HWP-TD-NAC-WP-001PAGEPAGE6北信源網(wǎng)絡(luò)接入控制系統(tǒng)工作原理與功能北京北信源軟件股份有限公司

目錄1. 整體說明 32. 核心技術(shù) 32.1. 重定向技術(shù) 32.2. 策略路由準入控制技術(shù) 42.3. 旁路干擾準入控制技術(shù) 62.4. 透明網(wǎng)橋準入控制技術(shù) 72.5. 虛擬網(wǎng)關(guān)準入控制技術(shù) 72.6. 局域網(wǎng)控制技術(shù) 82.7. 身份認證技術(shù) 82.8. 安檢修復(fù)技術(shù) 92.9. 桌面系統(tǒng)聯(lián)動 93. 產(chǎn)品功能對比 10

旁路干擾準入控制技術(shù)在OOB準入控制模式的發(fā)展趨勢下，北信源公司研發(fā)了基于旁路干擾模式的準入控制方法，該準入控制方法采用和策略路由模式一致的旁路部署方法，是北信源公司在準入控制發(fā)展理念的基礎(chǔ)上自主創(chuàng)新的新型準入控制技術(shù)，相對于策略路由準入控制模式，旁路干擾準入控制模式有著更為突出的安全特性。策略路由準入控制模式雖然采用旁路部署模式，但是從技術(shù)原理上來說，采用的是流量劫持的方式對上行業(yè)務(wù)流進行篩選。而旁路干擾準入模式采用的是流量復(fù)制的模式對上行業(yè)務(wù)流量進行篩選，在篩選過后再采用旁路干擾的方式中斷現(xiàn)行業(yè)務(wù)流，是真正的旁路部署模式，不需要對現(xiàn)行業(yè)務(wù)流的走向進行任何改動，就像在快速運行的高速公路旁邊部署了一臺監(jiān)控攝像頭，當(dāng)發(fā)現(xiàn)違規(guī)車輛時通過點對點的對話方式，讓違規(guī)車輛自動接受處罰。由于旁路干擾準入控制模式真正的旁路部署特性，其對現(xiàn)行業(yè)務(wù)流沒有任何影響，因此相對于所有準入控制模式來說，有著得天獨厚、無法比擬的安全性，其具體的業(yè)務(wù)流程參考下圖：圖5旁路干擾準入控制模式示例流程旁路干擾準入控制模式要求核心設(shè)備（通常是核心或者匯聚層交換機）具備流量鏡像的功能，相對與策略路由來說，有更多的交換機都支持流量鏡像功能，因此對于不同網(wǎng)絡(luò)環(huán)境的適應(yīng)性更加強大。除此之外，即使核心設(shè)備不支持流量鏡像功能，也可以采用TAP分流的方式對流量進行復(fù)制分流，而這僅僅只需要增加一臺分流/分光設(shè)備即可。透明網(wǎng)橋準入控制技術(shù)在不支持策略路由或者旁路鏡像的環(huán)境下，為了滿足客戶網(wǎng)絡(luò)環(huán)境下的準入控制需求，采用串接的方式實現(xiàn)準入控制便顯得尤為重要了。透明網(wǎng)橋技術(shù)已經(jīng)被大多數(shù)網(wǎng)絡(luò)安全設(shè)備接受和認可，也是目前為止在網(wǎng)絡(luò)關(guān)口層面控制最為嚴格的部署技術(shù)，北信源網(wǎng)絡(luò)接入控制系統(tǒng)在不改變現(xiàn)有拓撲的情況下將網(wǎng)橋串接到網(wǎng)絡(luò)當(dāng)中，采用ACL的方式對流量IP進行過濾，對不可信不安全的終端進行隔離修復(fù)。圖6透明網(wǎng)橋準入控制模式示例流程虛擬網(wǎng)關(guān)準入控制技術(shù)虛擬網(wǎng)關(guān)是基于VLAN（VirtualLocalAreaNetwork）和SNMP（SimpleNetworkManagementProtocol

