北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源网络接入控制管理系统可以保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端安全接入内部网络,保护网络接入的安全性。
2.系统架构网络准入控制能够勾勒企业终端接入的安全基线,屏蔽一切不安全的设备和人员接入网络,规范用户接入网络的行为。
对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN 隔离,并主动对其安全修复。
北信源网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。
其模型如下图:网络接入控制安全访问模型安全检查根据系统进程、文件、注册表等设置的检查结果来判断:➢用户身份是否合法➢主机防火墙是否安装并运行➢防病毒软件是否安装并运行,病毒特征库是否及时更新➢操作系统关键安全补丁是否安装➢操作系统安全配置是否妥当➢是否感染特定病毒实体➢是否安装违规软件接入认证根据上述检查结果,通过服务器和网络设备以及终端PC联动来决定:➢拒绝终端/用户接入➢容许终端/用户接入➢隔离终端/用户(单机隔离, VLAN隔离)➢限制终端/用户访问权限安全修复在隔离或限制接入的情况下,还可以通过自动修复来恢复正常的网络访问权限。
修复的内容包括:➢自动开启IE,连接内部安全网站上相关的提示页面➢自动分发病毒专杀工具➢自动升级病毒特征库➢自动分发操作系统关键补丁➢自动纠正错误的系统配置3.系统组成北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统,以及硬件接入网关(可选)几部分组成。
3.1. 策略服务器策略服务器是本系统的策略管理中心,提供系统的参数配置和安全策略管理。
安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。
3.2. 认证客户端认证客户端安装在终端计算机,根据用户名和密码向认证服务器发起认证,能够根据策略服务器分发的安全策略对终端主机进行安全检查,依据获取的主机的安全状态,配合认证系统,实现工作区、隔离区、修复区的自动切换。
网络接入认证控制示意图3.3. Radius认证服务器Radius认证服务器用于接收客户端认证请求信息数据包并进行验证,根据网络环境可使用微软的IAS,CISCO ACS或LINUX FREE RADIUS等系统。
3.4. Radius认证系统Radius认证系统为可网管支持802.1x的网络设备(交换机),由该认证系统接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。
在认证过程中,LAN端口作为请求者,LAN端口则负责向认证服务器提交接入服务申请。
基于端口的锁定只允许信任的MAC地址向网络中发送数据,而来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
在不支持802.1x协议的网络中,看选配专用硬件设备为强制注册网关。
3.5. 硬件接入网关(可选配)在不完全支持802.1x的网络中可选装硬件接入网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
基于HTTP重定向、DNS重定向等技术,用于强制网络中每台计算机终端必须安装认证客户端程序的服务器,该服务器根据网络环境不同,部署在不同的位置,确保网络中每台终端能够安全认证客户端程序。
4.系统特性4.1. 全面的安全检查全面支持对客户端主机的各种安全检查,除基本的安全检查项外(补丁、杀毒软件、注册表、进程等),可以有管理员自定义制订检查安全检测任务。
4.2. 技术的先进性系统基于国际化的工业标准,结合北信源内网安全管理技术,在构架上从管理、安全、运维等多个方面进行全方位的网络安全保障,功能先进、完善、细致,其中流量分析、统一主机防火墙、统一杀毒软件监控、进程和注册表监控保护等多项桌面安全管理技术均领先业界,部分技术代表了行业的发展方向。
