北信源網(wǎng)絡(luò)接入控制系統(tǒng)工作基本知識與功能對比

1、北信源網(wǎng)絡(luò)接入控制系統(tǒng)工作原理與功能北信asvRV*，安全理北京北信源軟件股份有限公司1.整體說明2.核心技術(shù)2.1.重定向技術(shù)2.2. 策略路由準(zhǔn)入控制技術(shù)2.3.旁路干擾準(zhǔn)入控制技術(shù)2.4. 透明網(wǎng)橋準(zhǔn)入控制技術(shù)2.5.虛擬網(wǎng)關(guān)準(zhǔn)入控制技術(shù)2.6.局域網(wǎng)控制技術(shù)2.7.身份認(rèn)證技術(shù)2.8.安檢修復(fù)技術(shù)2.9. 桌面系統(tǒng)聯(lián)動3.產(chǎn)品功能對比1010111.11. 整體說明準(zhǔn)入網(wǎng)關(guān)對接入設(shè)備進(jìn)行訪問控制，對于未注冊用戶進(jìn)行 WEB重定向進(jìn)行 注冊；注冊后的用戶進(jìn)行認(rèn)證或安檢后可以訪問網(wǎng)絡(luò);管理員可以配置采取何種準(zhǔn)入控制方式，如策略路由，旁路監(jiān)聽，透明網(wǎng)橋,虛擬網(wǎng)關(guān)等；同時可以選擇使用不同的認(rèn)證

2、類型，如本地認(rèn)證，Radius認(rèn)證,AD域認(rèn)證等，而認(rèn)證途徑采取網(wǎng)關(guān)強(qiáng)制重定向;準(zhǔn)入網(wǎng)關(guān)整體上對準(zhǔn)入的控制可分為兩類，一類是網(wǎng)關(guān)自己控制數(shù)據(jù)的流 通，另一類則是通過配置交換機(jī)，讓交換機(jī)來控制數(shù)據(jù)包的流通。目前準(zhǔn)入網(wǎng)關(guān) 實現(xiàn)的策略路由和旁路監(jiān)聽，透明網(wǎng)橋等準(zhǔn)入控制均屬于前者，也就是網(wǎng)關(guān)自己通過放行或丟棄、阻斷數(shù)據(jù)包，來達(dá)到準(zhǔn)入控制，對于數(shù)據(jù)包的阻斷是基于tcp 實現(xiàn)的；而虛擬網(wǎng)關(guān)則是通過控制交換機(jī) VLAN來達(dá)到準(zhǔn)入控制;2. 核心技術(shù)為了適應(yīng)不同業(yè)務(wù)環(huán)境下的統(tǒng)一入網(wǎng)控制， 北信源網(wǎng)絡(luò)接入控制系統(tǒng)采用多 種核心技術(shù)設(shè)計，支持多種準(zhǔn)入控制模式，實現(xiàn)從多角度多維度的終端入網(wǎng)安全 控制。2.1.重定向

3、技術(shù)接入控制的目的是為了阻止不可信終端隨意接入網(wǎng)絡(luò)，對于不可信終端的 判定需要一個過程，如何在判定過程中進(jìn)行良好的提示，這就對產(chǎn)品的人機(jī)界面設(shè)計提出了較高的要求。業(yè)界通常的做法是針對httP性質(zhì)的業(yè)務(wù)訪問進(jìn)行重定 向，以往針對httP的業(yè)務(wù)區(qū)分主要基于業(yè)務(wù)端口 （主要為80端口），對于非80 業(yè)務(wù)端口的httP業(yè)務(wù)不能有效區(qū)分。針對以上情況，北信源網(wǎng)絡(luò)接入控制系統(tǒng) 對httP業(yè)務(wù)進(jìn)行了深度識別，除80端口的httP業(yè)務(wù)可以進(jìn)行有效重定向之外, 針對非80端口的httP業(yè)務(wù)也能進(jìn)行有效的識別和重定向。除此之外，北信源網(wǎng)絡(luò)接入控制系統(tǒng)針對終端入網(wǎng)的控制流程進(jìn)行了重定向優(yōu)化，針對終端入網(wǎng)注冊、認(rèn)證、

