天珣产品培训——准入控制功能原理介绍-V1.0课件

1、天珣内网安全风险管理与审计系统准入控制原理,启明星辰 2013.9,天珣产品培训准入控制功能原理介绍-V1.0,Page 2,天珣准入控制最佳实践,网络层准入控制 接入层802.1x 汇聚层 EOU 网络边界网关联动 应用层准入控制 通用准入 DNS准入 ISA准入 IIS准入 Web准入 终端层准入控制 客户端准入 ARP 准入,应用层,DNS准入,Web准入,IIS准入,ISA准入,Inernet,网络层,终端层,通用准入,EOU,802.1x,网关联动,客户端准入,ARP准入,天珣产品培训准入控制功能原理介绍-V1.0,Page 3,目录,1、网络准入,2、应用准入,3、终端准入,天珣产

2、品培训准入控制功能原理介绍-V1.0,Page 4,网络准入,1、接入层准入802.1X准入（有线或无线,2、汇聚层准入EOU准入（思科设备,3、网关型准入天珣与天清汉马网关联动,天珣产品培训准入控制功能原理介绍-V1.0,Page 5,系统角色,天珣产品培训准入控制功能原理介绍-V1.0,Page 6,受控端口和非受控端口,验证者系统,非受控端口,受控端口,未被授权 的端口,LAN,验证者系统,非受控端口,受控端口,授权的端口,LAN,天珣产品培训准入控制功能原理介绍-V1.0,Page 7,端口控制模式,天珣产品培训准入控制功能原理介绍-V1.0,Page 8,工作原理,请求者系统,请求者

3、PAE,验证者系统,验证者PAE,LAN/WLAN,验证服务器系统,验证服务器,验证者系统提供的服务,承载在高层协议中的EAP报文,未被授权的端口,天珣产品培训准入控制功能原理介绍-V1.0,Page 9,802.1x的协议流程,天珣产品培训准入控制功能原理介绍-V1.0,Page 10,天珣802.1X 准入控制,1,5,4,3,2,6,天珣客户端,支持802.1x的交换机或无线AP,天珣Radius服务器,目录服务器,1,天珣客户端发送身份认证信息给交换机（借助802.1x协议,2,交换机将认证信息转发给Radius服务器,3,Radius服务器收到信息开始验证工作，与目录服务器交互，确认

4、用户权限,4,目录服务器将用户身份认证的结果反馈给Radius服务器,5,Radius服务器根据验证的结果通知交换机是否打开端口,6,将认证结果告知EPOS客户端,天珣产品培训准入控制功能原理介绍-V1.0,Page 11,802.1x端口受控模式,Port-Based 一个交换机端口只要有一台终端认证通过了，所有终端都能获得访问授权 Cisco交换机 支持MAC-Based的交换机 MAC-Based 一个交换机端口下接的每台终端都需要分别认证通过，才能获得访问授权 H3C 华为 锐捷 其他国内交换机,天珣产品培训准入控制功能原理介绍-V1.0,Page 12,天珣支持的认证条件类型,Use

5、rname/Password 可信MAC IP-MAC组合 User-IP-MAC组合 认证有效期 GUID（电脑的物理信息） 数字证书（文件类型或UKEY） 交换机端口 天珣服务器设置的安全状态,天珣产品培训准入控制功能原理介绍-V1.0,Page 13,天珣支持的局域网和用户类型,局域网类型 有线局域网 无线局域网 用户认证类型 AD域 OpenLDAP 天珣本地用户,天珣产品培训准入控制功能原理介绍-V1.0,EOU准入控制数据交互,1,7,6,5,4,2,天珣客户端,Cisco汇聚层网络设备,认证服务器,目录服务器,1,客户端发送IP数据包至Cisco汇聚层设备,2,Cisco汇聚层设

6、备通过EAPoUDP要求客户端发送认证信息,3,客户端通过EOU将认证信息发送给Cisco汇聚层设备,4,Cisco设备将客户端认证信息通过Radius协议转发给认证服务器,5,认证服务器收到信息开始验证工作，与目录服务器交互，确认用户权限,6,目录服务器将用户身份认证的结果反馈给认证服务器,企业网络,3,7,认证服务器根据认证结果发送允许或拒绝接入的ACLs/URL redirect,8,Cisco设备反馈认证结果给客户端,8,9,9,客户端将被授权/拒绝/访问重定向或者隔离,天珣产品培训准入控制功能原理介绍-V1.0,EOU准入控制过程图示,天珣产品培训准入控制功能原理介绍-V1.0,网关

