北信源网络接入管理系统白皮书08

网络接入控制网络接入控制网络接入控制网络接入控制系统白皮书系统白皮书系统白皮书系统白皮书1北信源北信源北信源北信源网络接入网络接入网络接入网络接入管理系统管理系统管理系统管理系统概述概述概述概述VRVEDP-NAC网络接入管理系统(v6.6)设备接入控制功能可以保护整个企业内部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。利用VRVEDP-NAC企业能够强制提升网络终端安全的能力，保证企业网络保护机制不被间断，配置正确无误，以及补丁拥有最新的时效性，以防御网络安全威胁。与此同时基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。通过VRVEDP-NAC网络接入管理系统可以满足企业要求，将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供VRV设备接入控制的执行。VRVEDP-NAC网络接入管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。2北信源北信源北信源北信源网络接入网络接入网络接入网络接入管理系统管理系统管理系统管理系统功能功能功能功能及技术特点及技术特点及技术特点及技术特点2.1设计理念设计理念设计理念设计理念网络准入控制能够勾勒企业终端接入的安全基线，屏蔽一切不安全的设备和人员接入网络，规范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备，能够禁止其访问网络，或进行网络VLAN隔离，并主动对其安全修复。网络准入控制策略可从安全检查、接入认证和安全修复三个方面实现：安全检查安全检查安全检查安全检查根据系统进程、文件、注册表等设置的检查结果来判断：用户身份是否合法主机防火墙是否安装并运行防病毒软件是否安装并运行，病毒特征库是否及时更新操作系统关键安全补丁是否安装操作系统安全配置是否妥当是否感染特定病毒实体是否安装违规软件接入认证接入认证接入认证接入认证根据上述检查结果，通过服务器和网络设备以及终端PC联动来决定：拒绝终端/用户接入容许终端/用户接入隔离终端/用户（单机隔离，VLAN隔离）限制终端/用户访问权限安全修复安全修复安全修复安全修复在隔离或限制接入的情况下，还可以通过自动修复来恢复正常的网络访问权限。修复的内容包括：自动开启IE，连接内部安全网站上相关的提示页面自动分发病毒专杀工具自动升级病毒特征库自动分发操作系统关键补丁自动纠正错误的系统配置兼容性兼容性兼容性兼容性为保证准入系统以后的可扩展能力和兼容性，网络准入控制系统应该提供通用的网络准入解决方案，使用国际通用标准（IEEE802.1x）来实现准入控制，准入控制软件不依赖于任何特定硬件厂商的特定功能。系统能够支持Cisco,CheckPoint,Nortel,Intel,Enterasys,Netscreen,Alcatel,Aventail,SafeNet,Microsoft等主流软硬件供应商的方案，能在多种软硬件混合使用的环境中正常实现网络准入控制并支持广泛的网络基础架构，同时还能够阻止终端通过第三方认证程序接入网络。图2-1网络接入控制安全访问模型2.2网络接入网络接入网络接入网络接入管理系统结构管理系统结构管理系统结构管理系统结构策略服务策略服务策略服务策略服务器器器器（（（（VRVEDPserverVRVEDPserverVRVEDPserverVRVEDPserver）：）：）：）：系统策略管理中心，提供系统的参数配置和安全策略管理，安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。认证客户端认证客户端认证客户端认证客户端(VRVEDP(VRVEDP(VRVEDP(VRVEDP---Agent)Agent)Agent)Agent)：：：：安装在终端计算机，根据用户名和密码向认证服务器发起认证，Agent内置主机安全策略中心，能够根据策略服务器分发的安全策略对终端主机进行安全检查，依据获取的主机的安全状态，配合交换机认证系统，实现工作区、隔离区、修复区的自动切换。