寶界準(zhǔn)入產(chǎn)品與企業(yè)版結(jié)合解決方案

寶界準(zhǔn)入產(chǎn)品與360公司版結(jié)合解決方案一、需求背景1.1、360公司版功能優(yōu)勢與劣勢360單機(jī)版已廣泛被用戶認(rèn)可，用戶量突破3億。360又發(fā)布了一款終身免費(fèi)、不限點(diǎn)數(shù)的360公司版（網(wǎng)絡(luò)版），終端用戶量已突破760萬，它為公司提供一站式安全桌面解決方案、全網(wǎng)木馬查殺、內(nèi)網(wǎng)打補(bǔ)丁、軟硬件資產(chǎn)管理、軟件分發(fā)、流量監(jiān)控、U盤管理等功能。優(yōu)勢：免費(fèi)：無裝機(jī)點(diǎn)數(shù)的限制用戶基數(shù)大：有助于有害域名、病毒庫的云收集兼容性好、穩(wěn)定：公司版與個(gè)人版一鍵切換殺毒與桌面管理結(jié)合功能強(qiáng)劣勢：缺少強(qiáng)制全網(wǎng)安裝的手段，那臺(tái)裝了360客戶端，那臺(tái)沒裝？缺少對(duì)能安裝但不愿安裝360公司版客戶端的入網(wǎng)終端的監(jiān)控?zé)o法區(qū)分員工與訪客的入網(wǎng)權(quán)限缺少與互換機(jī)、路由器的聯(lián)動(dòng)，某些非法行為在網(wǎng)絡(luò)設(shè)備上阻斷更徹底無法管理不能安裝360公司版的LINUX終端、監(jiān)控設(shè)備、啞終端、醫(yī)療設(shè)備沒有上網(wǎng)行為管理的功能1.2、寶界終端準(zhǔn)入與360公司版結(jié)合可解決那些問題全網(wǎng)安裝360公司版客戶端入網(wǎng)用戶統(tǒng)一實(shí)名認(rèn)證區(qū)分訪客與員工的權(quán)限ARP病毒的防御監(jiān)控私接路由器、私接隨身WIFI的行為資產(chǎn)管理的補(bǔ)充與強(qiáng)化（不裝客戶端的主機(jī)）流量控制功能的互補(bǔ)全網(wǎng)病毒控制全網(wǎng)U盤管理統(tǒng)一入網(wǎng)日記1.3、什么樣的網(wǎng)絡(luò)環(huán)境,準(zhǔn)入能與360公司版相結(jié)合？隔離網(wǎng)環(huán)境終端數(shù)從幾十臺(tái)到幾百臺(tái)不等，網(wǎng)絡(luò)管理情況比較嚴(yán)格，不允許終端連接互聯(lián)網(wǎng)。所有終端都集中在一個(gè)局域網(wǎng)內(nèi)，有專門的網(wǎng)絡(luò)管理員或者安全管理員。在公司內(nèi)部部署控制中心和公司版終端，公司版終端根據(jù)控制中心制定的安全策略，進(jìn)行體檢、殺毒和修復(fù)漏洞等安全操作。使用隔離網(wǎng)工具，定期從360相關(guān)的服務(wù)器下載病毒庫、木馬庫、漏洞補(bǔ)丁文獻(xiàn)等，更新到控制中心后，所以公司終端都可以自動(dòng)升級(jí)和修復(fù)漏洞。有專人負(fù)責(zé)控制中心的平常運(yùn)營，定期查看各終端的安全情況，下發(fā)統(tǒng)一殺毒、漏洞修復(fù)等策略。在隔離網(wǎng)的網(wǎng)絡(luò)環(huán)境中，可以用終端準(zhǔn)入設(shè)備旁路方式接在互換機(jī)，實(shí)現(xiàn)對(duì)所有終端主機(jī)強(qiáng)制安裝360客戶端。聯(lián)網(wǎng)環(huán)境公司規(guī)模一般，終端數(shù)從幾十臺(tái)到幾百臺(tái)不等，網(wǎng)絡(luò)管理情況不是很嚴(yán)格，允許終端上網(wǎng)。