360网络安全准入系统技术白皮书-V3

1、页眉内容360网络安全准入系统技术白皮书奇虎360科技有限公司-0-四年十一月360网络安全准入系统技术白皮书更新历史编写人日期版本备注刘光辉WU12补充S02.li页眉内容U第一章目录前言第二章产品概述21产品构成22设计依据第三章功能简介63.1网络准入(辽认证管理(辺保护服务器管理(乜2例外终端管理6*9I6血认证服务器配置 6血入网流程管理乜j访问控制列表血血准入新血血.11乜3设备管理33用户管理胡1认证用戸管理熬？注册用户管理孰1用户终端扫描3策略管理UJ策略配置箱系统管理切系统配置辽2接口管理切路由管理U4服务管理顶软件升级irOfIk系统日志.逍违规访问述心跳日志貓认证日志址!

2、也11认证日志第四章产品优势与特点第五章产品性能指标j.l测试简介垃被测设备硬件配置j3：0U(抓包性能指标第 / 早 严iki JT n|暑 6l：O解决方案 11$丄1部署拓扑n泛基本原理13S213WI1CZ作流程图13$22规匸作流程图详述U$22.1刑流程一部署U$222城W流程二部署U$22影8IU（流程三部署U页眉内容第一章前言网络信息化的飞速发展为用户内网管理带来新的问题和挑战，主要体现在以下几方而：1）外来终端随意地访问网络，不设防；2）内网中的用户可以随意地访问核心网络，下载核心文件；3）不合规终端也可以接入到公司核心服务，对整个网络安全带来隐患： 针对以上问题以及诸多安全

3、隐患，涮互联网安全中心凭借多年信息安全领域的 技术积淀，推出了基于终端应用的准入系统（简称mc）o制皿是一套配合徹天擎终端安全管理系统的安全准入解决方案，它基于用户核心服务保 护模式，对非法访问用户核心服务的终端进行管控和限制，并对非法用户强推终端管控软件, 从而实现了一套从网络到终端的立体准入系统。第二章产品概述姗乂是由划互联网安全中心开发的，具有自主知识产权的准入产品。该产品采用旁路部 署方式，采用炯自有技术，对企业内网数据流进行合法性检査并及时阻断非法连接。21产品构成制皿是由硬件准系统配合天擎客户端组成的，硬件准入系统同时提供腐架构的系统管理 平台供用户对系统进行全方位配程与管理。肚设

4、计依据信息安全技术信息系统安全等级保护技术要求（GHT测那）涉及国家秘密的信息系统分级保护技术要求（KB1；-2006）信息安全技术终端计算机系统安全等级技术要求（G1T6加6）信息技术安全技术信息安全管理体系要求（GBT22O釧门信息技术安全技术信息安全管理实用规则（6灯刻$1刎）第三章功能简介SJ网络准入制皿网路准入控制系统通过安装天擎-入网、注册-入网、注册-安装天擎-入网，三 种方式灵活实现企业需要的准入方式。炽认证管理辺保护服务器管理支持将服务器IP添加至保护服务器管理，该服务器即刻被保护，未安装天擎的终端将不 能访问被保护的服务器。122例外终端管理支持将终端IP添加至例外终端管理

5、，该终端将不受准入策略限制，无论是否安装天擎客 户端都可访问被保护的服务器。血重定向设置支持识别自泄义呦协议端口。支持终端分发地址配置。支持服务器管理地址配苣。血认证服务器配置支持本地LDAP连接。支持第三方LD1P连接。支持Hind恥AD域连接。此4入网流程管理支持安装天擎客户端后入网方式。支持注册、LDAP账号认证、师俪训域账号认证后入网方式。支持注册、LDAP账号认证、师俪山I域账号认证并安装天擎客户端后入网方式。125访问控制列表支持将网络划分为三个区域（保护区、可信区、非法区）灵活的限制区域间的数据的流 动。辽8皿准入支持血欺骗方式实现网络准入。支持网络终端扫描功能。新也初I支持镰自

6、主研发的H端血.11客户端。支持针对P（终端进行S02.li认证入网合规性检査。支持合规性检查的策略自左义（普通检查项、关键检查项）。支持根据管理员的策略自左义给予用户认证成功后的打分功能。支持Pf端闻.IX认证后的日志记录功能，同时记录通过认证的交换机端口。 支持用户进行S02.1X认证账户自主注册。血设备管理支持展示交换机的基本状态信息，如接口列表、端口状态、端口类型、端口所属1口、 端口 d疝状态。翳用户管理311认证用户管理支持本地LDAP用户的添加删除修改。支持第三方LD1P用户数据的査看。M2注册用户管理支持手动确认用户注册。支持自动确认用户注册。支持取消用户注册。1U在线用户管理

7、支持在线用户轲、用户IP、用户血地址与用户最近检测时间査看。用户终端扫描支持跨路由器扫描在线P仁14策略管理策略配置支持针对pt终端的远程桌面、文件共享、特左软件、特泄进程等功能的状态（启用或禁 用）进行准入控制。舫系统管理辽1系统配置支持密码修改。支持系统时间查看修改。312接口管理支持接口叭血、类型、启用状态、连接状态查看。支持接口 IP地址修改。支持接口状态、类型修改。路由管理支持路由信息的添加与删除。U4服务管理支持系统服务器的停止、启动与重启谢软件升级支持页而操作方式升级镰网络安全准入内核。15J天擎联动支持针对天擎联动，完成对用户终端的全方位保护。社系统日志系统日志包括违规访问日志

8、、心跳日志、认证日志三大类。怕违规访问支持违规访问的四元组信息、访问时间的查看、查询与删除。说心跳日志支持心跳日志记录查询与删除M3认证日志支持本地mip、第三方uiap、师俪皿域认证记录查询与删除。址4妙认证日志支持血.15成功或失败认证记录的查询与删除。第四章产品优势与特点基于标准旁路部署，对用户网络没有任何影响 基于自有旁路重左向技术，方便自动分发 14页眉内容支持第三方LBAP和AD域认证。和360天擎无缝融合，提供天擎网络准入功能。 阻断策略配置灵活，可以满足多种场景。支持无客户端准入方式。第五章产品性能指标il测试简介测试LI的在于对涮n（进行压力性能测试结果分析，评估出制皿的整体

9、性能。 主要测试涮皿镜像接口的抓包能力，分别测试单接口以及整机的抓包性能12被测设备硬件配置型号XUUC-5BIurnuimiAC-mi主板氐砌高）iwi；猱中）xsAim(低)1726001cm恼内存MDDR34H)创瓏的卅 1)(T卡16*1ii1G1硬盘aOOGBWjOOGB接口1光6电2光6电j电抓包性能指标交横帆mm愎wU图1性能测试拓扑图平台抓包能力邮）非保护网纟:心跳心跳reset/http-302安装客户端安装客户端 安装客户端未安装客户端2G1130第六章产品应用部署解决方案山部署拓扑当前解决方案是着眼于国税项目，使用阻断方式来干扰终端正常网络访问，来达到准入 功能。其网络部署及数据流如下图：0 II2硬审辰豪八-1360NAC泄基本原理121测工作流程图辽2JO工作流程图详述蚀廉皿流程一部署只有安装天擎客户端的PC才有权限访问受保护服务器。L用户访问受保护服务器打开终端分发页而。2点击链接，下载并安装天擎客户端，之后用户P（可正常访问受保护服务器。页眉内容U223HUC流程二部署用户经过注册、管理员确认、下载并安装天擎客户端后才能访问受保护服务器。1.客户Pt访问受保护服务器，打开注册页面，填写用户真实信息并提交。I 管理员确认用户注册。