网络准入与终端安全管理技术方案

网络准入与终端安全管理技术方案网络准入与终端安全管理技术方案深圳市联软科技有限公司20121011网络准入与终端安全管理技术方案书_TOC301739999目录目录1图表目录51终端统一安全管理系统的需要111面临的网络安全挑战112建立统一的准入控制与终端安全管理系统12LEAGVIEWUNIACCESS解决方案总体概述321解决方案总体设计思路3211方案设计原则3212统一的集成化管理平台4213支持多厂商/多平台5214人、计算机统一管理5215开放性53LEAGVIEW准入控制与终端安全管理系统6311LEAGVIEW准入控制与终端安全管理系统简介6312LEAGVIEW准入控制与终端安全管理总体思路9313LEAGVIEW准入控制与终端安全管理系统架构104LEAGVIEWUNIACCESS网络准入控制系统1341LEAGVIEW网络准入控制部署总体介绍13411准入控制系统部署的目的13412准入控制系统部署后的影响13413准入控制系统终端接入管理体系1442LEAGVIEW网络准入控制方案介绍15421LEAGVIEW网络准入控制技术介绍15422企业综合网络准入控制解决方案18423网络准入控制部署方案建议25424LEAGVIEW支持的网络准入控制策略2743网络准入控制系统可靠性保障32431准入控制高可靠性保障措施建议（消除单点故障）33432准入控制灾难恢复与“一键式”复原技术335集中式终端安全管理3551网络拓扑发现及资产/IT设备管理35511网络拓扑发现35512资产信息自动采集36513设备快速定位（交换机端口定位）37514设备IPMAC资源管理38515IP地址变更管理39516配置变更管理40517移动介质管理4352用户身份认证管理44521数字证书认证44522数字证书验证方法44523组织目录管理45524客户端设备注册4553终端安全防护管理47531木马漏洞检查47532木马进程防护49533木马端口防护49534补丁系统联动5054终端安全评估与加固管理51541安全漏洞检查51542防病毒软件检查52543个人防火墙55544防止ARP网关、DHCP欺骗56545WINDOWS本地安全策略5755终端安全审计与行为控制管理58551非授权外联控制58552网络行为审计与控制59553文档打印审计与控制61554软件许可监控（黑白名单）61555电子邮件方式外传控制64556WEBMAIL方式外传控制64557MSN/文件外传控制64558文件共享方式外传控制64559离线及漫游控制645510违规客户端远程阻断655511支持穿透客户端防火墙6556移动存贮管理65561USB存储注册65562USB存储设备/软盘控制66563USB存储加密功能6857终端流量管理68571网络异常检测68572终端流量统计69573终端流量控制7058补丁分发管理71581补丁断点续传71582补丁测试71583客户端用户手工安装补丁72584补丁自动分发安装7359软件分发管理74591断点续传74592分发模式75593软件分发过程监控75510远程支持76511消息广播77512全局管理功能785121设备分组785122管理员权限管理和分组795123管理员日志审计805124报表和数据备份816系统部署及软硬件配置8461LEAGVIEW系统的部署优势8462LEAGVIEWAGENT的特点及其部署方法84621LEAGVIEWAGENT的特点84622LEAGVIEWAGENT性能参数85623LEAGVIEWAGENT支持的操作系统85624LEAGVIEWAGENT的部署85625客户机软件部署建议8663LEAGVIEW服务器部署方案8764软硬件配置清单89641LEAGVIEW服务器硬件（台，必选项目）89642NACC网络准入控制器（台，可选项目）90643补丁下载服务器（1台，可选）90644服务器软件配置917项目工作方案9271项目实施概述9272项目实施计划9373系统部署时间9474项目组织架构9475项目质量控制9776技术文档管理978附录9981联软科技公司简介9982LEAGVIEW应用案例99典型案例详细说明100_TOC301740000图表目录图1PDCA安全模型4图2LEAGVIEW的总体思路9图3LEAGVIEW终端安全与准入控制管理系架构10图4网络准入控制原理15图5LEAGVIEW网络准入控制架构16图6部署连接示意图17图7基于8021X认证和CISCOEOU认证准入控制技术对比18图8大型综合准入控制方案19图9基于8021X的SINGLEHOST准入控制方案20图10访客区网关部署21图11基于CISCONACL2IP的准入控制方案22图12远程分支机构/远程接入准入控制方案23图13NACC准入控制器方案24图14准入控制部署方案建议26图15准入控制用户身份认证策略29图16准入控制主机安全漏洞检测策略30图17二层网络拓扑图35图18设备概要信息36图19终端资产详细信息（硬件）37图20IPMAC资源管理38图21IPMAC策略绑定39图22设备IP地址历史信息40图23配置变更策略41图24单台终端的配置变更历史42图25配置变更报表43图26组织架构45图27客户端注册界面46图28客户端注册后显示的代理安装选项页面47