所有終端都集中在一個(gè)局域網(wǎng)內(nèi)，有專門的網(wǎng)絡(luò)管理員或者安全管理員。在公司內(nèi)部部署控制中心和公司版終端，公司版終端通過控制中心連接到360的升級(jí)服務(wù)器進(jìn)行升級(jí)、更新等，控制中心具有緩存功能，同樣的數(shù)據(jù)文獻(xiàn)只會(huì)下載一次，可以極大的節(jié)省公司總出口帶寬。公司版終端根據(jù)控制中心制定的安全策略，進(jìn)行體檢、殺毒和修復(fù)漏洞等安全操作。進(jìn)行殺毒掃描時(shí)，公司終端可以直接連接360的云查殺系統(tǒng)，進(jìn)行云查殺。有專人負(fù)責(zé)控制中心的平常運(yùn)營，定期查看各終端的安全情況，下發(fā)統(tǒng)一殺毒、漏洞修復(fù)等策略。聯(lián)網(wǎng)環(huán)境下，方法一是用應(yīng)用準(zhǔn)入網(wǎng)關(guān)設(shè)備以網(wǎng)橋方式串接在出口，或放在關(guān)鍵服務(wù)器前面，這樣所有終端主機(jī)流量從準(zhǔn)入設(shè)備通過時(shí)，準(zhǔn)入會(huì)判斷

有沒有安裝360客戶端，沒有安裝的則提醒安裝。方法二是采用終端準(zhǔn)入控制系統(tǒng)旁路接在互換機(jī)上，實(shí)現(xiàn)終端主機(jī)接入網(wǎng)絡(luò)時(shí)，強(qiáng)制安裝360客戶端。無線環(huán)境現(xiàn)有的無線路由使用共享簡樸密碼，極易泄漏；無法區(qū)分無線用戶是外來訪客還是內(nèi)部員工；訪客可隨意訪問公司內(nèi)部應(yīng)用服務(wù)器；難以保證無線接入用戶是否安裝360客戶端。采用無線準(zhǔn)入網(wǎng)關(guān)，以路由網(wǎng)關(guān)或網(wǎng)橋或策略路由方式，來對(duì)無線接入終端強(qiáng)制安裝360客戶端。二、解決方案2.1、全網(wǎng)安裝360公司版客戶端通過準(zhǔn)入與360服務(wù)器的聯(lián)動(dòng)，準(zhǔn)入系統(tǒng)分析所接入網(wǎng)絡(luò)的終端主機(jī)有沒有相應(yīng)數(shù)據(jù)包與服務(wù)器通訊，有則立即放行，允許接入內(nèi)網(wǎng)，沒有則彈出和諧界面，引導(dǎo)客戶端安裝。提醒安裝客戶端終端主機(jī)沒有安裝360,限制模式提醒沒有安裝360客戶端的終端主機(jī)，打開IE時(shí)，彈出網(wǎng)頁提醒沒有安裝客戶端，這時(shí)可以點(diǎn)擊下載安裝，只要按默認(rèn)的提醒下一步，直到安裝完畢，無需網(wǎng)管現(xiàn)場安裝，大大減輕網(wǎng)管工作量。同時(shí)又保證了所有主機(jī)都所有安裝客戶端。2.2、入網(wǎng)用戶統(tǒng)一實(shí)名認(rèn)證不管網(wǎng)絡(luò)中各終端IP是DHCP自動(dòng)獲取，還是手動(dòng)設(shè)立IP，對(duì)入網(wǎng)的主機(jī)規(guī)定做到相應(yīng)到人，準(zhǔn)入系統(tǒng)規(guī)定入網(wǎng)主機(jī)，只有實(shí)名認(rèn)證通過后才干接入內(nèi)網(wǎng)。實(shí)名認(rèn)證終端主機(jī)沒有實(shí)名認(rèn)證,限制模式提醒終端主機(jī)點(diǎn)實(shí)名認(rèn)證，輸入用戶名和口令，認(rèn)證通過后，才干接入內(nèi)網(wǎng)。