4、安檢、修復(fù)的整個流程進(jìn)行了人性化的設(shè)計, 整個重定向過程符合終端入網(wǎng)習(xí)慣， 貫穿終端入網(wǎng)的全過程，并在重定向頁面提 供人性化幫助提示，主要表現(xiàn)在以下幾大方面針對未注冊終端，提供重定向下載頁面供終端進(jìn)行Age nt下載和注冊;針對未通過身份認(rèn)證的用戶，提供多種認(rèn)證重定向頁面，認(rèn)證方式可供用戶選擇;提供人性化的安檢評分重定向頁面， 采用Ajax技術(shù)，使得安檢結(jié)果可以在重定向頁面自動刷新，自動評分，并在重定向頁面提供一鍵修復(fù)策 略;在終端入網(wǎng)的每個重定向環(huán)節(jié)提供幫助說明，對業(yè)務(wù)操作提供幫助鏈接,幫助終端使用者自動解決入網(wǎng)過程的所有問題，減少網(wǎng)絡(luò)管理人員的 參與，提高網(wǎng)絡(luò)管理的效率，降低人工成本;重定

5、向頁面的提供不基于特定的IE瀏覽器，只要是httP的業(yè)務(wù)形式,無論是采用IE瀏覽器訪問，還是采用客戶端登錄（例如 QQ登錄）， 或是客戶端彈出窗口（例如 QQ、飛信彈出內(nèi)容模式）都可以進(jìn)行重 定向。22策略路由準(zhǔn)入控制技術(shù)在過去，所有的準(zhǔn)入控制模式幾乎都是基于網(wǎng)絡(luò)鏈路節(jié)點來進(jìn)行控制的，從 終端PC、網(wǎng)絡(luò)交換設(shè)備、路由器防火墻等，所有的控制節(jié)點都放在了網(wǎng)絡(luò)轉(zhuǎn)發(fā) 或傳輸設(shè)備本身。這種模式不僅加重了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的壓力，同時也更容易形成 單點故障，對網(wǎng)絡(luò)業(yè)務(wù)本身可能造成不可連續(xù)性運營的困擾。隨著近年來準(zhǔn)入控制技術(shù)的不斷發(fā)展，越來越多的準(zhǔn)入控制技術(shù)都采用了00B(Out Of Band ) 模式，即所謂

6、旁路部署模式，在準(zhǔn)入控制產(chǎn)品的本身出現(xiàn)故障的情況下， 并不會 影響網(wǎng)絡(luò)業(yè)務(wù)本身的可持續(xù)性運營，網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的發(fā)展也由此邁向了一個 新的臺階。北信源網(wǎng)絡(luò)接入控制系統(tǒng)的策略路由模式，要求網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心設(shè)備(例如核心交換機(jī))支持策略路由功能，通過將上行業(yè)務(wù)請求通過策略路由的控 制定向到北信源網(wǎng)絡(luò)接入控制系統(tǒng)，經(jīng)由北信源網(wǎng)絡(luò)接入控制系統(tǒng)針對終端的可 信程度進(jìn)行認(rèn)證和判定后，采用丟棄或者正常轉(zhuǎn)發(fā)到原路由下一跳的方式， 對終 端入網(wǎng)進(jìn)行安全可信的篩選，從而達(dá)到準(zhǔn)入控制的效果，具體流程可以參考以下 流程示意圖:圖4策略路由準(zhǔn)入控制模式示例流程由于策略路由模式只針對上行業(yè)務(wù)請求進(jìn)行處理， 不會影響下行