图29客户端注册信息查看47图30可疑注册表项48图31可疑木马文件48图32常见木马进程策略49图33系统补丁及漏洞描述51图34客户端安全漏洞扫描52图35杀毒软件检测策略配置53图36事件处理预案定义界面54图37将安全策略与事件处理流程绑定55图38个人防火墙功能56图39反ARP、反DHCP欺骗策略57图40WINDOWS本地策略设置58图41终端非授权外联策略59图42网络行为审计策略61图43打印审计策略61图44主机进程安全策略定义界面63图45USB存储设备注册66图46移动存储审计策略67图47移动介质管理68图48网络异常检测配置69图49客户机流量统计明细表70图50终端流量控制71图51补丁信息72图52客户端界面显示的补丁信息73图53补丁安装信息73图54补丁自动安装策略74图55软件分发执行统计信息75图56软件分发任务执行详细信息76图57客户端远程协助77图58消息广播功能78图59设备分组配置79图60管理员权限设置界面80图61操作员日志信息81图62LEAGVIEW数据导入导出工具82图63LEAGVIEW增量自动数据备份和恢复83图64服务器热备示意图88图65服务器部署示意图89图66项目组织结构95深圳市联软科技有限公司/LEAGSOFT4服务热线40069288114_TOC301740001终端统一安全管理系统的需要_TOC301740002面临的网络安全挑战随着行业信息化的飞速发展，业务和应用完全依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍件进入桌面计算机，在计算机上安装非法软件，私自拨号上网，外来电脑接计算机网络，这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。由于的计算机网络系统复杂，设备数量众多，地理位置分散，接入网络的设备使用者身份复杂等因素导致安全管理非常困难，给的业务、办公网络的正常运行带来了巨大威胁与风险。这些威胁及风险包括无法及时发现、拒绝非法的计算机设备接入网络，非法的计算机一旦接入网络，极有可能破坏网络的正常运行，或者窃取重要数据与文件；难以对数以千计的桌面计算机进行有效的安全管理。例如对不打桌面计算机的补丁、不设置防火墙、非法拨号行为、盗用IP地址、使用与工作或生产无关的软件（运行或BT）、不更新防病毒软件病毒库等行为进行有效管理和监控，这些安全管理措施如不能具体落实，会给网络的安全运行留下大量的安全隐患。缺乏对现有计算机资产的统一管理，无法实时掌握全网所有终端系统的硬件配置和软件信息，无从了解系统安装了哪些程序，正在提供哪些服务。所有这些，都给的网络安全正常运行带来了风险。_TOC301740003建立统一的准入控制与终端安全管理系统分析面临的网络安全威胁与风险，我们认为非常有必要建立一套统一的准入控制与终端安全管理系统，实现对终端计算机设备的集中式安全运行维护管理系统，以解决如下问题实现对网络内部所有的计算机接入网络进行准入控制，防止外来电脑或者不符合规定的电脑接入网络中；建立桌面电脑的集中式快速安全管理体系，对数量众多，最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系，以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量；建立安全资产的分级管理体系，实现对不同安全级别的信息资产采取不同的安全管理；建立安全事件的流程化处理机制，确保安全事件、安全问题得到有效的跟踪、处理和解决。对维护人员的行为规范进行管理，建立各种故障的处理流程，确保信息系统一旦出现问题即会有人及时去处理、排查直至消除故障。综上所述，急需规划建立一套集中式准入控制与终端安全管理系统，以技术促业务，逐步完善IT运维保障体系，满足单位管理和业务对IT系统安全运行的需要。网络准入与终端安全管理技术方案书深圳市联软科技有限公司/LEAGSOFT服务热线4006288116第100页共109页_TOC119493025_TOC301740004LEAGVIEWUNIACCESS解决方案总体概述_TOC119493026_TOC301740005解决方案总体设计思路_TOC113095972_TOC118477835_TOC119493027_TOC301740006方案设计原则首先，作为一个“准入控制与终端安全管理系统”，LEAGSOFT联软科技认为有必要参考国际、国内的安全管理经验，来设计的“准入控制与终端安全管理系统”解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规范，目前已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。BS7799认为，设计信息安全系统时，必须掌握以下安全原则相对安全原则没有100的信息安全，安全是相对的，在安全保护方面投入的资源是有限的保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用分级保护原则对信息系统分类，不同对象定义不同的安全级别首先要保障安全级别高的对象全局性原则解决安全问题不只是一个技术问题要从组织、流程、管理上予以整体考虑、解决在设计的“准入控制与终端安全管理系统”解决方案时，非常有必要参考BS7799中的有关重要安全原则。