寶界準入產(chǎn)品與360公司版結(jié)合解決方案一、需求背景1.1、360公司版功能優(yōu)勢與劣勢360單機版已廣泛被用戶認可，用戶量突破3億。360又發(fā)布了一款終身免費、不限點數(shù)的360公司版（網(wǎng)絡(luò)版），終端用戶量已突破760萬，它為公司提供一站式安全桌面解決方案、全網(wǎng)木馬查殺、內(nèi)網(wǎng)打補丁、軟硬件資產(chǎn)管理、軟件分發(fā)、流量監(jiān)控、U盤管理等功能。優(yōu)勢：免費：無裝機點數(shù)的限制用戶基數(shù)大：有助于有害域名、病毒庫的云收集兼容性好、穩(wěn)定：公司版與個人版一鍵切換殺毒與桌面管理結(jié)合功能強劣勢：缺少強制全網(wǎng)安裝的手段，那臺裝了360客戶端，那臺沒裝？缺少對能安裝但不愿安裝360公司版客戶端的入網(wǎng)終端的監(jiān)控無法區(qū)分員工與訪客的入網(wǎng)權(quán)限缺少與互換機、路由器的聯(lián)動，某些非法行為在網(wǎng)絡(luò)設(shè)備上阻斷更徹底無法管理不能安裝360公司版的LINUX終端、監(jiān)控設(shè)備、啞終端、醫(yī)療設(shè)備沒有上網(wǎng)行為管理的功能1.2、寶界終端準入與360公司版結(jié)合可解決那些問題全網(wǎng)安裝360公司版客戶端入網(wǎng)用戶統(tǒng)一實名認證區(qū)分訪客與員工的權(quán)限ARP病毒的防御監(jiān)控私接路由器、私接隨身WIFI的行為資產(chǎn)管理的補充與強化（不裝客戶端的主機）流量控制功能的互補全網(wǎng)病毒控制全網(wǎng)U盤管理統(tǒng)一入網(wǎng)日記1.3、什么樣的網(wǎng)絡(luò)環(huán)境,準入能與360公司版相結(jié)合？隔離網(wǎng)環(huán)境終端數(shù)從幾十臺到幾百臺不等，網(wǎng)絡(luò)管理情況比較嚴格，不允許終端連接互聯(lián)網(wǎng)。所有終端都集中在一個局域網(wǎng)內(nèi)，有專門的網(wǎng)絡(luò)管理員或者安全管理員。在公司內(nèi)部部署控制中心和公司版終端，公司版終端根據(jù)控制中心制定的安全策略，進行體檢、殺毒和修復漏洞等安全操作。使用隔離網(wǎng)工具，定期從360相關(guān)的服務(wù)器下載病毒庫、木馬庫、漏洞補丁文獻等，更新到控制中心后，所以公司終端都可以自動升級和修復漏洞。有專人負責控制中心的平常運營，定期查看各終端的安全情況，下發(fā)統(tǒng)一殺毒、漏洞修復等策略。在隔離網(wǎng)的網(wǎng)絡(luò)環(huán)境中，可以用終端準入設(shè)備旁路方式接在互換機，實現(xiàn)對所有終端主機強制安裝360客戶端。聯(lián)網(wǎng)環(huán)境公司規(guī)模一般，終端數(shù)從幾十臺到幾百臺不等，網(wǎng)絡(luò)管理情況不是很嚴格，允許終端上網(wǎng)。所有終端都集中在一個局域網(wǎng)內(nèi)，有專門的網(wǎng)絡(luò)管理員或者安全管理員。在公司內(nèi)部部署控制中心和公司版終端，公司版終端通過控制中心連接到360的升級服務(wù)器進行升級、更新等，控制中心具有緩存功能，同樣的數(shù)據(jù)文獻只會下載一次，可以極大的節(jié)省公司總出口帶寬。公司版終端根據(jù)控制中心制定的安全策略，進行體檢、殺毒和修復漏洞等安全操作。進行殺毒掃描時，公司終端可以直接連接360的云查殺系統(tǒng)，進行云查殺。有專人負責控制中心的平常運營，定期查看各終端的安全情況，下發(fā)統(tǒng)一殺毒、漏洞修復等策略。聯(lián)網(wǎng)環(huán)境下，方法一是用應(yīng)用準入網(wǎng)關(guān)設(shè)備以網(wǎng)橋方式串接在出口，或放在關(guān)鍵服務(wù)器前面，這樣所有終端主機流量從準入設(shè)備通過時，準入會判斷

