北信源网络接入控制管理系统白皮书v30

北信源网络接入控制管理系统品白皮书北京北信源软件股份有限公司版权声明 本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有， 未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾 向或其他暗示。商标声明 本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版 权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。产品声明 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异， 由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。免责声明 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其 员工均不承担任何责任。目录1. 系统概述 42. 系统架构 43.系统组成 53.1.策略服务器 63.2.认证客户端 63.3. Radius 认证服务器63.4. Radius 认证系统63.5.硬件接入网关（可选配）74.系统特性 74.1.全面的安全检查74.2.技术的先进性74.3.功能的可扩展性74.4.系统可整合性84.5.无缝扩展与升级85.系统功能 85.1.准入身份认证85.2.完整性检查功能95.3.安全修复功能95.4.管理与报表95.5.终端安全策略设置 106.典型应用 116.1. 802.1X 环境应用116.2. 非802.1X环境应用126.3. VPN环境应用136.4. 域环境应用131. 系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制 不被间断，使网络安全得到更有效提升。与此同时，还可以对于远程接入企业内部网络的计算机进 行身份、唯一性及安全认证。通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有 协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备 离开企业网络时，仍能有效的提供终端设备接入控制的执行。北信源网络接入控制管理系统可以保护整个企业内部网络，包括可管理的（企业台式机、手提 电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端安全接入内部网络，保护网络 接入的安全性。2. 系统架构网络准入控制能够勾勒企业终端接入的安全基线，屏蔽一切不安全的设备和人员接入网络，规 范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求 （防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等）的终端设备，能够禁止其访问 网络，或进行网络 VLAN 隔离，并主动对其安全修复。北信源网络准入控制管理系统策略架构由安 全检查、接入认证和安全修复三个方面实现。其模型如下图：身得认证网络接入控制安全访问模型安全检查根据系统进程、文件、注册表等设置的检查结果来判断： 用户身份是否合法主机防火墙是否安装并运行防病毒软件是否安装并运行，病毒特征库是否及时更新操作系统关键安全补丁是否安装操作系统安全配置是否妥当是否感染特定病毒实体是否安装违规软件接入认证根据上述检查结果，通过服务器和网络设备以及终端PC联动来决定： 拒绝终端/用户接入容许终端/用户接入A 隔离终端/用户（单机隔离，VLAN隔离）限制终端/用户访问权限安全修复在隔离或限制接入的情况下，还可以通过自动修复来恢复正常的网络访问权限。修复的内容包括：自动开启IE，连接内部安全网站上相关的提示页面A自动分发病毒专杀工具自动升级病毒特征库自动分发操作系统关键补丁自动纠正错误的系统配置3. 系统组成北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证 系统，以及硬件接入网关（可选）几部分组成。3.1.策略服务器策略服务器是本系统的策略管理中心，提供系统的参数配置和安全策略管理。安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、 数据报表输出等任务。3.2. 认证客户端认证客户端安装在终端计算机，根据用户名和密码向认证服务器发起认证，能够根据策略服务 器分发的安全策略对终端主机进行安全检查，依据获取的主机的安全状态，配合认证系统，实现工 作区、隔离区、修复区的自动切换。隔离区域1 可信区域认证请求客户端宣全修宜服务器 （防:病酬卜丁會理等）jRadius认证服务1黠 t丰删凋议迎备网和irww *i i强制注册;一；准入认证；安全修复策略服务器 (VRVEDP server)强制注册服务器CAutogate）网络接入认证控制示意图3.3. Radius 认证服务器Radius认证服务器用于接收客户端认证请求信息数据包并进行验证，根据网络环境可使用微 软的 IAS, CISCO ACS 或 LINUX FREE RADIUS 等系统。