BS7799中，除了安全原则之外，给出了许多非常细致的安全管理指导规范。在BS7799中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。建立发展发展,维护和提高维护和提高循环循环监控/评审设计和实施提高DODOPLANCHECKCHECKACTACT相关单位相关单位信息安全需求和期望相关单位相关单位管理状态下的信息安全持续安全改进_REF127503572_TOC301740382图1PDCA安全模型_TOC113095973_TOC118477836_TOC119493028的终端安全管理，也将是一个持续、动态、不断改进的过程，LEAGVIEWUNIACCESS准入控制与终端安全管理系统将为提供统一的、集成化的平台和工具，帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。_TOC301740007统一的集成化管理平台_TOC152321142_TOC118477837_TOC119493029准入控制与终端安全管理系统必须提供统一的、集成化管理平台。解决方案要向IT系统管理员提供一个统一的登录入口，有整体的终端安全视图，呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。通过统一的集成化的管理平台，管理员可以完成所有与终端安全管理维护相关的各种任务，具体包括用户身份认证，网络准入控制；网络拓扑发现，设备快速定位；终端安全审计、评估和加固功能；终端安全策略设置，包括主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等的设置。终端软硬件资产管理；终端软件及补丁管理；终端的远程管理和维护；统一的集成化管理平台对管理员的各种操作，应提供审计功能，以备事后审计。_TOC127617750_TOC138785240_TOC211685637_TOC301740008_TOC152321143支持多厂商/多平台解决方案设计的系统要能够实现对主流厂商的网络设备、多种桌面操作系统的支持，是一个采用国际、国家或者行业标准的开放系统，以便将来的网络扩容、系统升级。_TOC301740009人、计算机统一管理终端管理需要将计算机、人和组织将结合起来管理。很多计算机的管理信息需要通过人来反映，如计算机有问题时，通常需要知会计算机的用户。设置安全策略，直接设置到人比机器更加直观。_TOC301740010开放性解决方案设计的系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机的管理，是一个采用国际、国家或者行业标准的开放系统，以便能够支持升级后的IT系统管理。_TOC119493031_TOC301740011LEAGVIEW准入控制与终端安全管理系统联软LEAGVIEW准入控制与终端安全管理系统（简称为UNIACCESS）是深圳联软科技自主研发的终端安全管理产品，专门为企业和政府解决大量桌面PC安全管理而设计，在设计上遵循国际IT服务管理标准ITIL标准和IT安全管理标准ISO17799标准。_TOC301740012LEAGVIEW准入控制与终端安全管理系统简介LEAGVIEWUNIACCESS在架构上分为三个部分安装在终端上的客户端代理、LEAGVIEW后台服务、LEAGVIEW管理客户端。LEAGVIEW管理客户端采用B/S架构，构建在J2EE架构之上。客户端代理和LEAGVIEW后台服务之间采用TCP协议或者SSL协议，采用LEAGVIEW后台服务打开TCP监听端口、客户端代理主动连接的通讯模式，这样就避免客户端代理打开额外端口从而引来新的安全漏洞。LEAGVIEWUNIACCESS可以和AD服务器、邮件服务器、防病毒服务器、文件服务器、网络交换机集成，构建一体化的安全防御体系。通过LEAGVIEWUNIACCESS系统的部署，可以将整个网络划分为三个不同的区访客区、修复区和办公区。UNIACCESS可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这三个区域中。终端在不同安全区域能够访问到的网络资源是不同的访客区只能访问组织可以公开的网络资源，如INTERNET资源；修复区只能访问一下安全修复服务器资源；办公区才是可以正常访问办公需要的网络资源。LEAGVIEWUNIACCESS支持多用户管理，可以让多个管理员同时使用，不同管理员有不同的管理权限。UNIACCESS采用两维管理权限控制一是管理员可以使用的菜单功能权限；二是管理员能够管理的设备。对于每个管理员而言，他只能使用他有权限的菜单，只能看到和管理他负责的设备的运行状况。为了支持地理分布、管理职能上有上下级关系的多个IT系统的运维管理，LEAGVIEWUNIACCESS支持分级管理模式。具体来说，在桌面终端安全管理方面，提供了以下多个方面的安全管理功能网络准入控制，防止非法电脑接入支持基于8021X认证的网络准入控制；支持基于CISCONACL2/3IP认证的网络准入控制；支持基于DHCP/ARP干扰的网络准入控制；用户可以自行定义多种准入控制策略；防止有安全隐患的桌面电脑或者非授权桌面电脑直接访问内部网络。