有沒有安裝360客戶端，沒有安裝的則提醒安裝。方法二是采用終端準入控制系統(tǒng)旁路接在互換機上，實現(xiàn)終端主機接入網(wǎng)絡(luò)時，強制安裝360客戶端。無線環(huán)境現(xiàn)有的無線路由使用共享簡樸密碼，極易泄漏；無法區(qū)分無線用戶是外來訪客還是內(nèi)部員工；訪客可隨意訪問公司內(nèi)部應(yīng)用服務(wù)器；難以保證無線接入用戶是否安裝360客戶端。采用無線準入網(wǎng)關(guān)，以路由網(wǎng)關(guān)或網(wǎng)橋或策略路由方式，來對無線接入終端強制安裝360客戶端。二、解決方案2.1、全網(wǎng)安裝360公司版客戶端通過準入與360服務(wù)器的聯(lián)動，準入系統(tǒng)分析所接入網(wǎng)絡(luò)的終端主機有沒有相應(yīng)數(shù)據(jù)包與服務(wù)器通訊，有則立即放行，允許接入內(nèi)網(wǎng)，沒有則彈出和諧界面，引導客戶端安裝。提醒安裝客戶端終端主機沒有安裝360,限制模式提醒沒有安裝360客戶端的終端主機，打開IE時，彈出網(wǎng)頁提醒沒有安裝客戶端，這時可以點擊下載安裝，只要按默認的提醒下一步，直到安裝完畢，無需網(wǎng)管現(xiàn)場安裝，大大減輕網(wǎng)管工作量。同時又保證了所有主機都所有安裝客戶端。2.2、入網(wǎng)用戶統(tǒng)一實名認證不管網(wǎng)絡(luò)中各終端IP是DHCP自動獲取，還是手動設(shè)立IP，對入網(wǎng)的主機規(guī)定做到相應(yīng)到人，準入系統(tǒng)規(guī)定入網(wǎng)主機，只有實名認證通過后才干接入內(nèi)網(wǎng)。實名認證終端主機沒有實名認證,限制模式提醒終端主機點實名認證，輸入用戶名和口令，認證通過后，才干接入內(nèi)網(wǎng)。顯示已實名驗證成功的用戶列表2.3、區(qū)分訪客與員工的權(quán)限，訪客在隔離網(wǎng)段可以不裝1、準入系統(tǒng),分兩個DHCP地址池，一個是訪客的DHCP地址池，即隔離網(wǎng)段，一個是員工的DHCP地址池，即工作網(wǎng)段；2、對于外來訪客，允許在隔離網(wǎng)段，不安裝360客戶端軟件，通過準入系統(tǒng)做安全策略，允許訪問指定的服務(wù)器或訪問互聯(lián)網(wǎng)，3、內(nèi)部員工則規(guī)定必須安裝360客戶端才干接入工作網(wǎng)段。一些服務(wù)器可以不安裝360客戶端也能接入內(nèi)網(wǎng)。訪客網(wǎng)段、工作網(wǎng)段兩個DHCP地址池隔離網(wǎng)段訪問控制ARP病毒的防御（雙方綁定IP/MAC,DHCPSNOOPING）襲擊的基本原理就是強制被襲擊的主機更新ARP緩存表，將目的IP與襲擊者的MAC聯(lián)系起來，這樣，當被襲擊者與目的IP通信時，報文都被發(fā)送到了襲擊者上。常見的一種ARP襲擊是中間人襲擊。襲擊者向被襲擊的主機和目的主機同時單播發(fā)送積極ARP報文更新通信雙方分ARP緩存表（由于主機上的解決程序不區(qū)分單播、多播，因此發(fā)送單播消息可以增長隱蔽性）。