7、联动数据交互,终端访问USG保护区域，流量经过USG,USG向天珣策略网关代理请求终端状态,代理向终端发送SecureCheckCC，并等待终端响应,终端响应代理的检查请求或未响应，后者代理等待超时,代理将检查结果告知策略网关,终端安装客户端且安全状态符合要求则放行该访问,终端未安装客户端或安全状态不要求，则重定向访问,被重定向的客户端访问修复服务器,天珣产品培训准入控制功能原理介绍-V1.0,开启UTM联动的准备工作,1、统计ip电话的ip地址 2、统计网络视频终端的IP地址 3、统计POSS机的IP地址 4、UTM上联设备和下联设备的互联地址 5、统计其他非正常windows操作系统设备的

8、IP地址 6 、IDS/UTM管理地址。 7、天珣主/备服务器的IP地址,天珣产品培训准入控制功能原理介绍-V1.0,Page 18,应用准入,1、通用准入,2、DNS准入,3、ISA准入,4、IIS准入,5、WEB准入,天珣产品培训准入控制功能原理介绍-V1.0,天珣通用准入控制,终端访问受网关保护的应用服务器,天珣网关组件向天珣策略网关代理请求终端状态,代理向终端发送SecureCheckCC，并等待终端响应,终端响应代理的检查请求或未响应，后者代理等待超时,代理将检查结果告知策略网关,终端安装客户端且安全状态符合要求则访问进行,终端未安装客户端或安全状态不要求，则重定向访问,被重定向的客

9、户端访问修复服务器,天珣产品培训准入控制功能原理介绍-V1.0,DNS准入部署示意,旁路式DNS准入,在线式DNS准入,DNS指向互联网上的DNS服务器,DNS指向内部DNS服务器,天珣DNS准入 同时支持旁路式和在线式两种模式 对于未安装客户端的终端，任何DNS请求都解析为下载服务器的IP地址 对于已安装客户端的终端，由客户端准入实施进一步的控制,天珣产品培训准入控制功能原理介绍-V1.0,天珣DNS准入数据交互,终端向DNS服务器发送解析请求，请求包中包含了终端的状态标识,安装了客户端并且安全状态符合要求则得到正确的响应,未安装客户端的终端得到的响应为修复服务器地址,不合规终端访问修复服务

10、器,天珣产品培训准入控制功能原理介绍-V1.0,ISA准入控制,天珣产品培训准入控制功能原理介绍-V1.0,ISA准入数据交互,终端通过ISA代理进行HTTP访问,天珣ISA过滤器插件向天珣策略网关代理请求终端状态,代理向终端发送SecureCheckCC，并等待终端响应,终端响应代理的检查请求或未响应，后者代理等待超时,代理将检查结果告知策略网关,终端安装客户端且安全状态符合要求则访问进行,终端未安装客户端或安全状态不要求，则重定向访问,被重定向的客户端访问修复服务器,天珣产品培训准入控制功能原理介绍-V1.0,IIS准入数据交互,终端访问以任意端口提供服务的IIS应用,天珣IIS API插

11、件向天珣策略网关代理请求终端状态,代理向终端发送SecureCheckCC，并等待终端响应,终端响应代理的检查请求或未响应，后者代理等待超时,代理将检查结果告知策略网关,终端安装客户端且安全状态符合要求则访问进行,终端未安装客户端或安全状态不要求，则重定向访问,被重定向的客户端访问修复服务器,天珣产品培训准入控制功能原理介绍-V1.0,WEB准入控制流程,天珣产品培训准入控制功能原理介绍-V1.0,Page 26,终端准入,1、客户端准入,2、ARP准入,天珣产品培训准入控制功能原理介绍-V1.0,客户端准入,接收到访问包,自身安全状态检查 补丁？ 病毒码？ 运行软件,检查对方是否运行了客户端软件,应用程序访问网络,自身安全状态检查 补丁？ 病毒码？ 运行软件,终端被访问,终端访问网络,天珣产品培训准入控制功能原理介绍-V1.0,ARP准入,接收到ARP