设备自动发现与资产管理自动发现网络上的所有接入设备；可依据IP/MAC/主机名以及资产的配置对接入设备快速定位；自动发现组织内所有桌面电脑的软硬件配置信息、桌面电脑网络连接信息和运行状态信息，建立资产基线；支持配置变更自动发现与报警；自动维护软硬件配置变更历史信息。桌面电脑安全主动评估，发现安全隐患自动发现存在安全隐患的桌面电脑，并提示系统管理员和用户要采取的弥补措施；桌面电脑网络流量异常评估，及时发现异常流量桌面电脑；桌面电脑安全配置评估，及时发现安全设置不完善的桌面电脑；可疑注册表项、可疑文件检查；灵活配置各种安全隐患条件；多种方式控制/限制存在安全隐患的桌面电脑接入内部网络。桌面电脑安全加固，防患于未然补丁漏洞自动修复，支持桌面电脑操作系统补丁、MS应用软件补丁自动更新、自动升级；支持登录口令强度检查、GUEST帐户检查、屏幕保护检测等桌面电脑安全加固功能；禁止各种默认共享、禁止修改IP地址、禁止修改注册表；强制安装防病毒软件与更新病毒库；禁止运行非法进程；内置桌面电脑个人防火墙，既可限制外部网络直接访问桌面电脑，又可以限制桌面电脑去访问一些不允许的网络服务；非法操作监管，让管理规定令行禁止检查桌面电脑是否安装了非法软件；支持对USB硬盘、MODEM拨号、无线通讯、红外通讯、蓝牙通讯、同时使用内外网卡等非法操作的监控、审计和禁止使用；支持对软盘、U盘、网络共享等方式外传文件的监控、审计和禁止；支持对网上聊天、BT下载的监控、审计和禁止；支持对HTTP访问、EMAIL、网络文件拷贝等行为进行审计，或禁止；支持离线管理，可以支持桌面电脑在离开网络之后安全策略仍然有效；软件分发，功能强大、快速分发在不对客户端用户造成负担的前提下，确保安全补丁和病毒特征码的正常发放和安装；支持大规模数量的客户机、大型软件的快速分发，支持MULTICAST分发、断点续传、多文件服务器等技术；支持自动安装、手动安装，支持多种打包工具和打包格式，如WISE、MSI打包。可以方便灵活地按网段、部门、IP、操作系统类型等条件选择软件分发目标。远程协助与监控，不到现场、胜过现场实时监控客户端画面；可以选择远程控制或者只监视不控制，满足各种场合的需要；可以同时监控多台客户端画面。此外，LEAGVIEWUNIACCESS支持信息资产安全分级管理，各种安全管理策略可以按照部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。_TOC301740013LEAGVIEW准入控制与终端安全管理总体思路_TOC301740383图2LEAGVIEW的总体思路LEAGVIEWUNIACCESS准入控制与终端安全管理系统对电脑终端进行安全管理的总体思路是一、通过网络准入控制技术，确保接入网络的电脑终端符合如下要求必须安装AGENT，如果是未安装AGENT的电脑终端接入网络，其打开WEB浏览器访问任何WEBSITE时，将被重定向到管理员指定的一个页面，提醒其安装AGENT。不安装AGENT的电脑将无法访问内部网络（特殊电脑和访客电脑可以例外）。必须符合网络接入安全管理规定，例如拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定，将拒绝其接入，或者通过网络对该电脑进行自动隔离，并且指引其进行安全修复。二、对安装了AGENT的电脑终端，进行进一步的管理控制，包括安全设置检查、加固，非法操作的管理、限制防止文件非法外传U盘/软盘/共享/EMAIL/MSN等电脑终端的集中式管理，例如，资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。三、要防止电脑终端私自、非法卸载AGENT或者停止AGENT的运行,确保管理策略的执行。AGENT自带反卸载、反非法中止、非法删除功能；如果电脑终端私自卸载AGENT（如重新安装操作系统）或者中止AGENT的运行，LEAGVIEW后台系统可以及时发现这种行为。企业可以依据有关安全管理规范对其进行警告或者处罚，防范这种行为的再次发生。_TOC167814238_TOC301740014LEAGVIEW准入控制与终端安全管理系统架构下图是LEAGVIEW终端安全与准入控制管理系的系统架构。_TOC138784809_TOC301740384图3LEAGVIEW终端安全与准入控制管理系架构首先，LEAGVIEW终端安全与准入控制管理系通过网络准入控制技术，对接入网络的电脑终端进行实时安全检查，检查的内容包括账户检查用户名和密码可使用统一数字证书做认证；防止外来人员私自安装一个相同的AGENT后接入网络；接入的帐号可以是AD域、EMAIL服务器、LDAP服务器或系统内置的帐号；安全设置规范检查终端的安全设置检查系统账户，包括GUEST账户和弱口令检查；WINDOWS域检查，检查终端是否加入指定的WINDOWS域；检查可写共享设置，检查终端是否设置了可写或者没有权限限制的可写共享；检查终端操作系统补丁安装情况；检查终端的防病毒安装情况及其病毒特征库是否及时升级；检查终端是否有可疑的文件或注册表项存在；检查终端是否安装了非法软件。终端注册ID检查检查终端是否在内部网络注册登记过网络准入控制确保接入网络的电脑终端是合法的、符合接入安全管理规范的电脑终端，而且是接受管理电脑终端。