當收到通信雙方的報文后，除了上送到襲擊程序解決外，還充當軟網(wǎng)關(guān)，向通信的另一方轉(zhuǎn)發(fā)這個報文，因此通信雙方無法發(fā)現(xiàn)竊聽者。當目的IP在其它網(wǎng)段或是公網(wǎng)時，襲擊者仿冒的是網(wǎng)關(guān)。ARP病毒。它事實上是自動化的中間人襲擊，它通過被感染主機來仿冒網(wǎng)關(guān)，進而來監(jiān)聽網(wǎng)絡(luò)中的所有報文從中獲取所需的用戶私密信息。解決ARP病毒方法是運用準入控制系統(tǒng)，一是與互換機智能聯(lián)動，直接綁定合法主機的IP，MAC以及所在端口，二是針對DHCP的終端主機，，由準入設(shè)備提供DHCP服務(wù)，啟用互換機的DHCPSNOOPING功能，防止非法的DHCP服務(wù)。此外在360內(nèi)網(wǎng)管理功能上啟用IPMAC綁定IPMAC綁定2.5、監(jiān)控私接路由器、私接隨身WIFI的行為準入系統(tǒng)通過辨認網(wǎng)卡制造商，能辨認非法接入的終端是否無線路由，再由網(wǎng)管對其阻止入網(wǎng)。判斷非法路由的接入隨著無線網(wǎng)絡(luò)的普及，隨身WIFI可以任意插到主機USB口，從而手機等智能終端隨意上網(wǎng)，導致了這些終端的接入沒法有效管理，準入系統(tǒng)強制所有終端主機安裝360客戶端，然后在360控制臺可以對全網(wǎng)的主機進行外接設(shè)備管控，限制USB無線網(wǎng)卡與熱點。私接隨身WIFI2.6、資產(chǎn)管理的補充與強化（不裝客戶端的主機）準入系統(tǒng)對沒有安裝360客戶端的終端主機，作為限制主機。由于沒有安裝客戶端的主機，360

服務(wù)器是管理不到的，所以準入系統(tǒng)可以通過對限制主機強制安裝相應(yīng)360客戶端，從而納入360服務(wù)器的統(tǒng)一管理。2.7、全網(wǎng)病毒控制（注意是全網(wǎng)）由于準入系統(tǒng)可以在全網(wǎng)范圍內(nèi)強制360客戶端的安裝，解決了少數(shù)主機不安裝360客戶端，或惡意卸載，或重安裝系統(tǒng)帶來的客戶端丟失。這樣全網(wǎng)所有主機安裝了360客戶端，在360控制臺就可以對終端主機所有啟用360防病毒。2.8、全網(wǎng)U盤管理（注意是全網(wǎng)）由于準入系統(tǒng)可以在全網(wǎng)范圍內(nèi)強制360客戶端的安裝，解決了少數(shù)主機不安裝360客戶端，或惡意卸載，或重安裝系統(tǒng)帶來的客戶端丟失。這樣全網(wǎng)所有主機安裝了360客戶端，在360控制臺就可以對所有終端主機所有啟用U盤管理。2.9、統(tǒng)一入網(wǎng)日記主界面系統(tǒng)狀態(tài)欄事件日記，可顯示客戶端上下線日記及主機相應(yīng)的MAC地址、IP地址、用戶/部門、互換機、時間信息。三、終端準入與360結(jié)合的技術(shù)實現(xiàn)3.1、終端準入與360公司版網(wǎng)絡(luò)拓撲產(chǎn)品部署拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸說明：1、終端準入設(shè)備是旁路方式接在核心互換機上,由于準入設(shè)備是多接口的，對于網(wǎng)段數(shù)不多的網(wǎng)絡(luò)，可以一個接口管理一個VLAN，各網(wǎng)段分別接入準入設(shè)備的不同接口，各自進行準入控制。