《360网络安全系统准入系统技术白皮书V1.3》由会员分享,可在线阅读,更多相关《360网络安全系统准入系统技术白皮书V1.3(15页珍藏版)》请在金锄头文库上搜索。
1、word360网络安全准入系统技术白皮书奇虎360科技某某二O一 四年 十一 月360网络安全准入系统技术白皮书更新历史编写人日期版本号备注X光辉2014/11/11目录第一章前言5第二章产品概述5产品构成5设计依据5第三章功能简介63.1 网络准入6认证管理6保护服务器管理63.2.2 例外终端管理6重定向设置63.2.3 认证服务器配置63.2.4 入网流程管理73.2.5 访问控制列表73.2.6 ARP准入773.2.8 设备管理7用户管理8认证用户管理8注册用户管理8在线用户管理8用户终端扫描8新3.4 策略管理83.4.1 策略配置8系统管理9系统配置9接口管理93.5.3 路由管
2、理93.5.4 服务管理93.5.5 软件升级93.5.6 天擎联动9系统日志9违规访问10心跳日志103.6.3 认证日志10认证日志10第四章产品优势与特点10第五章产品性能指标10测试简介10被测设备硬件配置115.3 360NAC抓包性能指标11第六章产品应用部署126.1 360NAC解决方案12部署拓扑126.2.根本原理136.2.1 360NAC工作流程图136.2.2 360NAC工作流程图详述146.2.2.1 360NAC流程一部署146.2.2.2 360NAC流程二部署146.2.2.3 360NAC流程三部署14 / 第一章 前言网络信息化的飞速开展为用户内网管理带
3、来新的问题和挑战,主要表现在以下几方面:1) 外来终端随意地访问网络,不设防;2) 内网中的用户可以随意地访问核心网络,下载核心文件;3) 不合规终端也可以接入到公司核心服务,对整个网络安全带来隐患;针对以上问题以与诸多安全隐患,360互联网安全中心凭借多年信息安全领域的技术积淀,推出了基于终端应用的准入系统简称360NAC。360NAC是一套配合360天擎终端安全管理系统的安全准入解决方案,它基于用户核心服务保护模式,对非法访问用户核心服务的终端进展管控和限制,并对非法用户强推终端管控软件,从而实现了一套从网络到终端的立体准入系统。 第二章 产品概述360NAC是由360互联网安全中心开发的
4、,具有自主知识产权的准入产品。该产品采用旁路部署方式,采用360自有技术,对企业内网数据流进展合法性检查并与时阻断非法连接。产品构成360NAC是由硬件准系统配合天擎客户端组成的,硬件准入系统同时提供B/S架构的系统管理平台供用户对系统进展全方位配置与管理。设计依据u 信息安全技术 信息系统安全等级保护技术要求GB/T 22239-2008u 涉与国家秘密的信息系统分级保护技术要求BMB 17-2006u 信息安全技术 终端计算机系统安全等级技术要求GA/T 671-2006u 信息技术 安全技术 信息安全管理体系要求GB/T 22080-2008u 信息技术 安全技术 信息安全管理实用规如此
5、GB/T 22081-2008第三章 功能简介 网络准入360NAC网路准入控制系统通过安装天擎 入网、注册 入网、注册 安装天擎 - 入网,三种方式灵活实现企业需要的准入方式。认证管理支持将服务器IP添加至保护服务器管理,该服务器即刻被保护,未安装天擎的终端将不能访问被保护的服务器。3.2.2 例外终端管理支持将终端IP添加至例外终端管理,该终端将不受准入策略限制,无论是否安装天擎客户端都可访问被保护的服务器。支持识别自定义协议端口。支持终端分发地址配置。支持服务器管理地址配置。3.2.3 认证服务器配置支持本地LDAP连接。支持第三方LDAP连接。支持Windows AD域连接。3.2.4