其次，对已经接入网络的电脑终端，可以进行进一步的安全管理和控制，包括1）安全加固对主机的账户口令、屏保口令、共享目录、自动运行的服务进行安全加固，如提示用户设置强口令、设置屏保口令，删除写共享目录，停止一些危险的服务进程等。强制接入网络的主机设备安装规定的防病毒软件，并且强制这些防病毒软件及时更新最新病毒，以加强主机设备的自身抗病毒能力。自动为客户端安装最新补丁包，加强客户端的抗攻击能力。2）安全评估管理员可以定义主机必须满足什么样的安全要求才能够具备较强的抗攻击能力，当不满足时就认为主机是有安全漏洞的，这样的主机是很容易受到安全攻击的。比如账户口令是否是强口令；目录是否有缺省可写共享；是否运行了一些危险进程；通过检查注册表发现是否有已知的间谍软件；是否安装了最新补丁包；是否安装了规定的防病毒软件并及时更新了病毒特征库。检测每个客户端的网络访问流量，确定是否有发送大量广播包、流量异常大、网络连接异常多的情况，对于这些异常情况及时向管理员报告，在大规模攻击出现之前找到根源。3）安全审计审计客户端访问INTERENT网、EMAIL、文件拷贝、FTP等，防止企业信息泄漏。审计连接在内部网络的计算机是否同时打开一些组织不允许的方式，如MODEM拨号、USB硬盘、同时跨内外网等。审计内部的计算机是否运行非法软件，是否未经许可更改计算机上的软件、硬件配置等。通过集中式控制平台，对电脑终端进行集中式的管理和设置，也可以对电脑终端进行各种批量的查询和统计。例如策略分发。集中、批量、分组对桌面电脑进行安全设置、安全状态查询。软件分发和补丁管理。集中软件分发和补丁管理减轻管理员的日常维护工作量，提高效率。如为某个部门的所有机器安装防病毒软件。远程控制。远程控制可以让维护人员不用离开办公位置就能够维护远程计算机。设备定位。对于不安全的接入网络的设备，管理员能够快速定位设备是连接在哪个网络交换机的哪个端口，是在什么物理位置、谁的设备，这样可以做出相应措施来控制攻击的扩散，如直接从网络断开这台设备。资产管理。管理员可以一目了然地知道连接到网络上的设备都是什么样的软硬件配置、有多少设备。此外，LEAGVIEW终端安全与准入控制管理系可以对电脑终端分组进行管理，例如，将财务部门的电脑和其它部门的电脑区别对待，将总经理办公室的电脑和其它部门的电脑区别对待。即按组设置安全管理策略。_TOC163445556_TOC301740015LEAGVIEWUNIACCESS网络准入控制系统_TOC163445557_TOC301740016LEAGVIEW网络准入控制部署总体介绍_TOC151530036_TOC163445558_TOC301740017准入控制系统部署的目的_TOC163445559_TOC151530037LEAGVIEW网络准入控制可以对接入网络的客户机设备进行控制，只有合法身份和满足安全要求的客户机才允许接入网络。LEAGVIEW网络准入控制可以帮助用户很好地解决如下问题防止非法的外来电脑随意接入内部网络，影响内部网络的安全；防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行；确保接入网络的客户机符合安全管理要求。帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。LEAGVIEW网络准入控制杜绝非法外来电脑接入内部网络，同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。_TOC163445560_TOC301740018准入控制系统部署后的影响部署网络准入控制服务之后，所有的桌面电脑接入计算机网络之前，都必须经过如下认证检查该电脑是否有合法的数字证书，包括文件证书、USBKEY或IC证书等多种形式；检查该电脑是否有合法的用户名密码（通过AD/LDAP服务器验证）检查该电脑是否是本单位内部的合法终端（检查电脑的硬件ID），合法的电脑硬件ID保存在管理服务器的数据库中。检查该电脑是否符合安全管理规定例如操作系统补丁是否安装、防病毒软件是否安装等。这些管理规定产生的安全策略保存在管理服务器的数据库中。网络交换机将准备接入网络的电脑终端所上传的以上各种信息转发给RADIUS服务器，由RADIUS服务器再去查询AD/LDAP服务器和数据库服务器并将查询分析的结果返回给网络交换机。_TOC301740019准入控制系统终端接入管理体系部署准入控制系统后，改变了电脑终端接入网络的行为模式。一般来说，电脑终端接入网络需要注册登记内部终端要访问网络资源之前，需要在网络上注册登记（用户账户登记、终端ID注册等），取得接入网络的权限。接入检查终端在接入网络时，准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。安全隔离如果在接入检查时，发现终端不符合安全规定，需要对终端进行隔离或拒绝其访问网络资源，例如发现是外来终端则拒绝接入或进入“访客区”网段，或者是内部不符合安全规定的终端，则让其进入“修复区”。安全通知对被隔离的终端进行通知，告知其被隔离的原因。安全修复自动引导被隔离的终端，让其修复安全设置或者进行注册登记，使得其可以正常访问网络资源。一个完整的网络准入控制系统，应该包括以上五个方面的内容，缺少其中一个或者两个方面的内容，就不是完善的解决方案，会给准入控制系统的部署和推广带来问题。联软科技的LEAGVIEW网络准入控制解决方案是一个完整的准入控制方案，可以提供以上五个方面的所有内容。