）兩種技術(shù)，在VLAN環(huán)境中，把設(shè)備接入的VLAN分為可信VLAN和不可信VLAN，判斷對應(yīng)設(shè)備是否通過認證：未通過，則通過SNMPWrite，將對應(yīng)設(shè)備所接交換機端口所處VLAN，切為不可信VLAN，以后，該設(shè)備再訪問網(wǎng)絡(luò)，將會被重定向，直至認證通過后，虛擬網(wǎng)關(guān)才將其所處VLAN,切換為可信VLAN，正常上網(wǎng)。局域網(wǎng)控制技術(shù)無論是策略路由、旁路干擾還是透明網(wǎng)橋準入控制技術(shù)，都是基于網(wǎng)絡(luò)核心節(jié)點的網(wǎng)絡(luò)接入控制技術(shù)，并不能真正對局域網(wǎng)終端節(jié)點之間的互訪進行授信控制。在以往的所有準入控制技術(shù)當(dāng)中，對于局域網(wǎng)之間互訪的授信控制是基于接入交換機端口的控制（802.1X）、IP地址獲取控制（DHCPEnforcer）或者通過VLAN技術(shù)進行隔離。北信源網(wǎng)絡(luò)接入控制系統(tǒng)授予了終端可信判斷的能力，對于安裝有北信源網(wǎng)絡(luò)接入控制系統(tǒng)Agent的終端，可以自動判斷來訪者的可信程度，如果發(fā)現(xiàn)來訪者是不安全不可信的終端，Agent會丟棄來訪的數(shù)據(jù)包請求，阻止不可信終端對自身的訪問。采用終端自判斷的方式將局域網(wǎng)訪問控制從網(wǎng)絡(luò)節(jié)點設(shè)備下放到終端自身，不僅可以降低網(wǎng)絡(luò)節(jié)點設(shè)備自身的壓力，還可以規(guī)避其它局域網(wǎng)訪問控制技術(shù)的缺陷，例如802.1x對hub、傻瓜式交換機下終端互訪無法控制的問題以及采用手動設(shè)置IP規(guī)避DHCP自動獲取的IP控制等。而由于安裝Agent進行注冊是入網(wǎng)授信必須經(jīng)歷的一個環(huán)節(jié)，因此采用終端自判斷的局域網(wǎng)控制技術(shù)，可以完全有效的控制局域網(wǎng)終端之間的授信訪問過程。身份認證技術(shù)身份認證是終端可信認證的一個重要環(huán)節(jié)，隨著信息安全技術(shù)的不斷發(fā)展，針對身份認證安全可靠的特性也提出了更高的要求。身份認證最重要的部分是防偽造、防抵賴，因此身份認證技術(shù)也從最初簡單的用戶名/口令，逐漸發(fā)展到證書、生物技術(shù)、動態(tài)密碼以及多因素認證，防止一切可能偽造和抵賴的因素。為了滿足不同安全程度的身份認證需求，也為了適應(yīng)客戶網(wǎng)絡(luò)環(huán)境中可能已經(jīng)存在的身份存儲和認證方式，北信源網(wǎng)絡(luò)接入控制系統(tǒng)針對各種主流身份認證技術(shù)進行了符合性開發(fā)，為各種主流身份認證技術(shù)提供了認證接口，典型的諸如和Radius、LDAP、AD域、CA系統(tǒng)、郵箱系統(tǒng)相結(jié)合的認證，可以滿足當(dāng)前技術(shù)下大部分認證系統(tǒng)的需求。安檢修復(fù)技術(shù)除身份認證外，安檢修復(fù)也是針對終端可信認證的重要環(huán)節(jié)，據(jù)權(quán)威機構(gòu)研究證明，80%的信息泄密來自于企業(yè)或機構(gòu)的內(nèi)部計算機終端。由于大部分企業(yè)計算機終端的使用人員安全意識薄弱且非計算機專業(yè)人員，對于計算機的自主安全防護能力存在一定欠缺，因此造成了很大的泄密隱患。