3.4. Radius 认证系统Radius认证系统为可网管支持802.1x的网络设备（交换机），由该认证系统接收认证客户端 的认证请求数据包与Radius认证服务器完成认证过程。802.1X利用了交换LAN架构的物理特性，实现了 LAN端口上的设备认证。在认证过程中， LAN端口作为请求者，LAN端口则负责向认证服务器提交接入服务申请。基于端口的锁定只允许 信任的 MAC 地址向网络中发送数据，而来自任何“不信任”的设备的数据流会被自动丢弃，从而确 保最大限度的安全性。在不支持802.1x协议的网络中，看选配专用硬件设备为强制注册网关。3.5. 硬件接入网关（可选配）在不完全支持802.1x的网络中可选装硬件接入网关，完成未注册终端访问网页时进行DNS重 定向或HTTP重定向，以达到强制注册目的。基于HTTP重定向、DNS重定向等技术，用于强制网络 中每台计算机终端必须安装认证客户端程序的服务器，该服务器根据网络环境不同，部署在不同的 位置，确保网络中每台终端能够安全认证客户端程序。4. 系统特性4.1. 全面的安全检查全面支持对客户端主机的各种安全检查，除基本的安全检查项外（补丁、杀毒软件、注册表、 进程等），可以有管理员自定义制订检查安全检测任务。4.2. 技术的先进性系统基于国际化的工业标准，结合北信源内网安全管理技术，在构架上从管理、安全、运维等 多个方面进行全方位的网络安全保障，功能先进、完善、细致，其中流量分析、统一主机防火墙、 统一杀毒软件监控、进程和注册表监控保护等多项桌面安全管理技术均领先业界，部分技术代表了 行业的发展方向。4.3. 功能的可扩展性准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外，还 提供多种数据接口和二次开发接口。由于策略结构采用的是XML解释性语言，功能扩展十分迅速方 便，可根据实际需要快速进行功能定制，也可根据需要与相关的系统（如网管系统、安全管理平台 SOC 等）进行联动和数据交换。4.4. 系统可整合性尤其是对于本系统，类似在终端计算机安装Agent的软件非常多，如防病毒软件、桌面管理软 件、远程维护软件、主机审计软件等，如何使这些软件在一台计算机上充分发挥效用，不是简单的 功能叠加问题，而是一个软件二次代码扩展开发的问题，必须选择在国内具有强大的本地化研发实 力的安全软件厂商。4.5. 无缝扩展与升级北信源网络接入控制管理系统采用 C/S 与 B/S 混合模式设计，支持集中式和分布式部署，确保 部署构架的通用性，并具有模块化软件定制的特点，支持标准API,具有无缝功能扩展与平滑稳定 升级等优点。同时，系统具有良好的兼容性，能够同现有各种防病毒等终端主机类软件兼容运行。5. 系统功能5.1. 准入身份认证 支持802.1X协议接入认证：通过对支持此协议的交换机进行管理，配合RADIUS服务器和 认证客户端，利用交换LAN架构的物理特性，实现LAN端口的设备认证。 结合北信源接入认证网关，可以支持非网管交换机、集线器等不支持802.1X协议的网络设 备接入的终端，支持设备入网认证。 系统认证方式支持单用户、多用户、域用户等模式：单用户模式可以保证终端设备必须安 装认证客户端才能接入网络；多用户模式除了保证终端设备必须安装认证客户端外，还要 求用户拥有正确的用户名及口令方可以接入网络；域用户模式支持系统自动采用域登陆用 户密码进行身份认证，将网络接入认证同域认证有效结成一体。 系统认证协议支持：支持 MD5 等多种标准加密认证方式，并可使用自定义扩展的通讯协议， 提供对第三方终端发起的非法认证过滤。 绑定认证控制：Radius认证支持交换机端口同计算机MAC/IP、用户名绑定接入控制，可以 指定人员及计算机只能在指定交换机的特定端口登陆接入网络。 802.1X协议接入认证支持无线网络设备认证，支持远程VPN接入身份认证，用户通过VPN 或者 RAS 拨号方式远程拨入网络时，必须经过身份认证方可以接入网络。 支持DHCP动态IP环境及静态IP网络环境认证。5.2. 完整性检查功能支持操作系统（操作系统、IE、应用程序、反病毒升级库等）补丁完整性检测。 支持防病毒软件/主机防火墙（业界主流厂家）的安全检测，并能进行新软件动态增加，必 要时可以远程开关/管理主机安全软件。 支持自定义安全项检测（如进程、服务、软件、文件等）。 支持安全状态检测（如口令强度、权限、注册表安全等）。 支持多种安检失败处理方式，如直接进入正常工作区，或者进入正常工作区后间隔提示用 户安全失败。支持当安检失败时直接进入修复VLAN，或者安全失败后隔离出网络。 支持自定义周期完整性安全检查，确保工作区域终端的实时安全性。5.3. 安全修复功能 VLAN隔离修复:系统对于未通过安全检查的终端，自动将其隔离到修复VLAN，进行安全修 复，修复完成后自动进入正常工作 VLAN。 在线隔离修复:系统对于未通过安全检查的终端，可在正常工作VLAN中进行安全修复，修 复过程中只能与特定服务器通讯，访问资源受限。 修复内容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升级、安全状态修复（如口令强度、权限、注册表安全、流量异常等）。 当终端安全检查未通过时，管理员可以自定义提示信息或者打开指定 URL 地址进行安全修 复。5.4. 管理与报表 安全策略配置管理：完整性安全策略由管理员统一制订，自动分发至认证客户端执行，策 略分发可以灵活设置，根据网络环境和管理进行制订/执行。