_TOC163445561_TOC301740020LEAGVIEW网络准入控制方案介绍_TOC163445562_TOC301740021LEAGVIEW网络准入控制技术介绍LEAGVIEW网络准入控制的宗旨是为防止非法用户、病毒、蠕虫、新兴黑客技术等对企业安全造成危害，采用NAC，只允许合法的、安全的、值得信任的设备（如PC、服务器、PDA）接入网络，而不允许其它设备接入。在LEAGVIEW的网络准入控制解决方案中，管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表（自定义动态ACL组）。_TOC211685579_TOC301740385图4网络准入控制原理【访客区】一般情况下，定义访客区的网络资源是可以被任何用户的终端访问的，如INTERNET资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。【修复区】修复区网络资源是用来修复安全漏洞的，如补丁服务器、防病毒服务器、软件安装包服务器等，不符合组织安全策略要求的终端被限制在修复区中，强制它们进行安全修复。【工作区】工作区即是合法用户通过认证、检查并成功进入网络后，规定用户可以访问的网络资源，如文件服务器、邮件服务器、其它应用系统等。LEAGVIEW采用以IEEE8021X认证和CISCOEOU认证为核心的网络准入控制架构，如下图所示。_TOC163445672_TOC301740386图5LEAGVIEW网络准入控制架构LEAGVIEW网络准入控制架构提供了三种方法解决不同网络环境的网络准入控制（1）IEEE8021XLEAGVIEW网络准入控制的8021X实现同时支持多厂商网络设备，如CISCO、华为、3COM、锐捷等。支持IEEE8021X的SINGLEHOST、MULTIHOST、MULTIAUTH模式。特别是MUTLIAUTH模式，在有HUB的网络环境中也可以实现准入控制。（2）CISCONACIP2和CISCONACIP3作为8021X的补充，当网络中有支持CISCONACIP2和CISCONACIP3的网络设备存在时，连接在这部分网络设备下的终端可以通过CICSONAC机制来实现准入控制。（3）LEAGVIEWNACC网络准入控制器联软科技LEAGVIEWTMUNIACCESSTMNACCONTROLLER准入控制器（以下简称“UNIACCESSTMNACCONTROLLER”或“准入控制器”）是一种基于EAPOVERUDP协议技术的硬件网关型设备，专为解决非8021X和HUB接入网络环境下的网络准入控制问题而设计。_TOC301740387图6部署连接示意图下图是LEAGVIEW网络准入控制技术中，基于8021X认证和基于CISCOEOU认证的两种准入控制对比图。两种准入控制技术都可以控制对不安全终端或者外来终端对网络资源的访问。基于8021X认证的准入控制通过VLAN动态切换，将不安全的终端切换到修复区，将外来终端切换到访客区，从而实现对这些终端的访问控制；基于CISCOEOU证准入控制通过动态ACL访问控制列表，直接限制外来终端或者不安全的终端对网络资源的访问。_TOC163445673_TOC301740388图7基于8021X认证和CISCOEOU认证准入控制技术对比总之，LEAGVIEW网络准入控制架构的突出特点是以网络设备为控制设备点，但又不局限于一家网络设备厂商，能够适应各种网络环境要求。_TOC197240028_TOC228860425_TOC231839607_TOC262473952_TOC301740022企业综合网络准入控制解决方案许多大型企业公司的网络，通常是由以太网，无线LAN网络，VPN/拨号接入，以及分支机构等错综复杂的方式构成。针对这种环境，联软科技通过组合自身所支持的各种准入控制技术，来提供一个统一的，完整地解决方案。_TOC262474061_TOC301740389图8大型综合准入控制方案综合解决方案在总部核心网络安装一主一备两台LEAGVIEW的RADIUS服务器，用来作为准入控制的集中认证服务器。并且设定策略，对终端接入要求使用AD/LDAP进行身份认证，并对接入终端进行健康状况检查；对总部没有接HUB的接入层交换机启用8021X认证，实现终端网络准入控制。解决方案如下_TOC301740390图9基于8021X的SINGLEHOST准入控制方案首先，设置GUESTVLAN作为访客区，没有安装LEAGVIEW客户端的终端接入时将被切换到GUESTVLAN，GUESTVLAN与其它办公VLAN隔离，只能访问INTERNET或管理员指定的访问范围；其次，设立修复VLAN，对不符合安全策略的终端计算机，则切换到修复区，强制要求终端计算机进行修复；对于身份及安全状态均符合规定的终端计算机，允许其访问内部网络资源；对总部利用WIRELESS方式接入的终端启用8021X认证。并使用与前面相同的GUESTVLAN和修复VLAN；对于切换入GUESTVLAN中的终端计算机，通过部署在访客区内的访客网关设备，在访问HTTP内容时，将会被重定向到一个页面，提醒其安装LEAGVIEW客户端软件。