6、 入网流程管理支持安装天擎客户端后入网方式。支持注册、LDAP账号认证、WindowsAD域账号认证后入网方式。支持注册、LDAP账号认证、WindowsAD域账号认证并安装天擎客户端后入网方式。3.2.5 访问控制列表支持将网络划分为三个区域保护区、可信区、非法区灵活的限制区域间的数据的流动。3.2.6 ARP准入支持ARP欺骗方式实现网络准入。支持网络终端扫描功能。支持360自主研发的PC端802.1x客户端。支持针对PC终端进展802.1x认证入网合规性检查。支持合规性检查的策略自定义普通检查项、关键检查项。支持根据管理员的策略自定义给予用户认证成功后的打分功能。支持PC端802.1X认
7、证后的日志记录功能,同时记录通过认证的交换机端口。支持用户进展802.1X认证账户自主注册。3.2.8 设备管理支持展示交换机的根本状态信息,如接口列表、端口状态、端口类型、端口所属VLAN、端口dot1x状态。用户管理支持本地LDAP用户的添加删除修改。支持第三方LDAP用户数据的查看。支持手动确认用户注册。支持自动确认用户注册。支持取消用户注册。支持在线用户名、用户IP、用户MAC地址与用户最近检测时间查看。支持跨路由器扫描在线PC。3.4 策略管理3.4.1 策略配置支持针对PC终端的远程桌面、文件共享、特定软件、特定进程等功能的状态启用或禁用进展准入控制。3.5系统管理支持密码修改。支
8、持系统时间查看修改。支持接口IP、MAC、类型、启用状态、连接状态查看。支持接口IP地址修改。支持接口状态、类型修改。3.5.3 路由管理支持路由信息的添加与删除。3.5.4 服务管理支持系统服务器的停止、启动与重启3.5.5 软件升级支持页面操作方式升级360网络安全准入内核。3.5.6 天擎联动支持针对天擎联动,完成对用户终端的全方位保护。3.6系统日志系统日志包括违规访问日志、心跳日志、认证日志三大类。支持违规访问的四元组信息、访问时间的查看、查询与删除。支持心跳日志记录查询与删除3.6.3 认证日志支持本地LDAP、第三方LDAP、Windows AD域认证记录查询与删除。支持802.
9、1x成功或失败认证记录的查询与删除。第四章 产品优势与特点l 基于标准旁路部署,对用户网络没有任何影响l 基于自有旁路重定向技术,方便自动分发l 支持第三方LDAP和AD域认证。l 和360天擎无缝融合,提供天擎网络准入功能。l 阻断策略配置灵活,可以满足多种场景。l 支持无客户端准入方式。第五章 产品性能指标测试目的在于对360NAC进展压力性能测试结果分析,评估出360NAC的整体性能。主要测试360NAC镜像接口的抓包能力,分别测试单接口以与整机的抓包性能型号360NAC-5130360NAC-3130360NAC-1130主板NSA5130(高)NSA3130(中)NSA1130(低)
10、CPUI7 2600*1G850*1D525内存8G(DDR3 4G*2)4G(DDR3 2G*2)2G(DDR3 2G*1)CF卡1G*11G*11G*1硬盘500GB500GB 500GB接口4光6电 2光6电 5电 5.3 360NAC抓包性能指标图1性能测试拓扑图平台抓包能力(bps)51305G31302G1130600M第六章 产品应用部署6.1 360NAC解决方案当前解决方案是着眼于国税项目,使用阻断方式来干扰终端正常网络访问,来达到准入功能。其网络部署与数据流如如下图:6.2.根本原理6.2.1 360NAC工作流程图6.2.2 360NAC工作流程图详述6.2.2.1 36
11、0NAC流程一部署只有安装天擎客户端的PC才有权限访问受保护服务器。1. 用户访问受保护服务器打开终端分发页面。2. 点击,下载并安装天擎客户端,之后用户PC可正常访问受保护服务器。6.2.2.2 360NAC流程二部署用户经过注册、管理员确认、下载并安装天擎客户端后才能访问受保护服务器。1. 客户PC访问受保护服务器,打开注册页面,填写用户真实信息并提交。2. 管理员确认用户注册。3. 经管理员确认后,用户再次访问受保护服务器,打开下载天擎客户端页面,下载并安装,之后用户可正常访问受保护服务器。6.2.2.3 360NAC流程三部署用注册并经管理员确认后,可直接访问受保护服务器。1. 客户PC访问受保护服务器,打开注册页面,填写用户真实信息并提交。2. 管理员确认用户组注册,之后用户可正常访问受保护服务器。
