《北信源网络接入控制管理系统白皮书v3.0》由会员分享,可在线阅读,更多相关《北信源网络接入控制管理系统白皮书v3.0(15页珍藏版)》请在金锄头文库上搜索。
1、北信源网络接入控制管理系统北信源网络接入控制管理系统 产品白皮书产品白皮书 北京北信源软件股份有限公司 北信源网络接入控制管理系统产品白皮书 2 版权声明版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称 北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引 用。本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司 的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一 列明。 产品声明产品声明 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方 法
2、不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源 公司技术服务人员。 免责声明免责声明 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损 失,北信源公司及其员工均不承担任何责任。 北信源网络接入控制管理系统产品白皮书 3 目录目录 1.系统概述.4 2.系统架构.4 3.系统组成.6 3.1.策略服务器6 3.2.认证客户端6 3.3.Radius 认证服务器 .7 3.4.Radius 认证系统 .7 3.5.硬件接入网关(可选配)8 4.系统特性.8 4.1.全面的安全检查8 4.2.技术的先进性8 4.3.功能的可扩展性8 4.4.系统可整合性9 4.5
3、.无缝扩展与升级9 5.系统功能.9 5.1.准入身份认证9 5.2.完整性检查功能10 5.3.安全修复功能10 5.4.管理与报表11 5.5.终端安全策略设置12 6.典型应用.13 6.1.802.1x 环境应用13 6.2.非 802.1x 环境应用.14 6.3.VPN 环境应用.15 6.4.域环境应用15 北信源网络接入控制管理系统产品白皮书 4 1. 系统概述系统概述 北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保 证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时,还可 以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络安
4、全准入控制不仅能够将终端设备接入控制扩展到超出简单远程 访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的 每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终 端设备接入控制的执行。 北信源网络接入控制管理系统可以保护整个企业内部网络,包括可管理的 (企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、 客户)终端安全接入内部网络,保护网络接入的安全性。 2. 系统架构系统架构 网络准入控制能够勾勒企业终端接入的安全基线,屏蔽一切不安全的设备 和人员接入网络,规范用户接入网络的行为。对于未安装终端代理软件或已安 装终端代理软件但不符合安全策略要
5、求(防病毒软件、病毒特征库升级、补丁、 系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络 VLAN 隔离,并主动对其安全修复。北信源网络准入控制管理系统策略架构由安 全检查、接入认证和安全修复三个方面实现。其模型如下图: 北信源网络接入控制管理系统产品白皮书 5 网络接入控制安全访问模型网络接入控制安全访问模型 安全检查安全检查 根据系统进程、文件、注册表等设置的检查结果来判断: 用户身份是否合法 主机防火墙是否安装并运行 防病毒软件是否安装并运行,病毒特征库是否及时更新 操作系统关键安全补丁是否安装 操作系统安全配置是否妥当 是否感染特定病毒实体 是否安装违规软件 接入认
6、证接入认证 根据上述检查结果,通过服务器和网络设备以及终端 PC 联动来决定: 拒绝终端/用户接入 容许终端/用户接入 隔离终端/用户(单机隔离, VLAN 隔离) 限制终端/用户访问权限 安全修复安全修复 在隔离或限制接入的情况下,还可以通过自动修复来恢复正常的网络访问 权限。修复的内容包括: 北信源网络接入控制管理系统产品白皮书 6 自动开启 IE,连接内部安全网站上相关的提示页面 自动分发病毒专杀工具 自动升级病毒特征库 自动分发操作系统关键补丁 自动纠正错误的系统配置 3. 系统组成系统组成 北信源网络接入控制管理系统由策略服务器、认证客户端、Radius 认证服 务器、Radius
7、认证系统,以及硬件接入网关(可选)几部分组成。 3.1. 策略服务器 策略服务器是本系统的策略管理中心,提供系统的参数配置和安全策略管 理。安全策略管理包括 802.1x 协议接入认证、安全检查策略定义的配置、策略 制订分发、网络分组、认证客户端配置、数据报表输出等任务。 3.2. 认证客户端 认证客户端安装在终端计算机,根据用户名和密码向认证服务器发起认证, 能够根据策略服务器分发的安全策略对终端主机进行安全检查,依据获取的主 机的安全状态,配合认证系统,实现工作区、隔离区、修复区的自动切换。 北信源网络接入控制管理系统产品白皮书 7 网络接入认证控制示意图网络接入认证控制示意图 3.3.