顯示已實(shí)名驗(yàn)證成功的用戶列表2.3、區(qū)分訪客與員工的權(quán)限，訪客在隔離網(wǎng)段可以不裝1、準(zhǔn)入系統(tǒng),分兩個(gè)DHCP地址池，一個(gè)是訪客的DHCP地址池，即隔離網(wǎng)段，一個(gè)是員工的DHCP地址池，即工作網(wǎng)段；2、對(duì)于外來訪客，允許在隔離網(wǎng)段，不安裝360客戶端軟件，通過準(zhǔn)入系統(tǒng)做安全策略，允許訪問指定的服務(wù)器或訪問互聯(lián)網(wǎng)，3、內(nèi)部員工則規(guī)定必須安裝360客戶端才干接入工作網(wǎng)段。一些服務(wù)器可以不安裝360客戶端也能接入內(nèi)網(wǎng)。訪客網(wǎng)段、工作網(wǎng)段兩個(gè)DHCP地址池隔離網(wǎng)段訪問控制ARP病毒的防御（雙方綁定IP/MAC,DHCPSNOOPING）襲擊的基本原理就是強(qiáng)制被襲擊的主機(jī)更新ARP緩存表，將目的IP與襲擊者的MAC聯(lián)系起來，這樣，當(dāng)被襲擊者與目的IP通信時(shí)，報(bào)文都被發(fā)送到了襲擊者上。常見的一種ARP襲擊是中間人襲擊。襲擊者向被襲擊的主機(jī)和目的主機(jī)同時(shí)單播發(fā)送積極ARP報(bào)文更新通信雙方分ARP緩存表（由于主機(jī)上的解決程序不區(qū)分單播、多播，因此發(fā)送單播消息可以增長隱蔽性）。當(dāng)收到通信雙方的報(bào)文后，除了上送到襲擊程序解決外，還充當(dāng)軟網(wǎng)關(guān)，向通信的另一方轉(zhuǎn)發(fā)這個(gè)報(bào)文，因此通信雙方無法發(fā)現(xiàn)竊聽者。當(dāng)目的IP在其它網(wǎng)段或是公網(wǎng)時(shí)，襲擊者仿冒的是網(wǎng)關(guān)。ARP病毒。它事實(shí)上是自動(dòng)化的中間人襲擊，它通過被感染主機(jī)來仿冒網(wǎng)關(guān)，進(jìn)而來監(jiān)聽網(wǎng)絡(luò)中的所有報(bào)文從中獲取所需的用戶私密信息。解決ARP病毒方法是運(yùn)用準(zhǔn)入控制系統(tǒng)，一是與互換機(jī)智能聯(lián)動(dòng)，直接綁定合法主機(jī)的IP，MAC以及所在端口，二是針對(duì)DHCP的終端主機(jī)，，由準(zhǔn)入設(shè)備提供DHCP服務(wù)，啟用互換機(jī)的DHCPSNOOPING功能，防止非法的DHCP服務(wù)。此外在360內(nèi)網(wǎng)管理功能上啟用IPMAC綁定IPMAC綁定2.5、監(jiān)控私接路由器、私接隨身WIFI的行為準(zhǔn)入系統(tǒng)通過辨認(rèn)網(wǎng)卡制造商，能辨認(rèn)非法接入的終端是否無線路由，再由網(wǎng)管對(duì)其阻止入網(wǎng)。判斷非法路由的接入隨著無線網(wǎng)絡(luò)的普及，隨身WIFI可以任意插到主機(jī)USB口，從而手機(jī)等智能終端隨意上網(wǎng)，導(dǎo)致了這些終端的接入沒法有效管理，準(zhǔn)入系統(tǒng)強(qiáng)制所有終端主機(jī)安裝360客戶端，然后在360控制臺(tái)可以對(duì)全網(wǎng)的主機(jī)進(jìn)行外接設(shè)備管控，限制USB無線網(wǎng)卡與熱點(diǎn)。私接隨身WIFI2.6、資產(chǎn)管理的補(bǔ)充與強(qiáng)化（不裝客戶端的主機(jī)）準(zhǔn)入系統(tǒng)對(duì)沒有安裝360客戶端的終端主機(jī)，作為限制主機(jī)。由于沒有安裝客戶端的主機(jī)，360

