北信源网络接入控制系统工作原理与功能对比.doc

HWP-TD-NAC-WP-001 1 北信源网络接入控制系统北信源网络接入控制系统 工作原理与功能工作原理与功能 北京北信源软件股份有限公司北京北信源软件股份有限公司 HWP-TD-NAC-WP-001 2 目 录 1.整体说明.4 2.核心技术.4 2.1.重定向技术4 2.2.策略路由准入控制技术5 2.3.旁路干扰准入控制技术7 2.4.透明网桥准入控制技术8 2.5.虚拟网关准入控制技术8 2.6.局域网控制技术9 2.7.身份认证技术9 2.8.安检修复技术10 2.9.桌面系统联动10 3.产品功能对比11 HWP-TD-NAC-WP-001 3 1. 整体说明整体说明 准入网关对接入设备进行访问控制，对于未注册用户进行 WEB 重定向进行 注册；注册后的用户进行认证或安检后可以访问网络； 管理员可以配置采取何种准入控制方式，如策略路由，旁路监听，透明网 桥，虚拟网关等；同时可以选择使用不同的认证类型，如本地认证，Radius 认 证，AD 域认证等，而认证途径采取网关强制重定向； 准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流 通，另一类则是通过配置交换机，让交换机来控制数据包的流通。目前准入网 关实现的策略路由和旁路监听，透明网桥等准入控制均属于前者，也就是网关 自己通过放行或丢弃、阻断数据包，来达到准入控制，对于数据包的阻断是基 于 tcp 实现的；而虚拟网关则是通过控制交换机 VLAN 来达到准入控制； 2. 核心技术核心技术 为了适应不同业务环境下的统一入网控制，北信源网络接入控制系统采用 多种核心技术设计，支持多种准入控制模式，实现从多角度多维度的终端入网 安全控制。 2.1. 重定向技术重定向技术 接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的 判定需要一个过程，如何在判定过程中进行良好的提示,这就对产品的人机界面 设计提出了较高的要求。业界通常的做法是针对 http 性质的业务访问进行重定 向，以往针对 http 的业务区分主要基于业务端口（主要为 80 端口） ，对于非 80 业务端口的 http 业务不能有效区分。针对以上情况，北信源网络接入控制 系统对 http 业务进行了深度识别，除 80 端口的 http 业务可以进行有效重定向 HWP-TD-NAC-WP-001 4 之外，针对非 80 端口的 http 业务也能进行有效的识别和重定向。 除此之外，北信源网络接入控制系统针对终端入网的控制流程进行了重定 向优化，针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设 计，整个重定向过程符合终端入网习惯，贯穿终端入网的全过程，并在重定向 页面提供人性化帮助提示，主要表现在以下几大方面: 针对未注册终端，提供重定向下载页面供终端进行 Agent 下载和注册； 针对未通过身份认证的用户，提供多种认证重定向页面，认证方式可供 用户选择； 提供人性化的安检评分重定向页面，采用 Ajax 技术，使得安检结果可 以在重定向页面自动刷新，自动评分，并在重定向页面提供一键修复 策略； 在终端入网的每个重定向环节提供帮助说明，对业务操作提供帮助链接， 帮助终端使用者自动解决入网过程的所有问题，减少网络管理人员的 参与，提高网络管理的效率，降低人工成本； 重定向页面的提供不基于特定的 IE 浏览器，只要是 http 的业务形式， 无论是采用 IE 浏览器访问，还是采用客户端登录（例如 QQ 登录） ， 或是客户端弹出窗口（例如 QQ、飞信弹出内容模式）都可以进行重定 向。 2.2. 策略路由准入控制技术策略路由准入控制技术 在过去，所有的准入控制模式几乎都是基于网络链路节点来进行控制的， 从终端 PC、网络交换设备、路由器防火墙等，所有的控制节点都放在了网络转 发或传输设备本身。