RadiusRadiusRadiusRadius认证服务器认证服务器认证服务器认证服务器：：：：用于接收客户端认证请求信息数据包并进行验证，根据网络环境可使用微软的IAS，CISCOACS或LINUXFREERADIUS等系统。RadiusRadiusRadiusRadius认证系统认证系统认证系统认证系统((((交换机交换机交换机交换机))))：：：：认证系统为可网管支持802.1x的网络设备（交换机），由该认证系统接收认证客户端(VRVEDP-Agent)的认证请求数据包与Radius认证服务器完成认证过程。在不支持802.1x协议的网络中，提供专用硬件网关设备为强制网关服务器。强制网关服务器强制网关服务器强制网关服务器强制网关服务器（（（（VRVEDPVRVEDPVRVEDPVRVEDP---AutogateAutogateAutogateAutogate）：）：）：）：基于HTTP重定向、DNS重定向、ARP重定向等技术，用于强制网络中每台计算机终端必须安装认证客户端(VRVEDP-Agent)程序的服务器，该服务器根据网络环境不同，部署在不同的位置，确保网络中每台终端能够安全认证客户端(VRVEDP-Agent)程序。图2-2网络接入分区访问控制802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口作为请求者，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MACW锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。2.3技术特点技术特点技术特点技术特点1)安全检查的全面性安全检查的全面性安全检查的全面性安全检查的全面性：：：：全面支持对客户端主机的各种安全检查，除基本的安全检查项外（补丁、杀毒软件、注册表、进程等），可以有管理员自定义制订检查安全检测任务。2)2)技术的先进性技术的先进性技术的先进性技术的先进性：系统基于国际化的工业标准，结合北信源桌面安全管理技术，在构架上从管理、安全、运维等多个方面进行全方位的网络安全保障，功能先进、完善、细致，其中流量分析、统一主机防火墙、统一杀毒软件监控、进程和注册表监控保护等多项桌面安全管理技术均领先业界，部分技术代表了行业的发展方向。3)3)功能的可扩展性功能的可扩展性功能的可扩展性功能的可扩展性：：：：准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。由于策略结构采用的是XML解释性语言，功能扩展十分迅速方便，可根据实际需要快速进行功能定制，也可根据需要与相关的系统（如网管系统、安全管理平台SOC等）进行联动和数据交换。4)4)系统可整合性系统可整合性系统可整合性系统可整合性：：：：尤其是对于本系统，类似在终端计算机安装Agent的软件非常多，如防病毒软件、桌面管理软件、远程维护软件、主机审计软件等，如何使这些软件在一台计算机上充分发挥效用，不是简单的功能叠加问题，而是一个软件二次代码扩展开发的问题，必须选择在国内具有强大的本地化研发实力的安全软件厂商。5)无缝功能扩展与升级无缝功能扩展与升级无缝功能扩展与升级无缝功能扩展与升级：：：：北信源VRVEDP-NAC网络接入管理系统采用C/S与B/S混合模式设计，支持集中式和分布式部署，确保部署构架的通用性，并具有模块化软件定制的特点，支持标准API，具有无缝功能扩展与平滑稳定升级等优点。同时，系统具有良好的兼容性，能够同现有各种防病毒等终端主机类软件兼容运行。2.4系统详细功能系统详细功能系统详细功能系统详细功能2.4.1网络准入身份认证网络准入身份认证网络准入身份认证网络准入身份认证支持802.1X协议接入认证：通过对支持此协议的交换机进行管理，配合RADIUS服务器和认证客户端，利用交换LAN架构的物理特性，实现LAN端口的设备认证。专用硬件接入控制网关支持HUB接入认证：对于通过非网管交换机、集线器等不支持802.1X协议的网络设备接入的终端，支持设备入网认证。系统认证方式支持单用户、多用户、域用户等模式：单用户模式可以保证终端设备必须安装认证客户端才能接入网络；多用户模式除了保证终端设备必须安装认证客户端外，还要求用户拥有正确的用户名及口令方可以接入网络；域用户模式支持系统自动采用域登陆用户密码进行身份认证，将网络接入认证同域认证有效结成一体。