北信源网络接入控制系统工作原理与功能对比

HWP-TD-NAC-WP-001PAGEPAGE6北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司

目录1. 整体说明 32. 核心技术 32.1. 重定向技术 32.2. 策略路由准入控制技术 42.3. 旁路干扰准入控制技术 62.4. 透明网桥准入控制技术 72.5. 虚拟网关准入控制技术 72.6. 局域网控制技术 82.7. 身份认证技术 82.8. 安检修复技术 92.9. 桌面系统联动 93. 产品功能对比 10

旁路干扰准入控制技术在OOB准入控制模式的发展趋势下，北信源公司研发了基于旁路干扰模式的准入控制方法，该准入控制方法采用和策略路由模式一致的旁路部署方法，是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术，相对于策略路由准入控制模式，旁路干扰准入控制模式有着更为突出的安全特性。策略路由准入控制模式虽然采用旁路部署模式，但是从技术原理上来说，采用的是流量劫持的方式对上行业务流进行筛选。而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选，在筛选过后再采用旁路干扰的方式中断现行业务流，是真正的旁路部署模式，不需要对现行业务流的走向进行任何改动，就像在快速运行的高速公路旁边部署了一台监控摄像头，当发现违规车辆时通过点对点的对话方式，让违规车辆自动接受处罚。由于旁路干扰准入控制模式真正的旁路部署特性，其对现行业务流没有任何影响，因此相对于所有准入控制模式来说，有着得天独厚、无法比拟的安全性，其具体的业务流程参考下图：图5旁路干扰准入控制模式示例流程旁路干扰准入控制模式要求核心设备（通常是核心或者汇聚层交换机）具备流量镜像的功能，相对与策略路由来说，有更多的交换机都支持流量镜像功能，因此对于不同网络环境的适应性更加强大。除此之外，即使核心设备不支持流量镜像功能，也可以采用TAP分流的方式对流量进行复制分流，而这仅仅只需要增加一台分流/分光设备即可。透明网桥准入控制技术在不支持策略路由或者旁路镜像的环境下，为了满足客户网络环境下的准入控制需求，采用串接的方式实现准入控制便显得尤为重要了。透明网桥技术已经被大多数网络安全设备接受和认可，也是目前为止在网络关口层面控制最为严格的部署技术，北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中，采用ACL的方式对流量IP进行过滤，对不可信不安全的终端进行隔离修复。图6透明网桥准入控制模式示例流程虚拟网关准入控制技术虚拟网关是基于VLAN（VirtualLocalAreaNetwork）和SNMP（SimpleNetworkManagementProtocol