2、對于多VLAN的，可以采用核心互換機的TRUNK口接準入設(shè)備的一個接口，這樣可以一個準入接口可以管理多個VLAN。實現(xiàn)每個VLAN的準入控制。3、準入與核心互換機通過TELNET/SSH方式聯(lián)動。4、匯聚層或接入層互換機啟用DHCPSnooping+IPSOURCEGURARD或DAI，DHCPSnooping有效防止網(wǎng)絡(luò)中的非法DHCP服務(wù)。IPSOURCEGURARD或DAI功能有效解決終端主機私自設(shè)立IP，同時解決了內(nèi)網(wǎng)中固定IP的服務(wù)器,直接在互換機上建立合法的綁定表。3.2采用DHCP準入與360結(jié)合寶界終端準入控制系統(tǒng)旁路接在三層核心互換機的一個TRUNK口，原有的三層核心提供的DHCP服務(wù)由寶界終端準入控制系統(tǒng)提供，由寶界終端準入控制系統(tǒng)對內(nèi)網(wǎng)的所有終端做掃描檢查，采用DHCP準入控制技術(shù)，所有主機先獲取到隔離網(wǎng)段的IP地址，只有通過實名/CA認證檢查，以及360客戶端安裝檢查，通過后才干分派到內(nèi)網(wǎng)的工作VLAN的IP。3.3采用IPMAC準入+ARP重定向?qū)崿F(xiàn)與360結(jié)合寶界終端準入控制系統(tǒng)旁路接在三層核心互換機的一個TRUNK口，原有三層核心提供的DHCP服務(wù)仍不變，或原有的專門DHCP服務(wù)器仍正常提供DHCP服務(wù)，由寶界終端準入控制系統(tǒng)與三層核心互換機做聯(lián)動,對內(nèi)網(wǎng)的所有終端做掃描檢查，可以對現(xiàn)有的合法主機建立白名單體系，針對不同的主機可以做靈活的檢查規(guī)則，如只需要實名/CA認證檢查，或360客戶端是否安裝檢查，也可以兩者都規(guī)定符合才干接入內(nèi)網(wǎng)。外來的非法主機，打開IE自動跳轉(zhuǎn)到認證頁面,進行實名認證以及360客戶端安裝，符合這二個條件才干接入內(nèi)網(wǎng)。針對固定IP的網(wǎng)絡(luò)環(huán)境，由寶界終端準入控制系統(tǒng)與三層核心互換機做聯(lián)動,對內(nèi)網(wǎng)的所有終端做掃描檢查，可以對現(xiàn)有的合法主機建立白名單體系，準入設(shè)備采用IPMAC準入+arp重定向?qū)崿F(xiàn),針對不同的主機可以做靈活的檢查規(guī)則，如只需要實名/CA認證檢查，或360客戶端是否安裝檢查，也可以兩者都規(guī)定符合才干接入內(nèi)網(wǎng)。外來的非法主機，打開IE自動跳轉(zhuǎn)到認證頁面,進行實名認證以及360客戶端安裝，符合這二個條件才干接入內(nèi)網(wǎng)。3.4、終端準入與360公司版結(jié)合入網(wǎng)流程DHCP準入與360結(jié)合的準入流程通過寶界終端準入管理系統(tǒng)，與現(xiàn)有的360內(nèi)網(wǎng)管理服務(wù)器的有效聯(lián)動，接入的主機，一方面動態(tài)分派到寶界指定的隔離網(wǎng)段IP地址，其網(wǎng)關(guān)指向到寶界準入設(shè)備，打開IE，自動跳轉(zhuǎn)到實名認證、CA證書驗證頁面，輸入網(wǎng)管人員分派的實名帳號或USB接口插上分派的CA證書，認證通過后，假如該主機已安裝了360客戶端，就可以分派到合法的工作網(wǎng)段的IP地址，網(wǎng)關(guān)指向到三層互換機VLAN接口地址。