这种模式不仅加重了网络基础设施的压力，同时也更容易 形成单点故障，对网络业务本身可能造成不可连续性运营的困扰。随着近年来 准入控制技术的不断发展，越来越多的准入控制技术都采用了 OOB（Out Of Band）模式，即所谓旁路部署模式，在准入控制产品的本身出现故障的情况下， 并不会影响网络业务本身的可持续性运营，网络准入控制技术的发展也由此迈 向了一个新的台阶。 HWP-TD-NAC-WP-001 5 北信源网络接入控制系统的策略路由模式，要求网络基础设施的核心设备 （例如核心交换机）支持策略路由功能，通过将上行业务请求通过策略路由的 控制定向到北信源网络接入控制系统，经由北信源网络接入控制系统针对终端 的可信程度进行认证和判定后，采用丢弃或者正常转发到原路由下一跳的方式， 对终端入网进行安全可信的筛选，从而达到准入控制的效果，具体流程可以参 考以下流程示意图： 图 4 策略路由准入控制模式示例流程 由于策略路由模式只针对上行业务请求进行处理，不会影响下行业务返回 的正常转发，也不影响网络路由和拓扑的更改，其安全性也得到了更多的保障， 因而比较适合于大多数网络环境。 另外，大多数支持策略路由的核心设备同时也支持逃生模式，核心设备在 确认策略路由的下一跳不可达的情况下，可以按照策略配置自动选择原有默认 路由，从安全角度来看，即使准入控制设备失去功效，也不会影响业务的正常 转发，从而保证网络业务的可持续运营，因此，相对于以往的准入控制模式， 策略路由模式无异于更受欢迎。 北信源网络接入控制系统完美的利用了核心设备策略路由的特性，结合北 信源公司安全接入控制理念，并和北信源内网安全管理系统有效结合起来，为 HWP-TD-NAC-WP-001 6 客户的内网终端安全管理提供有效的安全保障。 2.3. 旁路干扰准入控制技术旁路干扰准入控制技术 在 OOB 准入控制模式的发展趋势下，北信源公司研发了基于旁路干扰模式 的准入控制方法，该准入控制方法采用和策略路由模式一致的旁路部署方法， 是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术，相 对于策略路由准入控制模式，旁路干扰准入控制模式有着更为突出的安全特性。 策略路由准入控制模式虽然采用旁路部署模式，但是从技术原理上来说， 采用的是流量劫持的方式对上行业务流进行筛选。而旁路干扰准入模式采用的 是流量复制的模式对上行业务流量进行筛选，在筛选过后再采用旁路干扰的方 式中断现行业务流，是真正的旁路部署模式，不需要对现行业务流的走向进行 任何改动，就像在快速运行的高速公路旁边部署了一台监控摄像头，当发现违 规车辆时通过点对点的对话方式，让违规车辆自动接受处罚。由于旁路干扰准 入控制模式真正的旁路部署特性，其对现行业务流没有任何影响，因此相对于 所有准入控制模式来说，有着得天独厚、无法比拟的安全性，其具体的业务流 程参考下图： 图 5 旁路干扰准入控制模式示例流程 旁路干扰准入控制模式要求核心设备（通常是核心或者汇聚层交换机）具 备流量镜像的功能，相对与策略路由来说，有更多的交换机都支持流量镜像功 HWP-TD-NAC-WP-001 7 能，因此对于不同网络环境的适应性更加强大。除此之外，即使核心设备不支 持流量镜像功能，也可以采用 TAP 分流的方式对流量进行复制分流，而这仅仅 只需要增加一台分流/分光设备即可。 2.4. 透明网桥准入控制技术透明网桥准入控制技术 在不支持策略路由或者旁路镜像的环境下，为了满足客户网络环境下的准 入控制需求，采用串接的方式实现准入控制便显得尤为重要了。透明网桥技术 已经被大多数网络安全设备接受和认可，也是目前为止在网络关口层面控制最 为严格的部署技术，北信源网络接入控制系统在不改变现有拓扑的情况下将网 桥串接到网络当中，采用 ACL 的方式对流量 IP 进行过滤，对不可信不安全的 终端进行隔离修复。 图 6 透明网桥准入控制模式示例流程 2.5. 