7、業(yè)務(wù)返回的正常轉(zhuǎn)發(fā)，也不影響網(wǎng)絡(luò)路由和拓?fù)涞母模浒踩砸驳玫搅烁嗟谋Ｕ?，因而比較適合于大多數(shù)網(wǎng)絡(luò)環(huán)境。另外，大多數(shù)支持策略路由的核心設(shè)備同時也支持逃生模式，核心設(shè)備在確認(rèn)策略路由的下一跳不可達(dá)的情況下，可以按照策略配置自動選擇原有默認(rèn)路由，從安全角度來看，即使準(zhǔn)入控制設(shè)備失去功效，也不會影響業(yè)務(wù)的正常轉(zhuǎn)發(fā),從而保證網(wǎng)絡(luò)業(yè)務(wù)的可持續(xù)運營，因此，相對于以往的準(zhǔn)入控制模式,策略路由模式無異于更受歡迎。北信源網(wǎng)絡(luò)接入控制系統(tǒng)完美的利用了核心設(shè)備策略路由的特性,結(jié)合北信源公司安全接入控制理念，并和北信源內(nèi)網(wǎng)安全管理系統(tǒng)有效結(jié)合起來,為客戶的內(nèi)網(wǎng)終端安全管理提供有效的安全保障。23旁路干擾準(zhǔn)入控制技

8、術(shù)在00B準(zhǔn)入控制模式的發(fā)展趨勢下，北信源公司研發(fā)了基于旁路干擾模式的準(zhǔn)入控制方法，該準(zhǔn)入控制方法采用和策略路由模式一致的旁路部署方法，是北信源公司在準(zhǔn)入控制發(fā)展理念的基礎(chǔ)上自主創(chuàng)新的新型準(zhǔn)入控制技術(shù)，相對于 策略路由準(zhǔn)入控制模式，旁路干擾準(zhǔn)入控制模式有著更為突出的安全特性。策略路由準(zhǔn)入控制模式雖然采用旁路部署模式，但是從技術(shù)原理上來說，采 用的是流量劫持的方式對上行業(yè)務(wù)流進(jìn)行篩選。 而旁路干擾準(zhǔn)入模式采用的是流 量復(fù)制的模式對上行業(yè)務(wù)流量進(jìn)行篩選，在篩選過后再采用旁路干擾的方式中斷 現(xiàn)行業(yè)務(wù)流，是真正的旁路部署模式，不需要對現(xiàn)行業(yè)務(wù)流的走向進(jìn)行任何改動,就像在快速運行的高速公路旁邊部署了一臺

9、監(jiān)控攝像頭，當(dāng)發(fā)現(xiàn)違規(guī)車輛時通過 點對點的對話方式，讓違規(guī)車輛自動接受處罰。由于旁路干擾準(zhǔn)入控制模式真正 的旁路部署特性，其對現(xiàn)行業(yè)務(wù)流沒有任何影響，因此相對于所有準(zhǔn)入控制模式 來說，有著得天獨厚、無法比擬的安全性，其具體的業(yè)務(wù)流程參考下圖:II Itu <圖5旁路干擾準(zhǔn)入控制模式示例流程旁路干擾準(zhǔn)入控制模式要求核心設(shè)備（通常是核心或者匯聚層交換機(jī)）具備 流量鏡像的功能，相對與策略路由來說，有更多的交換機(jī)都支持流量鏡像功能,因此對于不同網(wǎng)絡(luò)環(huán)境的適應(yīng)性更加強(qiáng)大。除此之外，即使核心設(shè)備不支持流量 鏡像功能，也可以采用 TAP分流的方式對流量進(jìn)行復(fù)制分流，而這僅僅只需要 增加一臺分流/分光設(shè)

10、備即可。24透明網(wǎng)橋準(zhǔn)入控制技術(shù)在不支持策略路由或者旁路鏡像的環(huán)境下， 為了滿足客戶網(wǎng)絡(luò)環(huán)境下的準(zhǔn)入 控制需求，采用串接的方式實現(xiàn)準(zhǔn)入控制便顯得尤為重要了。 透明網(wǎng)橋技術(shù)已經(jīng) 被大多數(shù)網(wǎng)絡(luò)安全設(shè)備接受和認(rèn)可，也是目前為止在網(wǎng)絡(luò)關(guān)口層面控制最為嚴(yán)格 的部署技術(shù)，北信源網(wǎng)絡(luò)接入控制系統(tǒng)在不改變現(xiàn)有拓?fù)涞那闆r下將網(wǎng)橋串接到 網(wǎng)絡(luò)當(dāng)中，采用ACL的方式對流量IP進(jìn)行過濾，對不可信不安全的終端進(jìn)行隔 離修復(fù)。圖6透明網(wǎng)橋準(zhǔn)入控制模式示例流程2.5.虛擬網(wǎng)關(guān)準(zhǔn)入控制技術(shù)虛擬網(wǎng)關(guān)是基于 VLAN(Virtual Local Area Network )和 SNMP (SimpleNetwork Manage

