360网神网络安全准入系统NACV7.0解决方案协同联动，合规入网目录一.“网络堡垒”往往是从内部攻破 (1)二.我们面临的挑战 (2)三.天擎NAC解决方案 (3)3.1概述 (3)3.2方案组成 (4)四.解决方案应用 (6)4.1天擎协同，应用合规入网 (6)4.1.1方案应用 (6)4.1.2优势特点 (7)4.2基于W EB P ORTAL认证 (7)4.2.1方案应用 (8)4.2.2访客入网管理 (8)4.3基于网络接入层认证 (9)4.3.1802.1x认证 (9)4.3.2MAB Mac认证 (9)4.3.3优势特点 (10)4.4终端安检合规入网 (10)4.4.1强制检查流程 (11)4.4.2多种强制检查条件 (11)4.4.3“一站式”流程管理 (12)4.5其他应用特性 (13)4.5.1第三方认证源联动认证 (13)4.5.2安全管理与接入访问控制 (13)4.5.3认证绑定管理 (14)4.5.4动态在线连接及强制下线 (14)4.5.5用户管理 (15)4.5.6设备例外管理 (15)4.5.7强制隔离手段 (15)4.5.8主机快速认证 (15)4.5.9入网和安检日志报表 (16)五.优势特点 (17)5.1分布式部署，集中管理 (17)5.2协同联动，构建“篱笆墙” (18)5.3网络环境适应性强 (19)5.4软硬一体化设备 (19)5.5支持高可用和逃生方式 (20)5.6多种入网认证因子 (20)5.7入网检查、隔离、修复一站流程 (20)5.8细粒化的访问控制 (20)5.9统一授权管理 (21)六.产品核心价值 (21)七.方案部署 (22)7.1小规模集中式部署 (22)7.2大型网络分布式部署，统一管理 (23)7.3天擎多级架构下的部署 (25)八.高可用及逃生方案 (26)8.1HA双机热备 (26)8.2双机冗余逃生方式 (27)8.3双机HA+软B YPASS逃生方式 (28)一.“网络堡垒”往往是从内部攻破目前大多数企事业单位构建的还是开放式的网络，过去在Interner接入安全和服务器安全领域投入了大量的资金，虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备，但是网络安全事件依然层出不穷；虽然在终端上安装了杀毒软件，但病毒感染还是泛滥成灾；为什么？企业内部网络采用开放式的网络架构，这种开放网络给企业业务开展确实能够带来便捷，但也有严重的安全风险，随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全，因此需要构建新一代的内部终端准入安全防御体系。

权威调查数据表明“网络堡垒”往往是从内部攻破，开放式的网络使得企业内部任何一个人都能够通过便携设备随意接入企业核心业务网络，能够访问企业的各种网络资源，获取他们感兴趣的数据。

开放式的网络犹如企业没有门卫一样，任何人都可以随便进出，随意访问，不受到任何检查和限制。

可以想象这样的开放式网络为恶意访问提供了入侵的便利条件，采用非常简单的攻击技术便可造成巨大的破坏，从而不但给企业带来巨大的经济损失，更有可能对企业造成法律上的风险。

还有企业网络内部计算机如果安全状况没有一个标准的基准线，对不安全设备如果不能采取有效的隔离和修复措施，漏洞病毒的防护应对往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，数据安全无法保证，工作也无法正常进行，终端入网安全状况的不统一，也弄的维护人员筋疲力尽，工作效率得不到提高。

二.我们面临的挑战目前，企事业单位终端接入现存具体场景主要有以下几个特点，但不限于此： 网络出口处部署了大量的网络安全设备，如：防火墙、IPS、防病毒服务器等安全设备，出口严防，但内部终端接入还是开放、透明的网络，如何防止从内部的非法接入访问？当你在关注企业网络边界准入控制时，是否关注到了我们的核心业务的访问安全，你的核心数据、重要业务系统（如ERP、OA）访问等，访问身份和权限是否安全？访问的终端是否合规可信？如何保证数据泄密？安全防护的一切要素在于安全监管客户端的存在，如果没有安全客户端将变成裸奔状态，非可信状态，存在重大的安全隐患，等于脱离管理，如何快速、大面积部署安全防护点？确保安全客户端的安装率和去化率，保障时刻有效管理。

企业存在大量的终端分散在企业的各处通过边界信息口接入网络，但如何保证这些通过边界接入的终端是合法的呢？这些终端入网安全基线是否合规？企业有很多外包人员或访客，如何确保这些人的合法接入呢？资源的访问权限如何控制？智能手持设备、无线设备的接入，如何进行有效的接人管理？企业存在大量的哑终端设备，如：网络打印机、视频会议系统、IP网络电话等设备，如何保证接入是否合法？如何进行接入的有效控制？大量终端接入网络行为，如何定位追踪？如何进行有效的接入安全分析和审计？……三.天擎NAC解决方案3.1概述天擎.强制合规NAC主要为企事业单位解决入网安全合规性要求，核心业务的访问控制、用户和终端的实名制认证管理、终端边界接入的安全防护、终端入网的追溯分析等接入管理问题。

用于防止企业网络资源不受非法终端接入所引起的各种威胁，在有效管理用户和终端接入行为的同时，也保障了终端入网的安全可信，同时达到了规范化地管理计算机终端的目的，从而使终端接入管理变得安全、透明、可控，满足信息安全管理要求。