針對內(nèi)部終端被動泄密的問題，歸根結(jié)底是因為終端的安全策略配置不夠嚴謹（例如guest賬戶開啟、弱口令設(shè)置以及不正常的注冊表鍵值等）或者計算機本身存在安全漏洞（例如關(guān)鍵補丁未安裝、殺毒軟件未安裝或者病毒庫過期等原因）造成的。針對此類情況，北信源網(wǎng)絡(luò)接入控制系統(tǒng)采用主動探測和一鍵修復(fù)的技術(shù)設(shè)計，對入網(wǎng)計算機終端的安全測試進行檢查和評分，對存在安全隱患的計算機終端強制禁止入網(wǎng)，并提供一鍵策略修復(fù)技術(shù)，解決終端可能存在的不安全隱患，從而達到全網(wǎng)終端的統(tǒng)一安全管理。桌面系統(tǒng)聯(lián)動北信源準入控制系統(tǒng)支持與桌面系統(tǒng)聯(lián)動，在已經(jīng)部署桌面系統(tǒng)的環(huán)境下，支持注冊客戶端透明準入，不需要二次認證注冊，由桌面管理平臺下發(fā)安全策略，客戶端安全信息實時上報到準入網(wǎng)關(guān)，實時更新終端安全策略狀況，風(fēng)險控制嚴格，客戶端上報安全信息不合規(guī)時，立即被隔離到隔離區(qū)，此時客戶端僅能訪問隔離區(qū)中的服務(wù)器，直到修復(fù)完全直到滿足安全策略要求。產(chǎn)品支持與客戶端AD域?qū)嵜?，符合安全要求的注冊信息才準許入網(wǎng)，同時自動配合域組織架構(gòu)信息，達到實時動態(tài)審核，同步更新域組織信息，簡化實名注冊審核機制，規(guī)范終端實名架構(gòu)，統(tǒng)一管理，一目了然。產(chǎn)品功能對比功能項功能描述北信源江南天安注冊管理自定義注冊信息，要求可以定義必須填寫的注冊信息項，可根據(jù)需要啟用/禁用自定義項。自定義單元豐富簡單終端注冊的日志記錄功能，并可根據(jù)時間、設(shè)備名、注冊者、IP及動作等關(guān)鍵字進行記錄查詢。支持支持針對IE、QQ登陸及彈出窗口等web形式的訪問提供入網(wǎng)重定向提示，提示進行客戶端注冊。支持支持支持實名制注冊審核管理功能，支持與OA系統(tǒng)、AD域等組織架構(gòu)服務(wù)器同步組織架構(gòu)，自動根據(jù)設(shè)置關(guān)鍵字段實名審核，同時支持已注冊終端可通過管理員手動審核或者短信審核通過之后才可以接入網(wǎng)絡(luò)。支持不支持資產(chǎn)管理終端硬件資產(chǎn)統(tǒng)計和查詢，統(tǒng)計內(nèi)容應(yīng)至少包含CPU、內(nèi)存、硬盤等基本硬件設(shè)備信息以及光驅(qū)、顯卡、鼠標、網(wǎng)卡、鍵盤等相關(guān)外設(shè)信息。明細多豐富支持終端軟件資產(chǎn)統(tǒng)計和查詢，統(tǒng)計內(nèi)容應(yīng)至少包含操作系統(tǒng)版本、操作系統(tǒng)補丁安裝情況、IE版本、主機名稱、網(wǎng)卡MAC信息以及設(shè)備內(nèi)安裝的應(yīng)用軟件使用情況。支持支持對終端計算機軟件安裝信息的收集，包括當(dāng)前軟件安裝信息和歷史安裝信息。支持支持身份認證與安全檢查本地認證系統(tǒng)，支持自定義本地用戶和密碼，支持本地認證用戶自行修改密碼。支持支持支持與AD域服務(wù)器、LDAP服務(wù)器實現(xiàn)聯(lián)動認證，并且支持帳戶信息的自動同步以及導(dǎo)入導(dǎo)出；支持支持認證超時機制，超時帳戶強制自動登出，要求超時時間可以自行配置。必須支持帳戶超期統(tǒng)一登出機制，登出時間可根據(jù)需要自行設(shè)置。支持不支持帳戶嘗試登錄限制，要求嘗試登錄次數(shù)可進行配置，嘗試登錄失敗可鎖定帳戶，鎖定時間可按需配置。