11、ment Protocol）兩種技術(shù)，在 VLAN環(huán)境中，把設(shè)備接入 的VLAN分為可信VLAN和不可信VLAN，判斷對應(yīng)設(shè)備是否通過認(rèn)證：未通 過，則通過SNMP Write，將對應(yīng)設(shè)備所接交換機(jī)端口所處 VLAN，切為不可 信VLAN，以后，該設(shè)備再訪問網(wǎng)絡(luò)，將會被重定向，直至認(rèn)證通過后，虛擬網(wǎng) 關(guān)才將其所處VLAN,切換為可信VLAN，正常上網(wǎng)。26局域網(wǎng)控制技術(shù)無論是策略路由、旁路干擾還是透明網(wǎng)橋準(zhǔn)入控制技術(shù)， 都是基于網(wǎng)絡(luò)核心 節(jié)點的網(wǎng)絡(luò)接入控制技術(shù)，并不能真正對局域網(wǎng)終端節(jié)點之間的互訪進(jìn)行授信控 制。在以往的所有準(zhǔn)入控制技術(shù)當(dāng)中，對于局域網(wǎng)之間互訪的授信控制是基于接 入交換機(jī)端口的

12、控制（802.1X ）、IP地址獲取控制（DHCP Enforcer ）或者通 過VLAN技術(shù)進(jìn)行隔離。北信源網(wǎng)絡(luò)接入控制系統(tǒng)授予了終端可信判斷的能力， 對于安裝有北信源網(wǎng) 絡(luò)接入控制系統(tǒng)Age nt的終端，可以自動判斷來訪者的可信程度，如果發(fā)現(xiàn)來 訪者是不安全不可信的終端，Age nt會丟棄來訪的數(shù)據(jù)包請求，阻止不可信終 端對自身的訪問。采用終端自判斷的方式將局域網(wǎng)訪問控制從網(wǎng)絡(luò)節(jié)點設(shè)備下放 到終端自身，不僅可以降低網(wǎng)絡(luò)節(jié)點設(shè)備自身的壓力， 還可以規(guī)避其它局域網(wǎng)訪 問控制技術(shù)的缺陷，例如802.1X對hub、傻瓜式交換機(jī)下終端互訪無法控制的 問題以及采用手動設(shè)置IP規(guī)避DHC P自動獲取的I

13、P控制等。而由于安裝Age nt 進(jìn)行注冊是入網(wǎng)授信必須經(jīng)歷的一個環(huán)節(jié)， 因此采用終端自判斷的局域網(wǎng)控制技術(shù)，可以完全有效的控制局域網(wǎng)終端之間的授信訪問過程。2.7.身份認(rèn)證技術(shù)身份認(rèn)證是終端可信認(rèn)證的一個重要環(huán)節(jié)，隨著信息安全技術(shù)的不斷發(fā)展, 針對身份認(rèn)證安全可靠的特性也提出了更高的要求。身份認(rèn)證最重要的部分是防偽造、防抵賴，因此身份認(rèn)證技術(shù)也從最初簡單的用戶名/ 口令，逐漸發(fā)展到證 書、生物技術(shù)、動態(tài)密碼以及多因素認(rèn)證，防止一切可能偽造和抵賴的因素。為了滿足不同安全程度的身份認(rèn)證需求，也為了適應(yīng)客戶網(wǎng)絡(luò)環(huán)境中可能已 經(jīng)存在的身份存儲和認(rèn)證方式，北信源網(wǎng)絡(luò)接入控制系統(tǒng)針對各種主流身份認(rèn)證 技