8、Radius 认证服务器 Radius 认证服务器用于接收客户端认证请求信息数据包并进行验证,根据 网络环境可使用微软的 IAS,CISCO ACS 或 LINUX FREE RADIUS 等系统。 3.4. Radius 认证系统 Radius 认证系统为可网管支持 802.1x 的网络设备(交换机) ,由该认证系 统接收认证客户端的认证请求数据包与 Radius 认证服务器完成认证过程。 802.1x 利用了交换 LAN 架构的物理特性,实现了 LAN 端口上的设备认证。 在认证过程中,LAN 端口作为请求者,LAN 端口则负责向认证服务器提交接 入服务申请。基于端口的锁定只允许信任的 M
9、AC 地址向网络中发送数据,而 来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。 在不支持 802.1x 协议的网络中,看选配专用硬件设备为强制注册网关。 北信源网络接入控制管理系统产品白皮书 8 3.5. 硬件接入网关(可选配) 在不完全支持 802.1x 的网络中可选装硬件接入网关,完成未注册终端访问 网页时进行 DNS 重定向或 HTTP 重定向,以达到强制注册目的。基于 HTTP 重定 向、DNS 重定向等技术,用于强制网络中每台计算机终端必须安装认证客户端 程序的服务器,该服务器根据网络环境不同,部署在不同的位置,确保网络中 每台终端能够安全认证客户端程序。
10、4. 系统特性系统特性 4.1. 全面的安全检查全面的安全检查 全面支持对客户端主机的各种安全检查,除基本的安全检查项外(补丁、 杀毒软件、注册表、进程等) ,可以有管理员自定义制订检查安全检测任务。 4.2. 技术的先进性技术的先进性 系统基于国际化的工业标准,结合北信源内网安全管理技术,在构架上从 管理、安全、运维等多个方面进行全方位的网络安全保障,功能先进、完善、 细致,其中流量分析、统一主机防火墙、统一杀毒软件监控、进程和注册表监 控保护等多项桌面安全管理技术均领先业界,部分技术代表了行业的发展方向。 4.3. 功能的可扩展性功能的可扩展性 准入安全检查技术上除了满足客户端安全监控、客
11、户端安全加固、客户端 管理等要求之外,还提供多种数据接口和二次开发接口。由于策略结构采用的 是 XML 解释性语言,功能扩展十分迅速方便,可根据实际需要快速进行功能定 北信源网络接入控制管理系统产品白皮书 9 制,也可根据需要与相关的系统(如网管系统、安全管理平台 SOC 等)进行联 动和数据交换。 4.4. 系统可整合性系统可整合性 尤其是对于本系统,类似在终端计算机安装 Agent 的软件非常多,如防病 毒软件、桌面管理软件、远程维护软件、主机审计软件等,如何使这些软件在 一台计算机上充分发挥效用,不是简单的功能叠加问题,而是一个软件二次代 码扩展开发的问题,必须选择在国内具有强大的本地化
12、研发实力的安全软件厂 商。 4.5. 无缝扩展与升级无缝扩展与升级 北信源网络接入控制管理系统采用 C/S 与 B/S 混合模式设计,支持集中式 和分布式部署,确保部署构架的通用性,并具有模块化软件定制的特点,支持 标准 API,具有无缝功能扩展与平滑稳定升级等优点。同时,系统具有良好的 兼容性,能够同现有各种防病毒等终端主机类软件兼容运行。 5. 系统功能系统功能 5.1. 准入身份认证准入身份认证 支持 802.1X 协议接入认证:通过对支持此协议的交换机进行管理,配 合 RADIUS 服务器和认证客户端,利用交换 LAN 架构的物理特性,实现 LAN 端口的设备认证。 结合北信源接入认证
13、网关,可以支持非网管交换机、集线器等不支持 802.1X 协议的网络设备接入的终端,支持设备入网认证。 系统认证方式支持单用户、多用户、域用户等模式:单用户模式可以保 证终端设备必须安装认证客户端才能接入网络;多用户模式除了保证终 北信源网络接入控制管理系统产品白皮书 10 端设备必须安装认证客户端外,还要求用户拥有正确的用户名及口令方 可以接入网络;域用户模式支持系统自动采用域登陆用户密码进行身份 认证,将网络接入认证同域认证有效结成一体。 系统认证协议支持:支持 MD5 等多种标准加密认证方式,并可使用自定 义扩展的通讯协议,提供对第三方终端发起的非法认证过滤。 绑定认证控制:Radius
14、 认证支持交换机端口同计算机 MAC/IP、用户名 绑定接入控制,可以指定人员及计算机只能在指定交换机的特定端口登 陆接入网络。 802.1X 协议接入认证支持无线网络设备认证,支持远程 VPN 接入身份 认证,用户通过 VPN 或者 RAS 拨号方式远程拨入网络时,必须经过身份 认证方可以接入网络。 支持 DHCP 动态 IP 环境及静态 IP 网络环境认证。 5.2. 完整性检查完整性检查功能功能 支持操作系统(操作系统、IE、应用程序、反病毒升级库等)补丁完整 性检测。 支持防病毒软件/主机防火墙(业界主流厂家)的安全检测,并能进行 新软件动态增加,必要时可以远程开关/管理主机安全软件。
15、 支持自定义安全项检测(如进程、服务、软件、文件等) 。 支持安全状态检测(如口令强度、权限、注册表安全等) 。 支持多种安检失败处理方式,如直接进入正常工作区,或者进入正常工 作区后间隔提示用户安全失败。支持当安检失败时直接进入修复 VLAN,或者安全失败后隔离出网络。 支持自定义周期完整性安全检查,确保工作区域终端的实时安全性。 5.3. 安全修复安全修复功能功能 VLAN 隔离修复:系统对于未通过安全检查的终端,自动将其隔离到修复 北信源网络接入控制管理系统产品白皮书 11 VLAN,进行安全修复,修复完成后自动进入正常工作 VLAN。 在线隔离修复:系统对于未通过安全检查的终端,可在正
16、常工作 VLAN 中 进行安全修复,修复过程中只能与特定服务器通讯,访问资源受限。 修复内容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升 级、安全状态修复(如口令强度、权限、注册表安全、流量异常等) 。 当终端安全检查未通过时,管理员可以自定义提示信息或者打开指定 URL 地址进行安全修复。 5.4. 管理与报表管理与报表 安全策略配置管理:完整性安全策略由管理员统一制订,自动分发至认 证客户端执行,策略分发可以灵活设置,根据网络环境和管理进行制订 /执行。 网络分组管理:支持网络终端主机 IP 自定义分组,按部门、区域、业 务类型等方式进行划分管理范围,为策略分发和客户端管理提供依据。 认证客户端配置管理:认证客户端运行参数配置可以在策略服务器配置, 管理员可控制认证客户端注册密码、注册人、注册部门等信息填写。 系统维护管理:支持对系统管理员的分权管理(超级用户、普通用户和 审计用户) ,为不同级别管理员提供角色权限