虚拟网关准入控制技术虚拟网关准入控制技术 虚拟网关是基于 VLAN（Virtual Local Area Network）和 SNMP（Simple Network Management Protocol ）两种技术，在 VLAN 环境中，把设备接入的 HWP-TD-NAC-WP-001 8 VLAN 分为可信 VLAN 和不可信 VLAN，判断对应设备是否通过认证：未通过， 则通过 SNMP Write，将对应设备所接交换机端口所处 VLAN，切为不可信 VLAN，以后，该设备再访问网络，将会被重定向，直至认证通过后，虚拟网 关才将其所处 VLAN, 切换为可信 VLAN，正常上网。 2.6. 局域网控制技术局域网控制技术 无论是策略路由、旁路干扰还是透明网桥准入控制技术，都是基于网络核 心节点的网络接入控制技术，并不能真正对局域网终端节点之间的互访进行授 信控制。在以往的所有准入控制技术当中，对于局域网之间互访的授信控制是 基于接入交换机端口的控制（802.1X） 、IP 地址获取控制（DHCP Enforcer） 或者通过 VLAN 技术进行隔离。 北信源网络接入控制系统授予了终端可信判断的能力，对于安装有北信源 网络接入控制系统 Agent 的终端，可以自动判断来访者的可信程度，如果发现 来访者是不安全不可信的终端，Agent 会丢弃来访的数据包请求，阻止不可信 终端对自身的访问。采用终端自判断的方式将局域网访问控制从网络节点设备 下放到终端自身，不仅可以降低网络节点设备自身的压力，还可以规避其它局 域网访问控制技术的缺陷，例如 802.1x 对 hub、傻瓜式交换机下终端互访无法 控制的问题以及采用手动设置 IP 规避 DHCP 自动获取的 IP 控制等。而由于安 装 Agent 进行注册是入网授信必须经历的一个环节，因此采用终端自判断的局 域网控制技术，可以完全有效的控制局域网终端之间的授信访问过程。 2.7. 身份认证技术身份认证技术 身份认证是终端可信认证的一个重要环节，随着信息安全技术的不断发展， 针对身份认证安全可靠的特性也提出了更高的要求。身份认证最重要的部分是 防伪造、防抵赖，因此身份认证技术也从最初简单的用户名/口令，逐渐发展到 证书、生物技术、动态密码以及多因素认证，防止一切可能伪造和抵赖的因素。 HWP-TD-NAC-WP-001 9 为了满足不同安全程度的身份认证需求，也为了适应客户网络环境中可能 已经存在的身份存储和认证方式，北信源网络接入控制系统针对各种主流身份 认证技术进行了符合性开发，为各种主流身份认证技术提供了认证接口，典型 的诸如和 Radius、LDAP、AD 域、CA 系统、邮箱系统相结合的认证，可以满 足当前技术下大部分认证系统的需求。 2.8. 安检修复技术安检修复技术 除身份认证外，安检修复也是针对终端可信认证的重要环节，据权威机构 研究证明，80%的信息泄密来自于企业或机构的内部计算机终端。由于大部分 企业计算机终端的使用人员安全意识薄弱且非计算机专业人员，对于计算机的 自主安全防护能力存在一定欠缺，因此造成了很大的泄密隐患。 针对内部终端被动泄密的问题，归根结底是因为终端的安全策略配置不够 严谨（例如 guest 账户开启、弱口令设置以及不正常的注册表键值等）或者计 算机本身存在安全漏洞（例如关键补丁未安装、杀毒软件未安装或者病毒库过 期等原因）造成的。针对此类情况，北信源网络接入控制系统采用主动探测和 一键修复的技术设计，对入网计算机终端的安全测试进行检查和评分，对存在 安全隐患的计算机终端强制禁止入网，并提供一键策略修复技术，解决终端可 能存在的不安全隐患，从而达到全网终端的统一安全管理。 2.9. 桌面系统联动桌面系统联动 北信源准入控制系统支持与桌面系统联动，在已经部署桌面系统的环境下， 支持注册客户端透明准入，不需要二次认证注册， 由桌面管理平台下发安全策 略，客户端安全信息实时上报到准入网关，实时更新终端安全策略状况，风险 控制严格，客户端上报安全信息不合规时，立即被隔离到隔离区，此时客户端 仅能访问隔离区中的服务器，直到修复完全直到满足安全策略要求。 