北信源网络接入控制系统工作原理与功能对比

1、 HWP-TD-NAC-WP-0011北信源网络接入控制系统北信源网络接入控制系统工作原理与功能工作原理与功能北京北信源软件股份有限公司北京北信源软件股份有限公司 HWP-TD-NAC-WP-0012目 录1.整体说明.42.核心技术.42.1.重定向技术.42.2.策略路由准入控制技术.52.3.旁路干扰准入控制技术.72.4.透明网桥准入控制技术.82.5.虚拟网关准入控制技术.82.6.局域网控制技术.92.7.身份认证技术.92.8.安检修复技术.102.9.桌面系统联动.103.产品功能对比.11 HWP-TD-NAC-WP-00131. 整体说明整体说明准入网关对接入设备进行访问控

2、制，对于未注册用户进行 WEB 重定向进行注册；注册后的用户进行认证或安检后可以访问网络；管理员可以配置采取何种准入控制方式，如策略路由，旁路监听，透明网桥，虚拟网关等；同时可以选择使用不同的认证类型，如本地认证，Radius 认证，AD 域认证等，而认证途径采取网关强制重定向；准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流通，另一类则是通过配置交换机，让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听，透明网桥等准入控制均属于前者，也就是网关自己通过放行或丢弃、阻断数据包，来达到准入控制，对于数据包的阻断是基于 tcp 实现的；而虚拟网关则是通过控制交换机 V

3、LAN 来达到准入控制；2. 核心技术核心技术为了适应不同业务环境下的统一入网控制，北信源网络接入控制系统采用多种核心技术设计，支持多种准入控制模式，实现从多角度多维度的终端入网安全控制。2.1. 重定向技术重定向技术接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的判定需要一个过程，如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对 http 性质的业务访问进行重定向，以往针对 http 的业务区分主要基于业务端口（主要为 80 端口） ，对于非80 业务端口的 http 业务不能有效区分。针对以上情况，北信源网络接入控制系统对 ht

4、tp 业务进行了深度识别，除 80 端口的 http 业务可以进行有效重定向 HWP-TD-NAC-WP-0014之外，针对非 80 端口的 http 业务也能进行有效的识别和重定向。除此之外，北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化，针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计，整个重定向过程符合终端入网习惯，贯穿终端入网的全过程，并在重定向页面提供人性化帮助提示，主要表现在以下几大方面: 针对未注册终端，提供重定向下载页面供终端进行 Agent 下载和注册； 针对未通过身份认证的用户，提供多种认证重定向页面，认证方式可供用户选择； 提供人性化的安检评分

5、重定向页面，采用 Ajax 技术，使得安检结果可以在重定向页面自动刷新，自动评分，并在重定向页面提供一键修复策略； 在终端入网的每个重定向环节提供帮助说明，对业务操作提供帮助链接，帮助终端使用者自动解决入网过程的所有问题，减少网络管理人员的参与，提高网络管理的效率，降低人工成本； 重定向页面的提供不基于特定的 IE 浏览器，只要是 http 的业务形式，无论是采用 IE 浏览器访问，还是采用客户端登录（例如 QQ 登录） ，或是客户端弹出窗口（例如 QQ、飞信弹出内容模式）都可以进行重定向。2.2. 策略路由准入控制技术策略路由准入控制技术在过去，所有的准入控制模式几乎都是基于网络链路节点来进

6、行控制的，从终端 PC、网络交换设备、路由器防火墙等，所有的控制节点都放在了网络转发或传输设备本身。这种模式不仅加重了网络基础设施的压力，同时也更容易形成单点故障，对网络业务本身可能造成不可连续性运营的困扰。随着近年来准入控制技术的不断发展，越来越多的准入控制技术都采用了 OOB（Out Of Band）模式，即所谓旁路部署模式，在准入控制产品的本身出现故障的情况下，并不会影响网络业务本身的可持续性运营，网络准入控制技术的发展也由此迈向了一个新的台阶。 HWP-TD-NAC-WP-0015北信源网络接入控制系统的策略路由模式，要求网络基础设施的核心设备（例如核心交换机）支持策略路由功能，通过将

7、上行业务请求通过策略路由的控制定向到北信源网络接入控制系统，经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后，采用丢弃或者正常转发到原路由下一跳的方式，对终端入网进行安全可信的筛选，从而达到准入控制的效果，具体流程可以参考以下流程示意图：图 4 策略路由准入控制模式示例流程由于策略路由模式只针对上行业务请求进行处理，不会影响下行业务返回的正常转发，也不影响网络路由和拓扑的更改，其安全性也得到了更多的保障，因而比较适合于大多数网络环境。另外，大多数支持策略路由的核心设备同时也支持逃生模式，核心设备在确认策略路由的下一跳不可达的情况下，可以按照策略配置自动选择原有默认路由，从安全角度来