服務(wù)器是管理不到的，所以準(zhǔn)入系統(tǒng)可以通過對(duì)限制主機(jī)強(qiáng)制安裝相應(yīng)360客戶端，從而納入360服務(wù)器的統(tǒng)一管理。2.7、全網(wǎng)病毒控制（注意是全網(wǎng)）由于準(zhǔn)入系統(tǒng)可以在全網(wǎng)范圍內(nèi)強(qiáng)制360客戶端的安裝，解決了少數(shù)主機(jī)不安裝360客戶端，或惡意卸載，或重安裝系統(tǒng)帶來的客戶端丟失。這樣全網(wǎng)所有主機(jī)安裝了360客戶端，在360控制臺(tái)就可以對(duì)終端主機(jī)所有啟用360防病毒。2.8、全網(wǎng)U盤管理（注意是全網(wǎng)）由于準(zhǔn)入系統(tǒng)可以在全網(wǎng)范圍內(nèi)強(qiáng)制360客戶端的安裝，解決了少數(shù)主機(jī)不安裝360客戶端，或惡意卸載，或重安裝系統(tǒng)帶來的客戶端丟失。這樣全網(wǎng)所有主機(jī)安裝了360客戶端，在360控制臺(tái)就可以對(duì)所有終端主機(jī)所有啟用U盤管理。2.9、統(tǒng)一入網(wǎng)日記主界面系統(tǒng)狀態(tài)欄事件日記，可顯示客戶端上下線日記及主機(jī)相應(yīng)的MAC地址、IP地址、用戶/部門、互換機(jī)、時(shí)間信息。三、終端準(zhǔn)入與360結(jié)合的技術(shù)實(shí)現(xiàn)3.1、終端準(zhǔn)入與360公司版網(wǎng)絡(luò)拓?fù)洚a(chǎn)品部署拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸說明：1、終端準(zhǔn)入設(shè)備是旁路方式接在核心互換機(jī)上,由于準(zhǔn)入設(shè)備是多接口的，對(duì)于網(wǎng)段數(shù)不多的網(wǎng)絡(luò)，可以一個(gè)接口管理一個(gè)VLAN，各網(wǎng)段分別接入準(zhǔn)入設(shè)備的不同接口，各自進(jìn)行準(zhǔn)入控制。2、對(duì)于多VLAN的，可以采用核心互換機(jī)的TRUNK口接準(zhǔn)入設(shè)備的一個(gè)接口，這樣可以一個(gè)準(zhǔn)入接口可以管理多個(gè)VLAN。實(shí)現(xiàn)每個(gè)VLAN的準(zhǔn)入控制。3、準(zhǔn)入與核心互換機(jī)通過TELNET/SSH方式聯(lián)動(dòng)。4、匯聚層或接入層互換機(jī)啟用DHCPSnooping+IPSOURCEGURARD或DAI，DHCPSnooping有效防止網(wǎng)絡(luò)中的非法DHCP服務(wù)。IPSOURCEGURARD或DAI功能有效解決終端主機(jī)私自設(shè)立IP，同時(shí)解決了內(nèi)網(wǎng)中固定IP的服務(wù)器,直接在互換機(jī)上建立合法的綁定表。3.2采用DHCP準(zhǔn)入與360結(jié)合寶界終端準(zhǔn)入控制系統(tǒng)旁路接在三層核心互換機(jī)的一個(gè)TRUNK口，原有的三層核心提供的DHCP服務(wù)由寶界終端準(zhǔn)入控制系統(tǒng)提供，由寶界終端準(zhǔn)入控制系統(tǒng)對(duì)內(nèi)網(wǎng)的所有終端做掃描檢查，采用DHCP準(zhǔn)入控制技術(shù)，所有主機(jī)先獲取到隔離網(wǎng)段的IP地址，只有通過實(shí)名/CA認(rèn)證檢查，以及360客戶端安裝檢查，通過后才干分派到內(nèi)網(wǎng)的工作VLAN的IP。