系统认证协议支持：支持MD5等多种标准加密认证方式，并可使用自定义扩展的通讯协议，提供对第三方终端发起的非法认证过滤。绑定认证控制：Radius认证支持交换机端口同计算机MAC/IP、用户名绑定接入控制，可以指定人员及计算机只能在指定交换机的特定端口登陆接入网络。802.1X协议接入认证支持无线网络设备认证，支持远程VPN接入身份认证，用户通过VPN或者RAS拨号方式远程拨入网络时，必须经过身份认证方可以接入网络。VRVEDP-NAC支持DHCP动态IP环境及静态IP网络环境认证。2.4.2完整性安全检查完整性安全检查完整性安全检查完整性安全检查支持操作系统（操作系统、IE、应用程序、反病毒升级库等）补丁完整性检测。支持防病毒软件/主机防火墙（业界主流厂家）的安全检测，并能进行新软件动态增加，必要时可以远程开关/管理主机安全软件。支持自定义安全项检测（如进程、服务、软件、文件等）。支持安全状态检测（如口令强度、权限、注册表安全等）。支持多种安检失败处理方式，如直接进入正常工作区，或者进入正常工作区后间隔提示用户安全失败。支持当安检失败时直接进入修复VLAN，或者安全失败后隔离出网络。支持自定义周期完整性安全检查，确保工作区域终端的实时安全性。支持完整性安全检查黑白名单用户管理：包括超级用户和黑名单用户，超级用户允许存在特殊计算机不接受安全检查策略管理，超级用户名单中的计算机认证始终会通过系统认证；黑名单用户计算机发起的认证始终不会通过。2.4.3安全修复安全修复安全修复安全修复VLAN隔离修复:系统对于未通过安全检查的终端，自动将其隔离到修复VLAN，进行安全修复，修复完成后自动进入正常工作VLAN。在线隔离修复:系统对于未通过安全检查的终端，可在正常工作VLAN中进行安全修复，修复过程中只能与特定服务器通讯，访问资源受限。修复内容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升级、安全状态修复（如口令强度、权限、注册表安全、流量异常等）。当终端安全检查未通过时，管理员可以自定义提示信息或者打开指定URL地址进行安全修复。2.4.4管理与报表管理与报表管理与报表管理与报表安全策略配置管理：完整性安全策略由管理员统一制订，自动分发至认证客户端执行，策略分发可以灵活设置，根据网络环境和管理进行制订/执行。网络分组管理：支持网络终端主机IP自定义分组，按部门、区域、业务类型等方式进行划分管理范围，为策略分发和客户端管理提供依据。认证客户端配置管理：认证客户端运行参数配置可以在策略服务器配置，管理员可控制认证客户端注册密码、注册人、注册部门等信息填写。系统维护管理：支持对系统管理员的分权管理（超级用户、普通用户和审计用户），为不同级别管理员提供角色权限定义，具有安全性高、可靠性强，适合集中授权、多角色参与监控的特点。报表管理：支持各类数据(认证信息、安全策略、设备状态等)统计，并能生成多种分析报表，提供丰富的报表模板，按不同部门、不同操作系统提供报表；报表输出支持以网页的方式展现，提供链接可在各项查询功能中跳转，报表输出支持.txt/.htm/.doc等格式，同时可根据需要输出柱形图、饼图等。系统报表可根据用户定制模板产生各种形式的定制报告，并支持第三方管理工具集成。报警处置管理：当系统发生安全事件时候，如非法认证、安检未通过等事件时候，系统提供声音、图形、短信等报警方式，支持SNMP协议，在必要时提供相应的MIB库文件、通信规程和编码，能够与其它安全系统协同工作。系统遵循TCP协议/IP、SNMP、HTTP、FTP等相关的国际标准或工业标准，支持对网络设备厂商管理工具的集成，具有开放的API接口。2.4.5终端安全策略终端安全策略终端安全策略终端安全策略北信源VRVEDP-NAC网络接入管理系统提供强大的终端主机完整性安全检查功能，系统通过准入控制与终端主机安全策略的联动，实现风险主机的自动隔离与修复，从而确保网络的安全运行。管理员在系统服务器控制台配置的各种终端安全策略，下发到网络合法终端主机执行，终端代理程序自动根据策略检查系统的完整性安全，一旦发现主机存在安全威胁和漏洞，准入注册终端代理程序自动执行隔离/修复操作，将风险终端主机跳转到网络隔离区域或者修复区域。