8、看，即使准入控制设备失去功效，也不会影响业务的正常转发，从而保证网络业务的可持续运营，因此，相对于以往的准入控制模式，策略路由模式无异于更受欢迎。北信源网络接入控制系统完美的利用了核心设备策略路由的特性，结合北信源公司安全接入控制理念，并和北信源内网安全管理系统有效结合起来，为 HWP-TD-NAC-WP-0016客户的内网终端安全管理提供有效的安全保障。2.3. 旁路干扰准入控制技术旁路干扰准入控制技术 在 OOB 准入控制模式的发展趋势下，北信源公司研发了基于旁路干扰模式的准入控制方法，该准入控制方法采用和策略路由模式一致的旁路部署方法，是北信源公司在准入控制发展理念的基础上自主创新的新型

9、准入控制技术，相对于策略路由准入控制模式，旁路干扰准入控制模式有着更为突出的安全特性。策略路由准入控制模式虽然采用旁路部署模式，但是从技术原理上来说，采用的是流量劫持的方式对上行业务流进行筛选。而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选，在筛选过后再采用旁路干扰的方式中断现行业务流，是真正的旁路部署模式，不需要对现行业务流的走向进行任何改动，就像在快速运行的高速公路旁边部署了一台监控摄像头，当发现违规车辆时通过点对点的对话方式，让违规车辆自动接受处罚。由于旁路干扰准入控制模式真正的旁路部署特性，其对现行业务流没有任何影响，因此相对于所有准入控制模式来说，有着得天独厚、无法比

10、拟的安全性，其具体的业务流程参考下图：图 5 旁路干扰准入控制模式示例流程旁路干扰准入控制模式要求核心设备（通常是核心或者汇聚层交换机）具备流量镜像的功能，相对与策略路由来说，有更多的交换机都支持流量镜像功 HWP-TD-NAC-WP-0017能，因此对于不同网络环境的适应性更加强大。除此之外，即使核心设备不支持流量镜像功能，也可以采用 TAP 分流的方式对流量进行复制分流，而这仅仅只需要增加一台分流/分光设备即可。2.4. 透明网桥准入控制技术透明网桥准入控制技术在不支持策略路由或者旁路镜像的环境下，为了满足客户网络环境下的准入控制需求，采用串接的方式实现准入控制便显得尤为重要了。透明网桥技

11、术已经被大多数网络安全设备接受和认可，也是目前为止在网络关口层面控制最为严格的部署技术，北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中，采用 ACL 的方式对流量 IP 进行过滤，对不可信不安全的终端进行隔离修复。图 6 透明网桥准入控制模式示例流程2.5. 虚拟网关准入控制技术虚拟网关准入控制技术虚拟网关是基于 VLAN（Virtual Local Area Network）和 SNMP（Simple Network Management Protocol ）两种技术，在 VLAN 环境中，把设备接入的 HWP-TD-NAC-WP-0018VLAN 分为可信 VLAN 和

12、不可信 VLAN，判断对应设备是否通过认证：未通过，则通过 SNMP Write，将对应设备所接交换机端口所处 VLAN，切为不可信VLAN，以后，该设备再访问网络，将会被重定向，直至认证通过后，虚拟网关才将其所处 VLAN, 切换为可信 VLAN，正常上网。2.6. 局域网控制技术局域网控制技术无论是策略路由、旁路干扰还是透明网桥准入控制技术，都是基于网络核心节点的网络接入控制技术，并不能真正对局域网终端节点之间的互访进行授信控制。在以往的所有准入控制技术当中，对于局域网之间互访的授信控制是基于接入交换机端口的控制（802.1X） 、IP 地址获取控制（DHCP Enforcer）或者通过

13、VLAN 技术进行隔离。北信源网络接入控制系统授予了终端可信判断的能力，对于安装有北信源网络接入控制系统 Agent 的终端，可以自动判断来访者的可信程度，如果发现来访者是不安全不可信的终端，Agent 会丢弃来访的数据包请求，阻止不可信终端对自身的访问。采用终端自判断的方式将局域网访问控制从网络节点设备下放到终端自身，不仅可以降低网络节点设备自身的压力，还可以规避其它局域网访问控制技术的缺陷，例如 802.1x 对 hub、傻瓜式交换机下终端互访无法控制的问题以及采用手动设置 IP 规避 DHCP 自动获取的 IP 控制等。而由于安装 Agent 进行注册是入网授信必须经历的一个环节，因此采

14、用终端自判断的局域网控制技术，可以完全有效的控制局域网终端之间的授信访问过程。2.7. 身份认证技术身份认证技术身份认证是终端可信认证的一个重要环节，随着信息安全技术的不断发展，针对身份认证安全可靠的特性也提出了更高的要求。身份认证最重要的部分是防伪造、防抵赖，因此身份认证技术也从最初简单的用户名/口令，逐渐发展到证书、生物技术、动态密码以及多因素认证，防止一切可能伪造和抵赖的因素。 HWP-TD-NAC-WP-0019为了满足不同安全程度的身份认证需求，也为了适应客户网络环境中可能已经存在的身份存储和认证方式，北信源网络接入控制系统针对各种主流身份认证技术进行了符合性开发，为各种主流身份认证