产品支持与客户端 AD 域实名同步，符合安全要求的注册信息才准许入网， HWP-TD-NAC-WP-001 10 同时自动配合域组织架构信息，达到实时动态审核，同步更新域组织信息，简 化实名注册审核机制，规范终端实名架构，统一管理，一目了然。 3. 产品功能对比产品功能对比 功能项功能项功能描述功能描述北信源北信源江南天安江南天安 自定义注册信息，要求可以定义必须填写的注册信息项，可根据需 要启用/禁用自定义项。 自定义单元丰 富 简单 终端注册的日志记录功能，并可根据时间、设备名、注册者、IP 及动作等关键字进行记录查询。 支持支持 注册管理 针对 IE、QQ 登陆及弹出窗口等 web 形式的访问提供入网重定向提 示，提示进行客户端注册。 支持支持 支持实名制注册审核管理功能，支持与 OA 系统、AD 域等组织架构 服务器同步组织架构，自动根据设置关键字段实名审核，同时支持 已注册终端可通过管理员手动审核或者短信审核通过之后才可以接 入网络。 支持不支持 终端硬件资产统计和查询，统计内容应至少包含 CPU、内存、硬盘 等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外 设信息。 明细多丰富支持 终端软件资产统计和查询，统计内容应至少包含操作系统版本、操 作系统补丁安装情况、IE 版本、主机名称、网卡 MAC 信息以及设 备内安装的应用软件使用情况。 支持支持 资产管理 对终端计算机软件安装信息的收集，包括当前软件安装信息和历史 安装信息。 支持支持 本地认证系统，支持自定义本地用户和密码，支持本地认证用户自 行修改密码。 支持支持 身份认证 与安全检 查 支持与 AD 域服务器、LDAP 服务器实现联动认证，并且支持帐户信 息的自动同步以及导入导出； 支持支持 HWP-TD-NAC-WP-001 11 认证超时机制，超时帐户强制自动登出，要求超时时间可以自行配 置。必须支持帐户超期统一登出机制，登出时间可根据需要自行设 置。 支持不支持 帐户尝试登录限制，要求尝试登录次数可进行配置，尝试登录失败 可锁定帐户，锁定时间可按需配置。 支持支持 帐户角色绑定功能，不同用户帐户继承所属角色的访问权限以及安 检要求。 支持不支持 安检规范定义配置功能，可根据角色属性定制不同的安检规范，安 检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共 享资源检查、IE 主页修改项检查、guest 来宾帐户启用情况检查、 远程桌面启用情况检查、系统启动项检查、系统进程检查、IE 代 理检查等。 支持支持 支持指定时间周期内安检。支持不支持 安全域控制功能，可根据角色属性定制不同的安全域，用户认证成 功后，安全域角色控制功能自动生效，相关角色帐户只能访问指定 的安全控制域。 支持不支持 对未认证通过用户入网时进行阻断，能够提供 web 重定向提醒，并 说明入网阻断原因。 支持支持 对身份认证通过后的用户终端进行安全检查，并对安检进度提供进 度条提示，未通过安检的终端给出未通过项提示并阻断入网，支持 安检未通过一键修复功能。 支持支持 串接和旁路部署模式，支持策略路由、旁路干扰、透明串接、虚拟 网关等多种准入控制模式。 支持不支持旁路 镜像部署 基于终端心跳和终端水印认证双重准入判断，自动发现采用 NAT 模 式入网的终端并强制认证。 支持，特有水 印技术 不支持 准入策略制定功能,可根据访问 IP 源、目的域以及准入流程进行策 略制定，目的域需是 IP、端口以及目录的组合 支持不支持 准入控制 准入流程差异化控制，可根据准入策略控制终端仅注册、仅认证、支持支持 HWP-TD-NAC-WP-001 12 注册及认证、注册认证及安检等差异化准入控制策略。 对路由、无线、AP、HUB 等环境下的终端实施准入控制，支持对 IPHONE、IPAD 等非 windows 操作系统的终端实施准入控制。 支持支持不全 三层环境下 IP 和 MAC 绑定支持不支持 外来终端或者访客初次入网阻断，并给出入网指导提示支持支持 外来终端或者访客自助申请上网码，只需要提供管理员要求提