北信源VRVEDP-NAC网络接入管理系统终端主机完整性安全检查策略：主机系统安全：操作系统补丁漏洞、用户名权限变化/弱口令、目录共享、注册表安全、IP/MAC绑定、防火墙/防病毒软件检测、系统文件/目录保护等。主机应用安全：软件进程/服务监测、黑白名单软件安装、流量异常等。主机行为安全：非法外联监测、非法资源访问控制、资源输入输出控制等。主机安全修复：补丁自动修补、杀毒软件/个人防火墙强制安装、病毒库自动升级、系统应用程序修补、系统应用配置修改等。硬件资产状态合规：资产变化、违规设备启用等。北信源VRVEDP-NAC网络接入管理系统采用统一策略管理中心实现对内部网络终端完整性安全检查的统一管理。策略管理中心内置终端安全防护需要的所有完整性安全检查策略库，提供对计算机终端的安全规则配置，安全功能策略开启/关闭，安全策略执行范围/周期设定等一系列安全措施的管理，同时能够很方便的进行策略导入导出。策略的属性设置是由管理员在策略管理中心中设定，通过设置策略的开启、关闭，执行范围、时间周期以及策略级联等参数项实现。2.5VRVEDP-NAC在不同网络环境在不同网络环境在不同网络环境在不同网络环境中中中中的应用的应用的应用的应用2.5.1基于基于基于基于802.1x协议交换机的准入控制协议交换机的准入控制协议交换机的准入控制协议交换机的准入控制北信源VRVEDP-NAC网络接入管理系统提供对各种支持802.1x协议网络交换机以及无线AP交换设备的准入控制，支持在DHCP动态IP环境及静态IP网络环境下的接入认证。北信源VRVEDP-NAC网络接入管理系统通过对交换机和认证终端的配置，支持单用户、多用户、域用户三种方式的密码认证方式，管理员可以自行设置用户名、用户密码。1）单用户密码认证：网络中计算机可以通过同一帐户进行网络准入认证，由管理员统一设置认证终端的用户名和密码，终端自动发起认证。2）多用户密码认证：支持终端计算机用户手工填写用户名和密码。3）域用户密码认证：支持在没有登陆域的情况下进行网络准入认证。密码认证协议支持MD5等标准加密认证方式。系统支持对超级用户、黑名单用户的自定义认证方式，超级用户终端始终可以通过系统的认证，而黑名单用户始终无法通过认证。系统还提供对第三方终端认证的过滤，防止通过非法终端的认证接入。图2-3VRVEDP-NAC网络接入管理802.1X协议认证注：802.1x协议是基于Client/Server的访问控制和认证协议，能够实现交换机主动认证接入的PC，它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。2.5.2基于专用设备的网关接入认证基于专用设备的网关接入认证基于专用设备的网关接入认证基于专用设备的网关接入认证对于很多网络来说，接入层网络设备（如：HUB）不支持802.1X协议，无法对网络终端进行准入控制，如果将网络中所有不支持802.1X协议的交换机淘汰掉，或者对所有交换机进行升级的话，将会带来更多的成本支持和维护工作，为此，北信源VRVEDP-NAC网络接入管理系统提供了专门的硬件接入控制网关，支持非网管交换机、集线器等不支持802.1X协议的网络设备的终端接入认证。硬件接入控制网关放置在网络出口路由（或者重要WEB应用服务器）的后面，利用网络终端进行HTTP方式访问外网，或者WEB服务器的同时，对内网的终端进行HTTP重定向强制认证，并进行安全检查，根据检查情况，将内网终端访问强制定向到信任区域、修复区域、隔离区域。2.5.3基于基于基于基于VPN的远程访问控制扩展的远程访问控制扩展的远程访问控制扩展的远程访问控制扩展对于使用VPN和RAS拨号方式的远程接入企业内网的终端，如果没有安装认证客户端，容易成为整个网络管理的遗漏点，这些终端存在很大安全隐患，给安全平静的网络带来病毒、蠕虫、木马等攻击的威胁。VRVEDP-NAC网络接入管理系统能够控制远程接入终端对内网的访问范围，检测远程终端主机是否运行了认证客户端，并进行安全认证；还能通过策略控制对终端进行定期进行认证（如：每N分钟），防止终端合法用户离开后，非授权用户随意访问内部资源。对于使用VPN和RAS拨号方式的远程接入企业内网的同样可以进行安全检查；对于没有通过的终端进行修复；同时限定终端对网络资源的访问范围，修复后可以进行相应的访问。2.5.4结合域用户管理模式的网络准入控制结合域用户管理模式