）两种技术，在VLAN环境中，把设备接入的VLAN分为可信VLAN和不可信VLAN，判断对应设备是否通过认证：未通过，则通过SNMPWrite，将对应设备所接交换机端口所处VLAN，切为不可信VLAN，以后，该设备再访问网络，将会被重定向，直至认证通过后，虚拟网关才将其所处VLAN,切换为可信VLAN，正常上网。局域网控制技术无论是策略路由、旁路干扰还是透明网桥准入控制技术，都是基于网络核心节点的网络接入控制技术，并不能真正对局域网终端节点之间的互访进行授信控制。在以往的所有准入控制技术当中，对于局域网之间互访的授信控制是基于接入交换机端口的控制（802.1X）、IP地址获取控制（DHCPEnforcer）或者通过VLAN技术进行隔离。北信源网络接入控制系统授予了终端可信判断的能力，对于安装有北信源网络接入控制系统Agent的终端，可以自动判断来访者的可信程度，如果发现来访者是不安全不可信的终端，Agent会丢弃来访的数据包请求，阻止不可信终端对自身的访问。采用终端自判断的方式将局域网访问控制从网络节点设备下放到终端自身，不仅可以降低网络节点设备自身的压力，还可以规避其它局域网访问控制技术的缺陷，例如802.1x对hub、傻瓜式交换机下终端互访无法控制的问题以及采用手动设置IP规避DHCP自动获取的IP控制等。而由于安装Agent进行注册是入网授信必须经历的一个环节，因此采用终端自判断的局域网控制技术，可以完全有效的控制局域网终端之间的授信访问过程。身份认证技术身份认证是终端可信认证的一个重要环节，随着信息安全技术的不断发展，针对身份认证安全可靠的特性也提出了更高的要求。身份认证最重要的部分是防伪造、防抵赖，因此身份认证技术也从最初简单的用户名/口令，逐渐发展到证书、生物技术、动态密码以及多因素认证，防止一切可能伪造和抵赖的因素。为了满足不同安全程度的身份认证需求，也为了适应客户网络环境中可能已经存在的身份存储和认证方式，北信源网络接入控制系统针对各种主流身份认证技术进行了符合性开发，为各种主流身份认证技术提供了认证接口，典型的诸如和Radius、LDAP、AD域、CA系统、邮箱系统相结合的认证，可以满足当前技术下大部分认证系统的需求。安检修复技术除身份认证外，安检修复也是针对终端可信认证的重要环节，据权威机构研究证明，80%的信息泄密来自于企业或机构的内部计算机终端。由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员，对于计算机的自主安全防护能力存在一定欠缺，因此造成了很大的泄密隐患。针对内部终端被动泄密的问题，归根结底是因为终端的安全策略配置不够严谨（例如guest账户开启、弱口令设置以及不正常的注册表键值等）或者计算机本身存在安全漏洞（例如关键补丁未安装、杀毒软件未安装或者病毒库过期等原因）造成的。针对此类情况，北信源网络接入控制系统采用主动探测和一键修复的技术设计，对入网计算机终端的安全测试进行检查和评分，对存在安全隐患的计算机终端强制禁止入网，并提供一键策略修复技术，解决终端可能存在的不安全隐患，从而达到全网终端的统一安全管理。桌面系统联动北信源准入控制系统支持与桌面系统联动，在已经部署桌面系统的环境下，支持注册客户端透明准入，不需要二次认证注册，由桌面管理平台下发安全策略，客户端安全信息实时上报到准入网关，实时更新终端安全策略状况，风险控制严格，客户端上报安全信息不合规时，立即被隔离到隔离区，此时客户端仅能访问隔离区中的服务器，直到修复完全直到满足安全策略要求。产品支持与客户端AD域实名同步，符合安全要求的注册信息才准许入网，同时自动配合域组织架构信息，达到实时动态审核，同步更新域组织信息，简化实名注册审核机制，规范终端实名架构，统一管理，一目了然。产品功能对比功能项功能描述北信源江南天安注册管理自定义注册信息，要求可以定义必须填写的注册信息项，可根据需要启用/禁用自定义项。自定义单元丰富简单终端注册的日志记录功能，并可根据时间、设备名、注册者、IP及动作等关键字进行记录查询。支持支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示，提示进行客户端注册。支持支持支持实名制注册审核管理功能，支持与OA系统、AD域等组织架构服务器同步组织架构，自动根据设置关键字段实名审核，同时支持已注册终端可通过管理员手动审核或者短信审核通过之后才可以接入网络。支持不支持资产管理终端硬件资产统计和查询，统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。明细多丰富支持终端软件资产统计和查询，统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况。支持支持对终端计算机软件安装信息的收集，包括当前软件安装信息和历史安装信息。支持支持身份认证与安全检查本地认证系统，支持自定义本地用户和密码，支持本地认证用户自行修改密码。支持支持支持与AD域服务器、LDAP服务器实现联动认证，并且支持帐户信息的自动同步以及导入导出；支持支持认证超时机制，超时帐户强制自动登出，要求超时时间可以自行配置。必须支持帐户超期统一登出机制，登出时间可根据需要自行设置。支持不支持帐户尝试登录限制，要求尝试登录次数可进行配置，尝试登录失败可锁定帐户，锁定时间可按需配置。支持支持帐户角色绑定功能，不同用户帐户继承所属角色的访问权限以及安检要求。支持不支持安检规范定义配置功能，可根据角色属性定制不同的安检规范，安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查、IE代理检查等。支持支持支持指定时间周期内安检。支持不支持安全域控制功能，可根据角色属性定制不同的安全域，用户认证成功后，安全域角色控制功能自动生效，相关角色帐户只能访问指定的安全控制域。支持不支持对未认证通过用户入网时进行阻断，能够提供web重定向提醒，并说明入网阻断原因。支持支持对身份认证通过后的用户终端进行安全检查，并对安检进度提供进度条提示，未通过安检的终端给出未通过项提示并阻断入网，支持安检未通过一键修复功能。支持支持准入控制串接和旁路部署模式，支持策略路由、旁路干扰、透明串接、虚拟网关等多种准入控制模式。支持不支持旁路镜像部署基于终端心跳和终端水印认证双重准入判断，自动发现采用NAT模式入网的终端并强制认证。支持，特有水印技术不支持准入策略制定功能,可根据访问IP源、目的域以及准入流程进行策略制定，目的域需是IP、端口以及目录的组合支持不支持准入流程差异化控制，可根据准入策略控制终端仅注册、仅认证、注册及认证、注册认证及安检等差异化准入控制策略。支持支持对路由、无线、AP、HUB等环境下的终端实施准入控制，支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。支持支持不全三层环境下IP和MAC绑定支持不支持访客控制外来终端或者访客初次入网阻断，并给出入网指导提示支持支持外来终端或者访客自助申请上网码，只需要提供管理员要求提供的入网申请资料，便可申请上网码支持支持访客自助查询上网码功能，访客提交入网资料并经管理员审批通过后，可以自助查询上网码。支持支持访客上网码短信审核功能，管理员无需登录管理平台，只需回复短信就可以对访客入网进行审核。支持不支持支持安卓客户端支持不支持系统监控系统本身业务接口的连接状态以及接口速率进行监控，支持对系统本身的CPU以及内存使用率提供仪表盘式图形化实时监控数据，支持数据自动刷新。支持不提供流量监控对在线终端状态提供图形化实时分析报表，分析内容至少包含接入设备、待审核设备、注册设备、认证设备、访客设备、入网设备、白名单设备、隔离设备、离线设备等不少于9种状态。比较详细不全设备提供内置旁路模块，在设备发生异常的情况下能够快速切换到Bypass模式，从而有效地保证网络链路的畅通。支持不支持系统管理要求支持基于https的B/S架构管理、支持基于SSH的命令行操作管理界面、支持基于serial串口的设备后台管理模式支持支持自