14、術(shù)進(jìn)行了符合性開發(fā)，為各種主流身份認(rèn)證技術(shù)提供了認(rèn)證接口， 典型的諸如 和Radius、LDAP、AD域、CA系統(tǒng)、郵箱系統(tǒng)相結(jié)合的認(rèn)證，可以滿足當(dāng)前 技術(shù)下大部分認(rèn)證系統(tǒng)的需求。28安檢修復(fù)技術(shù)除身份認(rèn)證外，安檢修復(fù)也是針對終端可信認(rèn)證的重要環(huán)節(jié)， 據(jù)權(quán)威機(jī)構(gòu)研究證明，80%的信息泄密來自于企業(yè)或機(jī)構(gòu)的內(nèi)部計算機(jī)終端。由于大部分企業(yè) 計算機(jī)終端的使用人員安全意識薄弱且非計算機(jī)專業(yè)人員， 對于計算機(jī)的自主安 全防護(hù)能力存在一定欠缺，因此造成了很大的泄密隱患。針對內(nèi)部終端被動泄密的問題，歸根結(jié)底是因為終端的安全策略配置不夠嚴(yán) 謹(jǐn)（例如guest賬戶開啟、弱口令設(shè)置以及不正常的注冊表鍵值等）或者計

15、算 機(jī)本身存在安全漏洞（例如關(guān)鍵補(bǔ)丁未安裝、殺毒軟件未安裝或者病毒庫過期等 原因）造成的。針對此類情況，北信源網(wǎng)絡(luò)接入控制系統(tǒng)采用主動探測和一鍵修復(fù)的技術(shù)設(shè)計，對入網(wǎng)計算機(jī)終端的安全測試進(jìn)行檢查和評分， 對存在安全隱患 的計算機(jī)終端強(qiáng)制禁止入網(wǎng)，并提供一鍵策略修復(fù)技術(shù)，解決終端可能存在的不 安全隱患，從而達(dá)到全網(wǎng)終端的統(tǒng)一安全管理。2.9.桌面系統(tǒng)聯(lián)動北信源準(zhǔn)入控制系統(tǒng)支持與桌面系統(tǒng)聯(lián)動， 在已經(jīng)部署桌面系統(tǒng)的環(huán)境下,支持注冊客戶端透明準(zhǔn)入，不需要二次認(rèn)證注冊，由桌面管理平臺下發(fā)安全策 略，客戶端安全信息實時上報到準(zhǔn)入網(wǎng)關(guān)， 實時更新終端安全策略狀況，風(fēng)險控 制嚴(yán)格，客戶端上報安全信息不合規(guī)時

16、，立即被隔離到隔離區(qū)，此時客戶端僅能 訪冋隔離區(qū)中的服務(wù)器，直到修復(fù)完全直到滿足安全策略要求。產(chǎn)品支持與客戶端AD域?qū)嵜剑习踩蟮淖孕畔⒉艤?zhǔn)許入網(wǎng),同時自動配合域組織架構(gòu)信息，達(dá)到實時動態(tài)審核，同步更新域組織信息，簡化 實名注冊審核機(jī)制，規(guī)范終端實名架構(gòu)，統(tǒng)一管理，一目了然。3. 產(chǎn)品功能對比功能項功能描述北信源江南天安注冊管理自定義注冊信息，要求可以定義必須填寫的注冊信息項，可根據(jù)需 要啟用/禁用自定義項。自定義單元豐富簡單終端注冊的日志記錄功能，并可根據(jù)時間、設(shè)備名、注冊者、IP及動作等關(guān)鍵字進(jìn)行記錄查詢。支持支持針對IE、QQ登陸及彈出窗口等 web形式的訪問提供入網(wǎng)重定向提

17、 示，提示進(jìn)行客戶端注冊。支持支持支持實名制注冊審核管理功能，支持與0A系統(tǒng)、AD域等組織架構(gòu)服務(wù)器同步組織架構(gòu)，自動根據(jù)設(shè)置關(guān)鍵字段實名審核，同時支支持不支持資產(chǎn)管理身份認(rèn)證與安全檢持已注冊終端可通過管理員手動審核或者短信審核通過之后才可以接入網(wǎng)絡(luò)。終端硬件資產(chǎn)統(tǒng)計和查詢，統(tǒng)計內(nèi)容應(yīng)至少包含CPU、內(nèi)存、硬盤等基本硬件設(shè)備信息以及光驅(qū)、顯卡、鼠標(biāo)、網(wǎng)卡、鍵盤等相關(guān)外 設(shè)信息。明細(xì)多豐富支持終端軟件資產(chǎn)統(tǒng)計和查詢，統(tǒng)計內(nèi)容應(yīng)至少包含操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁安裝情況、IE版本、主機(jī)名稱、網(wǎng)卡 MAC信息以及設(shè) 備內(nèi)安裝的應(yīng)用軟件使用情況。支持支持對終端計算機(jī)軟件安裝信息的收集，包括當(dāng)前軟件安裝