4.3. 功能的可扩展性准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外,还提供多种数据接口和二次开发接口。
由于策略结构采用的是XML解释性语言,功能扩展十分迅速方便,可根据实际需要快速进行功能定制,也可根据需要与相关的系统(如网管系统、安全管理平台SOC等)进行联动和数据交换。
4.4. 系统可整合性尤其是对于本系统,类似在终端计算机安装Agent的软件非常多,如防病毒软件、桌面管理软件、远程维护软件、主机审计软件等,如何使这些软件在一台计算机上充分发挥效用,不是简单的功能叠加问题,而是一个软件二次代码扩展开发的问题,必须选择在国内具有强大的本地化研发实力的安全软件厂商。
4.5. 无缝扩展与升级北信源网络接入控制管理系统采用C/S与B/S混合模式设计,支持集中式和分布式部署,确保部署构架的通用性,并具有模块化软件定制的特点,支持标准API,具有无缝功能扩展与平滑稳定升级等优点。
同时,系统具有良好的兼容性,能够同现有各种防病毒等终端主机类软件兼容运行。
5.系统功能5.1. 准入身份认证●支持802.1X协议接入认证:通过对支持此协议的交换机进行管理,配合RADIUS服务器和认证客户端,利用交换LAN架构的物理特性,实现LAN端口的设备认证。
●结合北信源接入认证网关,可以支持非网管交换机、集线器等不支持802.1X协议的网络设备接入的终端,支持设备入网认证。
●系统认证方式支持单用户、多用户、域用户等模式:单用户模式可以保证终端设备必须安装认证客户端才能接入网络;多用户模式除了保证终端设备必须安装认证客户端外,还要求用户拥有正确的用户名及口令方可以接入网络;域用户模式支持系统自动采用域登陆用户密码进行身份认证,将网络接入认证同域认证有效结成一体。
●系统认证协议支持:支持MD5等多种标准加密认证方式,并可使用自定义扩展的通讯协议,提供对第三方终端发起的非法认证过滤。
●绑定认证控制:Radius认证支持交换机端口同计算机MAC/IP、用户名绑定接入控制,可以指定人员及计算机只能在指定交换机的特定端口登陆接入网络。
●802.1X协议接入认证支持无线网络设备认证,支持远程VPN接入身份认证,用户通过VPN或者RAS拨号方式远程拨入网络时,必须经过身份认证方可以接入网络。
●支持DHCP动态IP环境及静态IP网络环境认证。
5.2. 完整性检查功能●支持操作系统(操作系统、IE、应用程序、反病毒升级库等)补丁完整性检测。
●支持防病毒软件/主机防火墙(业界主流厂家)的安全检测,并能进行新软件动态增加,必要时可以远程开关/管理主机安全软件。
●支持自定义安全项检测(如进程、服务、软件、文件等)。
●支持安全状态检测(如口令强度、权限、注册表安全等)。
●支持多种安检失败处理方式,如直接进入正常工作区,或者进入正常工作区后间隔提示用户安全失败。
支持当安检失败时直接进入修复VLAN,或者安全失败后隔离出网络。
●支持自定义周期完整性安全检查,确保工作区域终端的实时安全性。
5.3. 安全修复功能●VLAN隔离修复:系统对于未通过安全检查的终端,自动将其隔离到修复VLAN,进行安全修复,修复完成后自动进入正常工作VLAN。
●在线隔离修复:系统对于未通过安全检查的终端,可在正常工作VLAN中进行安全修复,修复过程中只能与特定服务器通讯,访问资源受限。
●修复内容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升级、安全状态修复(如口令强度、权限、注册表安全、流量异常等)。
●当终端安全检查未通过时,管理员可以自定义提示信息或者打开指定URL地址进行安全修复。
5.4. 管理与报表●安全策略配置管理:完整性安全策略由管理员统一制订,自动分发至认证客户端执行,策略分发可以灵活设置,根据网络环境和管理进行制订/执行。
●网络分组管理:支持网络终端主机IP自定义分组,按部门、区域、业务类型等方式进行划分管理范围,为策略分发和客户端管理提供依据。
●认证客户端配置管理:认证客户端运行参数配置可以在策略服务器配置,管理员可控制认证客户端注册密码、注册人、注册部门等信息填写。
●系统维护管理:支持对系统管理员的分权管理(超级用户、普通用户和审计用户),为不同级别管理员提供角色权限定义,具有安全性高、可靠性强,适合集中授权、多角色参与监控的特点。