15、技术提供了认证接口，典型的诸如和 Radius、LDAP、AD 域、CA 系统、邮箱系统相结合的认证，可以满足当前技术下大部分认证系统的需求。2.8. 安检修复技术安检修复技术除身份认证外，安检修复也是针对终端可信认证的重要环节，据权威机构研究证明，80%的信息泄密来自于企业或机构的内部计算机终端。由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员，对于计算机的自主安全防护能力存在一定欠缺，因此造成了很大的泄密隐患。针对内部终端被动泄密的问题，归根结底是因为终端的安全策略配置不够严谨（例如 guest 账户开启、弱口令设置以及不正常的注册表键值等）或者计算机本身存在安全漏洞（例如

16、关键补丁未安装、杀毒软件未安装或者病毒库过期等原因）造成的。针对此类情况，北信源网络接入控制系统采用主动探测和一键修复的技术设计，对入网计算机终端的安全测试进行检查和评分，对存在安全隐患的计算机终端强制禁止入网，并提供一键策略修复技术，解决终端可能存在的不安全隐患，从而达到全网终端的统一安全管理。2.9. 桌面系统联动桌面系统联动北信源准入控制系统支持与桌面系统联动，在已经部署桌面系统的环境下，支持注册客户端透明准入，不需要二次认证注册， 由桌面管理平台下发安全策略，客户端安全信息实时上报到准入网关，实时更新终端安全策略状况，风险控制严格，客户端上报安全信息不合规时，立即被隔离到隔离区，此时客

17、户端仅能访问隔离区中的服务器，直到修复完全直到满足安全策略要求。 产品支持与客户端 AD 域实名同步，符合安全要求的注册信息才准许入网， HWP-TD-NAC-WP-00110同时自动配合域组织架构信息，达到实时动态审核，同步更新域组织信息，简化实名注册审核机制，规范终端实名架构，统一管理，一目了然。3. 产品功能对比产品功能对比功能项功能项功能描述功能描述北信源北信源江南天安江南天安自定义注册信息，要求可以定义必须填写的注册信息项，可根据需要启用/禁用自定义项。自定义单元丰富简单终端注册的日志记录功能，并可根据时间、设备名、注册者、IP及动作等关键字进行记录查询。支持支持注册管理针对 IE、

18、QQ 登陆及弹出窗口等 web 形式的访问提供入网重定向提示，提示进行客户端注册。支持支持支持实名制注册审核管理功能，支持与 OA 系统、AD 域等组织架构服务器同步组织架构，自动根据设置关键字段实名审核，同时支持已注册终端可通过管理员手动审核或者短信审核通过之后才可以接入网络。支持不支持终端硬件资产统计和查询，统计内容应至少包含 CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。明细多丰富支持终端软件资产统计和查询，统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE 版本、主机名称、网卡 MAC 信息以及设备内安装的应用软件使用情况。支持支持资产管理

19、对终端计算机软件安装信息的收集，包括当前软件安装信息和历史安装信息。支持支持本地认证系统，支持自定义本地用户和密码，支持本地认证用户自行修改密码。支持支持身份认证与安全检查支持与 AD 域服务器、LDAP 服务器实现联动认证，并且支持帐户信息的自动同步以及导入导出；支持支持 HWP-TD-NAC-WP-00111认证超时机制，超时帐户强制自动登出，要求超时时间可以自行配置。必须支持帐户超期统一登出机制，登出时间可根据需要自行设置。支持不支持帐户尝试登录限制，要求尝试登录次数可进行配置，尝试登录失败可锁定帐户，锁定时间可按需配置。支持支持帐户角色绑定功能，不同用户帐户继承所属角色的访问权限以及安

20、检要求。支持不支持安检规范定义配置功能，可根据角色属性定制不同的安检规范，安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE 主页修改项检查、guest 来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查、IE 代理检查等。支持支持支持指定时间周期内安检。支持不支持安全域控制功能，可根据角色属性定制不同的安全域，用户认证成功后，安全域角色控制功能自动生效，相关角色帐户只能访问指定的安全控制域。支持不支持对未认证通过用户入网时进行阻断，能够提供 web 重定向提醒，并说明入网阻断原因。支持支持对身份认证通过后的用户终端进行安全检查，并对安检进度提供

21、进度条提示，未通过安检的终端给出未通过项提示并阻断入网，支持安检未通过一键修复功能。支持支持串接和旁路部署模式，支持策略路由、旁路干扰、透明串接、虚拟网关等多种准入控制模式。支持不支持旁路镜像部署基于终端心跳和终端水印认证双重准入判断，自动发现采用 NAT 模式入网的终端并强制认证。支持，特有水印技术不支持准入策略制定功能,可根据访问 IP 源、目的域以及准入流程进行策略制定，目的域需是 IP、端口以及目录的组合支持不支持准入控制准入流程差异化控制，可根据准入策略控制终端仅注册、仅认证、支持支持 HWP-TD-NAC-WP-00112注册及认证、注册认证及安检等差异化准入控制策略。对路由、无线、AP、HUB 等环境下的终端实施准入控制，支持对IPHONE、IPAD 等非 windows 操作系统的终端实施准入控制。支持支持不全三层环境下 IP 和 MAC 绑定支持不支持外来终端或者访客初次入网阻断，并给出入网指导提示支持支持外来终端或者访客自助申请上网码，