假如該主機沒有安裝360客戶端，則跳轉(zhuǎn)到客戶端安裝頁面，安裝好后才干分派到工作IP。1、啟用DHCP準入方式2、設(shè)立隔離網(wǎng)段與工作網(wǎng)段，以及檢測條件3、接入主機先分派到寶界準入控制系統(tǒng)指定的隔離網(wǎng)段：4、打開IE會跳轉(zhuǎn)到實名認證、CA證書驗證頁面：假如需要實名認證的，選擇實名登錄，輸入網(wǎng)管分派的實名用戶帳號登錄假如需要CA證書驗證，選擇相應(yīng)的證書驗證菜單選項，USB口插上分派到的 CA證書。如該主機是第一次使用CA，需要安裝相應(yīng)的CA證書驅(qū)動，已安裝過驅(qū)動的主機可以直接驗證。至此，實名認證或CA證書驗證通過后，該主機如已安裝過360客戶端，就能分派到工作網(wǎng)段，可以正常訪問內(nèi)網(wǎng)。如沒有安裝360客戶端，會接下面環(huán)節(jié)安裝360客戶端。5、沒有安裝360客戶端的自動跳轉(zhuǎn)到提醒安裝界面360客戶端安裝注冊認證實名/證書認證通過，360客戶端安裝過的終端主機，至此可以正常分派到工作網(wǎng)段的IP。IPMAC準入+ARP重定向?qū)崿F(xiàn)與360結(jié)合的工作流程：測試網(wǎng)段用的VLAN46(10.76.46.0255.255.255.128)網(wǎng)段做測試，46網(wǎng)段的網(wǎng)關(guān)10.76.46.126,46網(wǎng)段的DHCP服務(wù)仍由本來的DHCP服務(wù)器提供，準入管理系統(tǒng)eth0.46接口地址設(shè)立為10.76.46.119255.255.255.128.啟用IPMAC準入方式測試過程:找一臺筆記本，網(wǎng)線接到46網(wǎng)段的互換機接口，一方面DHCP獲取到10.76.46.x地址，此時該主機打開IE，由于內(nèi)網(wǎng)沒有域名解析服務(wù)器，只能輸入IP，如,就會跳出實名/CA認證的網(wǎng)頁，規(guī)定實名/CA證書認證。實名/CA認證輸入已設(shè)立好的實名用戶帳號，或插入CA證書，認證通過后，如這臺筆記本已安裝360客戶端，就可以直接訪問內(nèi)網(wǎng)，如沒有安裝360，則再次打開IE，會跳出360客戶端認證網(wǎng)頁。360客戶端安裝注冊認證至此，實名/CA，以及360客戶端都認證成功后，該主機就可以正常訪問內(nèi)網(wǎng)的資源。四、寶界應(yīng)用準入與360公司版結(jié)合技術(shù)實現(xiàn)4.1、應(yīng)用準入與360公司版結(jié)合網(wǎng)絡(luò)拓撲1、寶界應(yīng)用準入網(wǎng)關(guān)以透明橋接方式部署在核心互換機與路由器之間，它支持BYPASS，斷電可直通。2、360網(wǎng)絡(luò)版服務(wù)器接在寶界應(yīng)用準入網(wǎng)關(guān)第三個網(wǎng)口。3、內(nèi)網(wǎng)無線路由器轉(zhuǎn)換為無線AP模式后，同樣可控無線接入終端。4、應(yīng)用準入網(wǎng)關(guān)假如啟用SSLVPN模塊，外網(wǎng)用戶可通SSLVPN加密訪問內(nèi)網(wǎng)服務(wù)器。4.2、應(yīng)用準入與360公司版結(jié)合終端入網(wǎng)工作流程1、寶界應(yīng)用準入網(wǎng)關(guān)對指定的內(nèi)網(wǎng)網(wǎng)段啟用準入功能，設(shè)立360公司版服