准入控制系列产品.doc

一、准入控制系列产品1、北信源网络接入控制管理系统l 产品背景 网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。与此同时基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。通过网络接入控制管理系统可以满足企业要求，将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。l 系统功能描述1) 802.1x接入认证管理；2) 虚拟强制隔离接入认证管理；3) 未注册终端接入访问区域限制（vlan限制）；4) 未安装杀毒软件等必备软件自动安装下载管理；5) 未打补丁终端接入限制；6) 运行不可信进程、服务、注册表终端接入限制；7) 未达到预定义安全级别的终端接入访问区域限制；8) 自定义终端安全接入必须的桌面运行安全环境。l 系统功能特点1) 802.1X接入认证支持市场主流交换机，支持无线AP的认证接入；2) 可以与用户现有域环境及LDAP服务器结合，实现身份认证；3) 虚拟强制隔离技术无需硬件支持，即可实现终端的强制接入认证，未注册终端网络隔离及重定向功能；4) 部署方式极其灵活，完美实现内网终端间互访权限的控制；5) 支持终端用户漫游状态下的接入控制管理。l 系统管理构架北信源网络接入控制管理系统由以下几部分组成：1) 策略服务器：系统策略管理中心，提供系统的参数配置和安全策略管理。2）认证客户端：安装在终端计算机，通过用户名和密码向认证服务器发起认证，实现正常工作区、访客隔离区、安全修复区的自动切换。3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。4）Radius认证系统 (交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。5）可选配强制注册网关（硬件）：在不完全支持802.1x的网络中可选装强制注册网关，完成未注册终端访问网页时进行DNS重定向或HTTP重定向，以达到强制注册目的。图-网络接入访问控制产品2、北信源虚拟隔离接入控制系统l 产品背景常用网络接入技术是基于802.1X接入认证管理及网关接入认证管理，但有些网络并不不支持802.1X协议，如增加HUB一类情况；而网关接入认证，不能限制非法接入终端对网络内部终端进行访问等问题，使得企业网络面临着病毒、木马、蠕虫等安全风险。针对如上问题，北信源虚拟隔离接入控制技术应运而生，在不改变原有网络结构的同时，对新接入的网络终端及非法设备得以有效管理。l 系统功能描述1) 解决HUB下接入终端问题，不依靠可网管交换机控制终端；2) 未注册终端接入网络后，强制隔离并被重定向到注册页面；3) 隔离并保护注册终端，使未注册终端无法和其通信；4) 通过安检系统，未安装杀软、补丁等软件自动下载并修复终端；5) 控制并阻断非法软件及服务，确保终端接入安全。l 系统管理架构北信源虚拟隔离接入控制系统由以下几部分组成：1) 策略服务器（VRVEDP Server）：系统策略管理中心，提供系统的参数配置和安全策略管理。2) 客户端（VRVEDP-Agent）：安装在终端计算机上，接收EDP服务器策略，并执行策略。判定是否是注册计算机，起到隔离阻断的作用。产品3、北信源接入认证网关l 产品概述北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前，对有线、无线和远程用户及其机器进行验证、授权。能够阻止未授权计算机越权访问网络资源。l 系统管理构架北信源接入认证网关整体解决方案包括三个组件：北信源接入网关根据终端注册及策略情况提供访问权限。在用户未注册前，他们均被禁止访问可信网络，或进行HTTP、DNS等重定向强制注册。区域管理器管理服务器、检查规则及策略，基于Web的中央控制台。北信源客户端程序客户端程序代理、执行安全修复、身份认证功能。l 系统功能描述北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等方案，使得未注册客户端无法访问受限网络。使网络管理员能在允许用户进入网络前，对用户及其机器进行验证、授权。该安全产品能够：1) 对未注册终端进行访问网络权限控制，可进行HTTP、DNS等重定向强制注册;2) 确认用户、用户设备和他们在网络中的身份;3) 对于终端设备网络连接流量进行控制;4) 北信源接入认证网关能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。产品具有为所有运行环境执行策略的独特能力，无需其他独立产品或模块。l 功能特点l 多种身份验证服务北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。l 集中管理北信源接入认证网关基于Web的管理控制台允许管理员为每个用户定义所需的策略类型，一个区域管理器可以管理多个接入网关。l 灵活的部署模式北信源接入认证网关提供了最广泛的部署模式，能适用于任意客户网络。客户能将该产品作为虚拟或实际IP网关，部署在边缘或中央，提供第二层或第三层客户端接入，或部署在DNS服务器前作为强制注册用的DNS网关。出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。 亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。后值倾覆，受任于败军之际，奉命于危难之间，尔来二十有一年矣。先帝知臣谨慎，故临崩寄臣以大事也。受命以来，夙夜忧叹，恐托付不效，以伤先帝之明；故五月渡泸，深入不毛。今南方已定，兵甲已足，当奖率三军，北定中原，庶竭驽钝，攘除奸凶