn)行準(zhǔn)入控制。3.5系統(tǒng)管理3.5.1系統(tǒng)配置支持密碼修改。支持系統(tǒng)時(shí)間查看修改。3.5.2接口管理支持接口IP、MAC、類型、啟用狀態(tài)、連接狀態(tài)查看。支持接口IP地址修改。支持接口狀態(tài)、類型修改。3.5.3 路由管理支持路由信息的添加與刪除。3.5.4 服務(wù)管理支持系統(tǒng)服務(wù)器的停止、啟動(dòng)與重啟3.5.5 軟件升級(jí)支持頁面操作方式升級(jí)360網(wǎng)絡(luò)安全準(zhǔn)

9、入內(nèi)核。3.5.6 天擎聯(lián)動(dòng)支持針對(duì)天擎聯(lián)動(dòng)，完成對(duì)用戶終端的全方位保護(hù)。3.6系統(tǒng)日志系統(tǒng)日志包括違規(guī)訪問日志、心跳日志、認(rèn)證日志三大類。3.6.1違規(guī)訪問支持違規(guī)訪問的四元組信息、訪問時(shí)間的查看、查詢與刪除。3.6.2心跳日志支持心跳日志記錄查詢與刪除3.6.3 認(rèn)證日志支持本地LDAP、第三方LDAP、Windows AD域認(rèn)證記錄查詢與刪除。3.6.4 802.1x認(rèn)證日志支持802.1x成功或失敗認(rèn)證記錄的查詢與刪除。第四章 產(chǎn)品優(yōu)勢(shì)與特點(diǎn)l 基于標(biāo)準(zhǔn)旁路部署，對(duì)用戶網(wǎng)絡(luò)沒有任何影響l 基于自有旁路重定向技術(shù)，方便自動(dòng)分發(fā)l 支持第三方LDAP和AD域認(rèn)證。l 和360天擎無縫融合，

10、提供天擎網(wǎng)絡(luò)準(zhǔn)入功能。l 阻斷策略配置靈活，可以滿足多種場(chǎng)景。l 支持無客戶端準(zhǔn)入方式。第五章 產(chǎn)品性能指標(biāo)5.1測(cè)試簡介測(cè)試目的在于對(duì)360NAC進(jìn)行壓力性能測(cè)試結(jié)果分析，評(píng)估出360NAC的整體性能。主要測(cè)試360NAC鏡像接口的抓包能力，分別測(cè)試單接口以及整機(jī)的抓包性能5.2被測(cè)設(shè)備硬件配置型號(hào)360NAC-5130360NAC-3130 360NAC-1130主板NSA5130(高)NSA3130(中)NSA1130(低)CPUI7 2600*1G850*1D525內(nèi)存8G(DDR3 4G*2)4G(DDR3 2G*2)2G(DDR3 2G*1)CF卡1G*11G*11G*1硬盤500

11、GB500GB 500GB接口4光6電 2光6電 5電 5.3 360NAC抓包性能指標(biāo)圖1性能測(cè)試拓?fù)鋱D平臺(tái)抓包能力(bps)51305G31302G1130600M第六章 產(chǎn)品應(yīng)用部署6.1 360NAC解決方案6.1.1部署拓?fù)洚?dāng)前解決方案是著眼于國稅項(xiàng)目，使用阻斷方式來干擾終端正常網(wǎng)絡(luò)訪問，來達(dá)到準(zhǔn)入功能。其網(wǎng)絡(luò)部署及數(shù)據(jù)流如下圖：6.2.基本原理6.2.1 360NAC工作流程圖6.2.2 360NAC工作流程圖詳述 360NAC流程一部署只有安裝天擎客戶端的PC才有權(quán)限訪問受保護(hù)服務(wù)器。1. 用戶訪問受保護(hù)服務(wù)器打開終端分發(fā)頁面。2. 點(diǎn)擊鏈接，下載并安裝天擎客戶端，之后用戶PC可正常訪問受保護(hù)服務(wù)器。 360NAC流程二部署用戶經(jīng)過注冊(cè)、管理員確認(rèn)、下載并安裝天擎客戶端后才能訪問受保護(hù)服務(wù)器。1. 客戶PC訪問受保護(hù)服務(wù)器，打開注冊(cè)頁面，填寫用戶真實(shí)信息并提交。