支持支持帳戶角色綁定功能，不同用戶帳戶繼承所屬角色的訪問權(quán)限以及安檢要求。支持不支持安檢規(guī)范定義配置功能，可根據(jù)角色屬性定制不同的安檢規(guī)范，安檢規(guī)范應(yīng)至少包含殺毒軟件安裝情況檢查、補丁漏洞檢查、系統(tǒng)共享資源檢查、IE主頁修改項檢查、guest來賓帳戶啟用情況檢查、遠程桌面啟用情況檢查、系統(tǒng)啟動項檢查、系統(tǒng)進程檢查、IE代理檢查等。支持支持支持指定時間周期內(nèi)安檢。支持不支持安全域控制功能，可根據(jù)角色屬性定制不同的安全域，用戶認證成功后，安全域角色控制功能自動生效，相關(guān)角色帳戶只能訪問指定的安全控制域。支持不支持對未認證通過用戶入網(wǎng)時進行阻斷，能夠提供web重定向提醒，并說明入網(wǎng)阻斷原因。支持支持對身份認證通過后的用戶終端進行安全檢查，并對安檢進度提供進度條提示，未通過安檢的終端給出未通過項提示并阻斷入網(wǎng)，支持安檢未通過一鍵修復(fù)功能。支持支持準入控制串接和旁路部署模式，支持策略路由、旁路干擾、透明串接、虛擬網(wǎng)關(guān)等多種準入控制模式。支持不支持旁路鏡像部署基于終端心跳和終端水印認證雙重準入判斷，自動發(fā)現(xiàn)采用NAT模式入網(wǎng)的終端并強制認證。支持，特有水印技術(shù)不支持準入策略制定功能,可根據(jù)訪問IP源、目的域以及準入流程進行策略制定，目的域需是IP、端口以及目錄的組合支持不支持準入流程差異化控制，可根據(jù)準入策略控制終端僅注冊、僅認證、注冊及認證、注冊認證及安檢等差異化準入控制策略。支持支持對路由、無線、AP、HUB等環(huán)境下的終端實施準入控制，支持對IPHONE、IPAD等非windows操作系統(tǒng)的終端實施準入控制。支持支持不全三層環(huán)境下IP和MAC綁定支持不支持訪客控制外來終端或者訪客初次入網(wǎng)阻斷，并給出入網(wǎng)指導(dǎo)提示支持支持外來終端或者訪客自助申請上網(wǎng)碼，只需要提供管理員要求提供的入網(wǎng)申請資料，便可申請上網(wǎng)碼支持支持訪客自助查詢上網(wǎng)碼功能，訪客提交入網(wǎng)資料并經(jīng)管理員審批通過后，可以自助查詢上網(wǎng)碼。支持支持訪客上網(wǎng)碼短信審核功能，管理員無需登錄管理平臺，只需回復(fù)短信就可以對訪客入網(wǎng)進行審核。支持不支持支持安卓客戶端支持不支持系統(tǒng)監(jiān)控系統(tǒng)本身業(yè)務(wù)接口的連接狀態(tài)以及接口速率進行監(jiān)控，支持對系統(tǒng)本身的CPU以及內(nèi)存使用率提供儀表盤式圖形化實時監(jiān)控數(shù)據(jù)，支持數(shù)據(jù)自動刷新。支持不提供流量監(jiān)控對在線終端狀態(tài)提供圖形化實時分析報表，分析內(nèi)容至少包含接入設(shè)備、待審核設(shè)備、注冊設(shè)備、認證設(shè)備、訪客設(shè)備、入網(wǎng)設(shè)備、白名單設(shè)備、隔離設(shè)備、離線設(shè)備等不少于9種狀態(tài)。比較詳細不全設(shè)備提供內(nèi)置旁路模塊，在設(shè)備發(fā)生異常的情況下能夠快速切換到Bypass模式，從而有效地保證網(wǎng)絡(luò)鏈路的暢通。支持不支持系統(tǒng)管理要求支持基于https的B/S架構(gòu)管理、支持基于SSH的命令行操作管理界面、支持基于serial串口的設(shè)備后臺管理模式支持支持自