3.3采用IPMAC準(zhǔn)入+ARP重定向?qū)崿F(xiàn)與360結(jié)合寶界終端準(zhǔn)入控制系統(tǒng)旁路接在三層核心互換機(jī)的一個(gè)TRUNK口，原有三層核心提供的DHCP服務(wù)仍不變，或原有的專門DHCP服務(wù)器仍正常提供DHCP服務(wù)，由寶界終端準(zhǔn)入控制系統(tǒng)與三層核心互換機(jī)做聯(lián)動(dòng),對(duì)內(nèi)網(wǎng)的所有終端做掃描檢查，可以對(duì)現(xiàn)有的合法主機(jī)建立白名單體系，針對(duì)不同的主機(jī)可以做靈活的檢查規(guī)則，如只需要實(shí)名/CA認(rèn)證檢查，或360客戶端是否安裝檢查，也可以兩者都規(guī)定符合才干接入內(nèi)網(wǎng)。外來的非法主機(jī)，打開IE自動(dòng)跳轉(zhuǎn)到認(rèn)證頁面,進(jìn)行實(shí)名認(rèn)證以及360客戶端安裝，符合這二個(gè)條件才干接入內(nèi)網(wǎng)。針對(duì)固定IP的網(wǎng)絡(luò)環(huán)境，由寶界終端準(zhǔn)入控制系統(tǒng)與三層核心互換機(jī)做聯(lián)動(dòng),對(duì)內(nèi)網(wǎng)的所有終端做掃描檢查，可以對(duì)現(xiàn)有的合法主機(jī)建立白名單體系，準(zhǔn)入設(shè)備采用IPMAC準(zhǔn)入+arp重定向?qū)崿F(xiàn),針對(duì)不同的主機(jī)可以做靈活的檢查規(guī)則，如只需要實(shí)名/CA認(rèn)證檢查，或360客戶端是否安裝檢查，也可以兩者都規(guī)定符合才干接入內(nèi)網(wǎng)。外來的非法主機(jī)，打開IE自動(dòng)跳轉(zhuǎn)到認(rèn)證頁面,進(jìn)行實(shí)名認(rèn)證以及360客戶端安裝，符合這二個(gè)條件才干接入內(nèi)網(wǎng)。3.4、終端準(zhǔn)入與360公司版結(jié)合入網(wǎng)流程DHCP準(zhǔn)入與360結(jié)合的準(zhǔn)入流程通過寶界終端準(zhǔn)入管理系統(tǒng)，與現(xiàn)有的360內(nèi)網(wǎng)管理服務(wù)器的有效聯(lián)動(dòng)，接入的主機(jī)，一方面動(dòng)態(tài)分派到寶界指定的隔離網(wǎng)段IP地址，其網(wǎng)關(guān)指向到寶界準(zhǔn)入設(shè)備，打開IE，自動(dòng)跳轉(zhuǎn)到實(shí)名認(rèn)證、CA證書驗(yàn)證頁面，輸入網(wǎng)管人員分派的實(shí)名帳號(hào)或USB接口插上分派的CA證書，認(rèn)證通過后，假如該主機(jī)已安裝了360客戶端，就可以分派到合法的工作網(wǎng)段的IP地址，網(wǎng)關(guān)指向到三層互換機(jī)VLAN接口地址。假如該主機(jī)沒有安裝360客戶端，則跳轉(zhuǎn)到客戶端安裝頁面，安裝好后才干分派到工作IP。1、啟用DHCP準(zhǔn)入方式2、設(shè)立隔離網(wǎng)段與工作網(wǎng)段，以及檢測條件3、接入主機(jī)先分派到寶界準(zhǔn)入控制系統(tǒng)指定的隔離網(wǎng)段：4、打開IE會(huì)跳轉(zhuǎn)到實(shí)名認(rèn)證、CA證書驗(yàn)證頁面：假如需要實(shí)名認(rèn)證的，選擇實(shí)名登錄，輸入網(wǎng)管分派的實(shí)名用戶帳號(hào)登錄假如需要CA證書驗(yàn)證，選擇相應(yīng)的證書驗(yàn)證菜單選項(xiàng)，USB口插上分派到的 CA證書。