受限访问应用服务器安全修复服务器合法用户符合安全要求访客区网关访客区_TOC301740391图10访客区网关部署如果是本单位终端计算机，则选择安装即可；如果是外来访客，经与管理员联系并进行访客码申请后，管理员可以授予该访客终端计算机一个访客码，确认允许访客终端接入网络的时长以及允许其访问INTERNET，但不能访问办公区域网络资源；对于总部通过HUB接入的终端计算机，如其上联的汇聚层交换机为CISCO的支持NACL2IP的设备，则可在其对应端口上启用CISCONACL2IP认证，通过下载ACL来控制不同的终端访问不同的网络资源。解决方案如下准入控制服务器备合法用户不符合安全要求受限访问应用服务器拒绝访问或通过ACL限制访问安全修复服务器合法用户符合安全要求非法接入支持NACL2IP的CISCO设备机准入控制服务器主排除的设备_TOC301740392图11基于CISCONACL2IP的准入控制方案首先，针对一些服务器，网络打印机，设置成排除的设备。这些设备不需要安装AGENT，并且不限制它对网络的访问；其次，当终端未安装代理或身份认证失败时，将会对终端应用限制型的ACL限制其对资源的访问，并且没安装代理的终端，当其进行HTTP访问的时候，会被重定向到代理的安装页面来强制终端安装代理；再次，当终端通过身份认证，当未通过健康检查时，对其应用另一限制型的ACL，只允许其访问网络内的修复服务器。仅当终端通过身份认证和安全健康状况检查时，对其应用的ACL将会允许其访问工作需要使用的资源。对于分支机构接入到总部网络时，如边界路由器为CISCO的支持NACL3IP的设备，则可在边缘路由器上启用NACL3IP认证。解决方案如下准入控制服务器主准入控制服务器备不符合安全要求受限访问应用服务器安全修复服务器非法接入总部分部合法用户合法用户非法接入受限访问,不符合安全要求远程接入拒绝访问拒绝访问_TOC301740393图12远程分支机构/远程接入准入控制方案首先，当远程终端的数据包第一次到达启用了NACL3IP的路由器并准备进行转发时，路由器会要求该终端进行身份认证和健康状况检查；AGENT会将身份认证信息和健康状况检查信息发送给路由器，由路由器转发给RADIUS服务器；其次，当身份认证不通过时，路由器将会对该终端应用ACL拒绝该终端访问总部内部资源。当身份认证通过，安全状态检查不通过，路由器将会对该终端应用ACL，只允许其访问安全修补服务器；仅当身份认证和安全状态检查都通过，路由器才会放开资源给该终端使用。对于分支机构接入到总部网络时，如边界路由器为非CISCO设备，则可通过NACC网络准入控制器进行认证。解决方案如下准入控制服务器主准入控制服务器备不符合安全要求受限访问应用服务器安全修复服务器非法接入总部分部合法用户拒绝访问_TOC301740394图13NACC准入控制器方案当一个NEWIPPACKET经过网关时，NACC判断这个电脑是否是在访问一个提醒页面或安全修复服务器（通过ACL定义），或者这是不是一个例外的IP地址（有特殊权限的IP，可以允许其直接访问预先设置的特定资源，通过ACL控制），如果是则允许这个IP包直接通过；否则，就要检查这个IP所对应的电脑是否符合企业的安全规范要求（合法的帐户、补丁安装情况、防病毒软件安装情况）；NACC通过向电脑发请求包，与终端进行交互。假如终端未安装AGENT，网关会提醒终端安装AGENT，而安装了AGENT的设备，则AGENT会将自己的身份信息和安全状态信息发送给网关，网关将这些信息重新封装，发送给RADIUS服务器，RADIUS会依据网关转发过来的这些信息，进行判断，依据判断结果，发送一个指令给网关，指令的内容可能为一个ACL名、一个重定向提醒URL、重新对该IP进行安全检查的时间。网关接收到指令后，向RADIUS下载这个ACL，并通过这个ACL来控制电脑对网络资源的访问；NACC依据LEAGVIEW后台服务器配置的策略，对各种不同情形的终端可访问的资源进行控制。当身份认证不通过时，路由器将会对该终端应用ACL拒绝该终端访问总部内部资源。当身份认证通过，安全状态检查不通过，路由器将会对该终端应用ACL，只允许其访问安全修补服务器，只有当身份认证和安全状态检查都通过，路由器才会放开资源给该终端使用。对不同网段，部门或单个终端都可以配置不同的资源访问权限。对于出差员工通过VPN接入时，可在VPN设备上或者VPN连接的第一个内部路由器上启用NACL3IP认证，或通过NACC进行认证。解决方案同分支结构远程接入解决方案。整体方案具有如下特点全面实施网络准入控制，不留安全死角；各种准入控制机制通过LEAGVIEW达到无缝集成，完全不存在不兼容问题。只使用一套产品就能实现各种准入控制。灵活性强，用户可以随意组合和选择准入控制方案，能适应各种网络环境，在各种复杂的网络环境中实现准入控制。统一认证。无论选用了多少种准入控制机制，都只需要一台LEAGVIEW服务器来完成身份认证，所有的身份认证都可以集中到一台服务器完成，有利于对帐户使用的集中审计。_TOC127593596_TOC163445563_TOC301740023网络准入控制部署方案建议下图是网络准入控制和电脑安全管理系统所有相关服务器的部署连接示意图。_TOC163445674_TOC301740395图14准入控制部署方案建议图中包含如下服务器两台RADIUS服务器。两台RADIUS服务器必须同时在线接入网络，用不同的IP地址。RADIUS服务器上只有配置文件，没有数据信息。