18、信息和歷史 安裝信息。支持支持本地認(rèn)證系統(tǒng)，支持自定義本地用戶和密碼，支持本地認(rèn)證用戶自行修改密碼。支持支持支持與AD域服務(wù)器、LDAP服務(wù)器實現(xiàn)聯(lián)動認(rèn)證，并且支持帳戶 信息的自動同步以及導(dǎo)入導(dǎo)出；支持支持認(rèn)證超時機(jī)制，超時帳戶強(qiáng)制自動登出，要求超時時間可以自行配 置。必須支持帳戶超期統(tǒng)一登出機(jī)制，登出時間可根據(jù)需要自行設(shè) 置。支持不支持帳戶嘗試登錄限制，要求嘗試登錄次數(shù)可進(jìn)行配置，嘗試登錄失敗 可鎖定帳戶，鎖定時間可按需配置。支持支持帳戶角色綁定功能，不同用戶帳戶繼承所屬角色的訪問權(quán)限以及安 檢要求。支持不支持安檢規(guī)范定義配置功能，可根據(jù)角色屬性定制不同的安檢規(guī)范，安 檢規(guī)范應(yīng)至少包含殺毒軟

19、件安裝情況檢查、補(bǔ)丁漏洞檢查、系統(tǒng)共 享資源檢查、IE主頁修改項檢查、guest來賓帳戶啟用情況檢查、 遠(yuǎn)程桌面啟用情況檢查、系統(tǒng)啟動項檢查、系統(tǒng)進(jìn)程檢查、IE代理檢查等。支持支持支持指定時間周期內(nèi)安檢。支持不支持安全域控制功能，可根據(jù)角色屬性定制不同的安全域，用戶認(rèn)證成功后，安全域角色控制功能自動生效，相關(guān)角色帳戶只能訪問指定支持不支持的安全控制域。對未認(rèn)證通過用戶入網(wǎng)時進(jìn)行阻斷，能夠提供web重定向提醒，并說明入網(wǎng)阻斷原因。支持支持對身份認(rèn)證通過后的用戶終端進(jìn)行安全檢查，并對安檢進(jìn)度提供進(jìn) 度條提示，未通過安檢的終端給出未通過項提示并阻斷入網(wǎng)，支持 安檢未通過一鍵修復(fù)功能。支持支持準(zhǔn)入控制

20、串接和旁路部署模式，支持策略路由、旁路干擾、透明串接、虛擬 網(wǎng)關(guān)等多種準(zhǔn)入控制模式。支持不支持旁路鏡像部署基于終端心跳和終端水印認(rèn)證雙重準(zhǔn)入判斷，自動發(fā)現(xiàn)采用NAT模式入網(wǎng)的終端并強(qiáng)制認(rèn)證。支持，特有水印技術(shù)不支持準(zhǔn)入策略制定功能，可根據(jù)訪問IP源、目的域以及準(zhǔn)入流程進(jìn)行策略制定，目的域需是IP、端口以及目錄的組合支持不支持準(zhǔn)入流程差異化控制，可根據(jù)準(zhǔn)入策略控制終端僅注冊、僅認(rèn)證、 注冊及認(rèn)證、注冊認(rèn)證及安檢等差異化準(zhǔn)入控制策略。支持支持對路由、無線、AP、HUB等環(huán)境下的終端實施準(zhǔn)入控制，支持對IPHONE、IPAD等非windows操作系統(tǒng)的終端實施準(zhǔn)入控制。支持支持不全三層環(huán)境下IP和MAC綁定支持不支持訪客控制外來終端或者訪客初次入網(wǎng)阻斷，并給出入網(wǎng)指導(dǎo)提示支持支持外來終端或者訪客自助申請上網(wǎng)碼，只需要提供管理員要求