如該主機(jī)是第一次使用CA，需要安裝相應(yīng)的CA證書驅(qū)動(dòng)，已安裝過驅(qū)動(dòng)的主機(jī)可以直接驗(yàn)證。至此，實(shí)名認(rèn)證或CA證書驗(yàn)證通過后，該主機(jī)如已安裝過360客戶端，就能分派到工作網(wǎng)段，可以正常訪問內(nèi)網(wǎng)。如沒有安裝360客戶端，會(huì)接下面環(huán)節(jié)安裝360客戶端。5、沒有安裝360客戶端的自動(dòng)跳轉(zhuǎn)到提醒安裝界面360客戶端安裝注冊(cè)認(rèn)證實(shí)名/證書認(rèn)證通過，360客戶端安裝過的終端主機(jī)，至此可以正常分派到工作網(wǎng)段的IP。IPMAC準(zhǔn)入+ARP重定向?qū)崿F(xiàn)與360結(jié)合的工作流程：測試網(wǎng)段用的VLAN46(10.76.46.0255.255.255.128)網(wǎng)段做測試，46網(wǎng)段的網(wǎng)關(guān)10.76.46.126,46網(wǎng)段的DHCP服務(wù)仍由本來的DHCP服務(wù)器提供，準(zhǔn)入管理系統(tǒng)eth0.46接口地址設(shè)立為10.76.46.119255.255.255.128.啟用IPMAC準(zhǔn)入方式測試過程:找一臺(tái)筆記本，網(wǎng)線接到46網(wǎng)段的互換機(jī)接口，一方面DHCP獲取到10.76.46.x地址，此時(shí)該主機(jī)打開IE，由于內(nèi)網(wǎng)沒有域名解析服務(wù)器，只能輸入IP，如,就會(huì)跳出實(shí)名/CA認(rèn)證的網(wǎng)頁，規(guī)定實(shí)名/CA證書認(rèn)證。實(shí)名/CA認(rèn)證輸入已設(shè)立好的實(shí)名用戶帳號(hào)，或插入CA證書，認(rèn)證通過后，如這臺(tái)筆記本已安裝360客戶端，就可以直接訪問內(nèi)網(wǎng)，如沒有安裝360，則再次打開IE，會(huì)跳出360客戶端認(rèn)證網(wǎng)頁。360客戶端安裝注冊(cè)認(rèn)證至此，實(shí)名/CA，以及360客戶端都認(rèn)證成功后，該主機(jī)就可以正常訪問內(nèi)網(wǎng)的資源。四、寶界應(yīng)用準(zhǔn)入與360公司版結(jié)合技術(shù)實(shí)現(xiàn)4.1、應(yīng)用準(zhǔn)入與360公司版結(jié)合網(wǎng)絡(luò)拓?fù)?、寶界應(yīng)用準(zhǔn)入網(wǎng)關(guān)以透明橋接方式部署在核心互換機(jī)與路由器之間，它支持BYPASS，斷電可直通。2、360網(wǎng)絡(luò)版服務(wù)器接在寶界應(yīng)用準(zhǔn)入網(wǎng)關(guān)第三個(gè)網(wǎng)口。3、內(nèi)網(wǎng)無線路由器轉(zhuǎn)換為無線AP模式后，同樣可控?zé)o線接入終端。4、應(yīng)用準(zhǔn)入網(wǎng)關(guān)假如啟用SSLVPN模塊，外網(wǎng)用戶可通SSLVPN加密訪問內(nèi)網(wǎng)服務(wù)器。4.2、應(yīng)用準(zhǔn)入與360公司版結(jié)合終端入網(wǎng)工作流程1、寶界應(yīng)用準(zhǔn)入網(wǎng)關(guān)對(duì)指定的內(nèi)網(wǎng)網(wǎng)段啟用準(zhǔn)入功能，設(shè)立360公司版服