网络交换机一旦接收到电脑终端上传的认证信息，会首先把认证信息直接送给RADIUS服务器，由RADIUS服务器去完成相关的认证工作。因此RADIUS服务器必须是双机。在网络交换机上设置两个RADIUS服务器的IP地址，在正常情况下，网络交换机会自动选择第一RADIUS服务器（主）；在主RADIUS服务器发生故障的情况下，网络交换机会自动选择备RADIUS服务器。两台LDAP服务器（如微软AD服务器，或可做身份认证的MAILSERVER）。LDAP服务器是用户已经自行部署，可以在RADIUS服务器上指定两个LDAP服务器的IP地址，这样，当主AD服务器故障时，RADIUS会自动从备份RADIUS认证。此外，每当一个电脑终端被认证之后，RADIUS服务器会将其用户名/密码等信息缓存在内存中，这样该电脑终端下一次认证时，就不再需要直接去AD认证，除非该账户的密码被变更。两台管理数据库DB服务器。正常情况下，所有的数据均实时保存在主DB上，备DB只需要在主DB更新了管理策略、录入了新的数据之后才需要和主DB同步。备DB有一个IP地址和主DB完全一致，正常情况下，备DB的这个网卡需要和网络断开；在主DB发生紧急故障的情况下，首先将主DB的网卡断开然后将备DB的网卡和网络联通，实现DB的快速切换。RADIUS服务器在启动之后，会自动从主数据库（DB）读取和准入控制相关的策略和其它信息，并缓存在内存中。这样一旦主DB发生故障，只要不重新启动RADIUS服务器，并不会立刻直接影响电脑终端接入网络（但是接入的审计信息无法实时写入DB）。_TOC163445564_TOC301740024LEAGVIEW支持的网络准入控制策略_TOC211685648网络准入控制身份认证管理LEAGVIEW网络准入控制架构支持多种身份认证方式基于8021X的身份认证和安全认证；基于CISCONACL2IP的身份认证和安全认证；基于CISCONACL3IP的身份认证和安全认证；支持VPN远程访问认证；基于数字证书的认证，包括文件证书、USBKEY或IC证书等多种方式；基于用户名密码的认证，其中用户名密码可以是AD域、EMAIL服务器、LDAP服务器或系统内置账号；LEAGVIEW网络准入控制架构可以对接入端的如下信息进行强制绑定可以用用户名密码进行最低级别的绑定；支持验证终端的硬件标识合法硬件标识的终端允许接入网络；支持验证LEAGVIEW安全助手ID合法LEAGVIEW安全助手ID的终端允许接入，LEAGVIEW安全助手重新安装后ID会改变；支持验证终端的MAC地址合法MAC地址的终端允许接入网络；支持验证终端接入的交换机及端口终端只能从指定交换机端口接入；支持验证用户名（或数字证书、USBKEY等）和终端的绑定关系用户只能通过指定的机器接入网络。_TOC211685582_TOC301740396图15准入控制用户身份认证策略_TOC211685649网络准入控制安全检查LEAGVIEW网络准入控制架构可以对接入设备的安全设置规范检查终端的安全设置检查终端的防病毒安装情况及其病毒特征库是否及时升级，如SYMANTEC等防病毒软件；检查系统账户，包括GUEST账户和弱口令检查；WINDOWS域检查，检查终端是否加入指定的WINDOWS域；检查可写共享设置，检查终端是否设置了可写或者没有权限限制的可写共享；检查终端操作系统补丁安装情况；检查终端是否有可疑的注册表项；检查终端是否有可疑的文件存在；检查终端是否安装了非法软件。_TOC301740397图16准入控制主机安全漏洞检测策略_TOC211685650网络准入控制的动态授权LEAGVIEW网络准入控制架构可以对接入的终端进行动态的授权，主要包括以下几个部分基于用户或用户所在的部门自动分发ACL进行控制；用户VLAN的动态下发，根据接入的身份或部门信息自动划分到指定的VLAN；用户权限的实时控制，对接入的终端进行实时的控制；IP地址获取策略限制，可以禁用终端对IP地址的修改；接入时段限制；接入区域限制；多网卡和拨号网络限制；代理服务器限制；MAC地址修改限制；_TOC163445565准入控制后用户接入网络的时间估计桌面电脑在接入网络的过程中，需要经过多个步骤，接入所需时间包括1AGENT（安全助手）的启动时间，该时间和桌面电脑的性能有关，因此下面的时间计算不将该时间考虑在内。2桌面电脑将认证信息上传给网络交换机。3网络交换机将认证信息送给RADIUS。4RADIUS服务器内部对所接收的认证请求信息进行检验。5RADIUS通过微软AD服务器检验用户帐户。6RADIUS将认证结果返回给网络交换机。上述步骤中，第2、3、6步骤所需的时间可以忽略（一般1毫秒以内），第4步骤的时间一般在3毫秒以内。第5步骤所需的时间可以按照如下表格估计NO认证条件估计所需时间备注1主RADIUS，通过AD验证用户名/密码300毫秒以内AD验证一般需要200多毫秒2主RADIUS，通过备份的AD验证用户名/密码5秒以内从第一个AD认证超时后，切换到第二个AD认证，切换需要5秒3主RADIUS，利用CACHE验证用户名/密码1毫秒以内4首次切换到，备份RADIUS，通过AD验证用户名/密码8秒以内主RADIUS切换到备份RADIUS需要68秒RETRANSMIT2，TIMEOUT3S_TOC301740025_TOC163445567网络准入控制系统可靠性保障由于网络准入控制服务一旦发生故障，会导致电脑终端无法接入网络，因此必须保障网络准入控制的高度