NAC引擎设备基于天擎集中统一管理，可在天擎“一体化”平台对引擎设备进行策略下发、批量升级、统一监测、分权分域管理等集中管理操作，业务和数据联动共享，协同联动，这种灵活管理方式可满足大型网络架构下的、一体化、分布式部署，集中管理要求，解决了传统单机管理方式下各自独立管理，散兵模式的弊端；针对大型用户有多台甚至百台NAC设备时，这种方式给管理和部署提供了便利，也确保了策略的快速响应和集中监管，符合大型架构下统一管理、统一认证的管理要求。

产品具备从发现、访客申请、内部认证授权、合规性检查、访问控制、隔离修复、入网追溯等“一站式”的入网管理规范流程，并支持多种准入控制技术及认证方式，混合技术方式部署等，实现核心区域的访问控制，接入层边界的访问控制，终端层面的访问控制，满足不同网络场景下轻、中、高强度的准入控制需求，适应不同复杂网络环境下的接入控制管理和安全合规性要求；NAC设备支持HA方式部署，并支持多种逃生方式，保障业务的稳定运行；产品也具备和多种标准第三方源联动，支持AD、LDAP、Email、Http多种认证源联动认证，确保实名制统一认证管理。

3.2方案组成NAC引擎设备：NAC引擎是组成的核心，机架式软硬一体设备，系统采用Linux架构，硬件为全内置封闭结构，采用旁路部署，提供认证和策略执行服务、基于天擎控制中心集中式管理。

控制中心：控制中心采用B/S架构，NAC的控制中心基于天擎控制台同台管理，管理员可以随时随地的通过浏览器打开访问，对NAC引擎下发策略，配置操作和监测运维。

主要有认证配置管理、漫游配置管理、认证用户管理、认证源及安全配置、会话管理、入网安检策略、设备集中管理、日志报表等。

系统提供接入认证日志报表、安检日志报表、安全检查统计分析等多维度接入安全信息数据的查询审计，管理员可通过数据全方位的追溯和分析终端接入和安全状态，并通过报表分析，掌握入网和安全威胁状况。

认证客户端：客户端部署在需要入网认证或安全检查的终端上，可提供打点认证、802.1x认证拨号、入网强制合规检查、隔离修复、认证客户端交互配置等，并与服务器通信，接收控制中心管理所需入网策略配置和上报入网日志数据等信息。

如果是WEB Portal认证方式可无需安装客户端，可通过WEB方式进行核心保护区域的访问认证，也可采用天擎客户端联动方式的应用准入，哑终端可通过MAB MAC方式或IP方式加入白名单来控制接入管理。

第三方服务器：第三方联动认证服务器，如：AD/LDAP或被隔离时的修复服务器，如：FTP服务器、病毒服务器等，当用户安全检查失败时，将被隔离到隔离区，此时用户只能访问隔离区中的修复服务器，通过修复服务器进行必要的自身修复，直到满足安全策略要求。

联动设备：联动设备是指网络中的接入或核心交换机设备，需联动NAC设备实现网络准入控制，可根据不同的应用场景，可分别实现不同控制方式，如：802.1x、应用准入和Portal 等终端准入控制，也可以根据联动不同区域设备实现灵活混合部署模式。

四.解决方案应用4.1天擎协同，应用合规入网★协同联动，合规入网，防止非法终端访问核心业务资源，保障入网访问终端的安全可信，满足入网合规性要求。

4.1.1方案应用应用准入是一种网关准入防护技术，目的是防止非法终端访问企业核心区域资源，规范终端入网流程，保障入网终端的安全可信，结合终端的合规检查，可满足企业入网的合规性管理要求。

终端的安全防护的一切要素在于安全监测客户端的存在，如果没有安全客户端等于脱离管理，存在重大的安全隐患，终端变成裸奔状态，非可信状态。

NAC和天擎终端协同联动，检测入网访问的终端是否安装终端防护点，以达到入网遵从条件。

并可快速、高效、批量部署客户端，提高部署效率，实时监测天擎的卸载和去化率过高，保障入网终端是在安全可控范围内，防止无保护，存在安全隐患的终端访问企业的内部资源，配合入网安全检查策略也可实现更加细粒度的安全入网合规要求。

强制合规（NAC）设备引擎采用旁路部署，通过流监听来发现和评估哪些终端是非法终端，判断哪些终端是否允许安全访问企业核心资源，不符合会被自动拦截要求认证或安装客户端才能进行访问，并可配置入网安全检查策略，不符合进行自动隔离和修复，修复成功后才能进入工作区，这种方式的优点在于无需和接入层交换机进行联动，避免交换机管理和配置的复杂性，终端私拉乱接带来的绕过可能性。

此种准入控制方案，部署简单，上线快，对环境依赖较小，风险和故障点相对也较小。

4.1.2优势特点客户端批量部署方便简单，提供自动式客户端引导部署流程，使大面积部署天擎变的高效和快速保证天擎的安装覆盖率和去化率，保障入网终端是在安全可控范围内，规范终端安全保护核心服务器的访问安全，需认证和安检才能访问规范终端入网流程，入网安全可信，满足企业入网的合规性管理要求旁路部署简单，轻量级的准入方案，部署简单，上线快，对环境依赖较小，风险和故障点相对较小。

4.2基于Web Portal认证Web Portal认证方案是保护网络核心区域不受外部非法访问的认证技术方案，采用旁路部署，通过监听保护区域的网络数据流，并做连接会话跟踪，对企业内网数据流进行合法性检测并对非法连接进行阻断和控制，保护核心区域访问的安全。