网络分组管理：支持网络终端主机IP自定义分组，按部门、区域、业务类型等方式进行划 分管理范围，为策略分发和客户端管理提供依据。 认证客户端配置管理：认证客户端运行参数配置可以在策略服务器配置，管理员可控制认 证客户端注册密码、注册人、注册部门等信息填写。 系统维护管理：支持对系统管理员的分权管理（超级用户、普通用户和审计用户），为不同 级别管理员提供角色权限定义，具有安全性高、可靠性强，适合集中授权、多角色参与监 控的特点。 报表管理：支持各类数据（认证信息、安全策略、设备状态等）统计，并能生成多种分析报 表，提供丰富的报表模板，按不同部门、不同操作系统提供报表；报表输出支持以网页的 方式展现，提供链接可在各项查询功能中跳转，报表输出支持.txt/.htm/.doc等格式，同 时可根据需要输出柱形图、饼图等。系统报表可根据用户定制模板产生各种形式的定制报 告，并支持第三方管理工具集成。 报警处置管理：当系统发生安全事件时候，如非法认证、安检未通过等事件时候，系统提供声音、图形、短信等报警方式，支持SNMP协议，在必要时提供相应的MIB库文件、通信 规程和编码，能够与其它安全系统协同工作。系统遵循TCP协议/IP、SNMP、HTTP、FTP等 相关的国际标准或工业标准，支持对网络设备厂商管理工具的集成，具有开放的 API 接口。5.5. 终端安全策略设置北信源网络接入控制管理系统提供强大的终端主机完整性安全检查功能，系统通过准入控制与 终端主机安全策略的联动，实现风险主机的自动隔离与修复，从而确保网络的安全运行。管理员在系统服务器控制台配置的各种终端安全策略，下发到网络合法终端主机执行，终端代 理程序自动根据策略检查系统的完整性安全，一旦发现主机存在安全威胁和漏洞，准入注册终端代 理程序自动执行隔离/修复操作，将风险终端主机跳转到网络隔离区域或者修复区域。终端完整性 安全检查策略：主机系统安全:操作系统补丁漏洞、用户名权限变化/弱口令、目录共享、注册表安全、IP/MAC 绑定、防火墙/防病毒软件检测、系统文件/目录保护等。 主机应用安全：软件进程/服务监测、黑白名单软件安装、流量异常等。 主机行为安全：非法外联监测、非法资源访问控制、资源输入输出控制等。 主机安全修复：补丁自动修补、杀毒软件/个人防火墙强制安装、病毒库自动升级、系统应 用程序修补、系统应用配置修改等。 硬件资产状态合规：资产变化、违规设备启用等。北信源网络接入控制管理系统采用统一策略管理中心实现对内部网络终端完整性安全检查的 统一管理。策略管理中心内置终端安全防护需要的所有完整性安全检查策略库，提供对计算机终端 的安全规则配置，安全功能策略开启/关闭，安全策略执行范围/周期设定等一系列安全措施的管理， 同时能够很方便的进行策略导入导出。策略的属性设置是由管理员在策略管理中心中设定，通过设置策略的开启、关闭，执行范围、 时间周期以及策略级联等参数项实现。6. 典型应用6.1. 802.1x 环境应用北信源网络接入控制管理系统提供对各种支持802.1x协议网络交换机以及无线AP交换设备的 准入控制，支持在DHCP动态IP环境及静态IP网络环境下的接入认证。北信源网络接入控制管理系统通过对交换机和认证终端的配置，支持单用户、多用户、域用户 三种方式的密码认证方式，管理员可以自行设置用户名、用户密码。1）单用户密码认证：网络中计算机可以通过同一帐户进行网络准入认证，由管理员统一设置 认证终端的用户名和密码，终端自动发起认证。2）多用户密码认证：支持终端计算机用户手工填写用户名和密码。3）域用户密码认证：支持在没有登陆域的情况下进行网络准入认证。密码认证协议支持 MD5 等标准加密认证方式。系统支持对超级用户、黑名单用户的自定义认证 方式，超级用户终端始终可以通过系统的认证，而黑名单用户始终无法通过认证。系统还提供对第 三方终端认证的过滤，防止通过非法终端的认证接入。策唯盟务寄抉蛰点IM)IIX基于802.1X协议的认证示意图际 r- p(根抹用LiHil如1WLANE DP Age nt|jPos tu re 陵验过 $ 11EDPA祝個虚检金十粧轶旳h：kii . |匚竝：卅心疔l；d別I名认：国-果也抑放AA/LAN （即41：世辽认证.-rr ll -.1-VLAN：re丿H 做轶 IB02.1 x ( eV n RADIUS 州 VLAN) 、 EDPAgenti/ JrrJTr PostureHR島 h lJA .一f 认ii7i 1/. ,咽：.Posturo哈ff决疋郴入旳ACL（如果Pgtu晖糕代不it过则分忙相应iTJi扩薛bmiWACL. 注：802.1x协议是基于Client/Server的访问控制和认证协议，能够实现交换机主动认证接 入的PC，它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供 的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x 只允许EAPoL （基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正 常的数据可以顺利地通过以太网端口。6.2.非8021x环境应用对于很多网络来说，有些接入层设备（如：交换机和HUB）不支持802.1X协议，无法对网络 终端进行准入控制，如果将网络中所有不支持 802.1X 协议的交换机淘汰掉，或者对所有交换机进 行升级的话，将会带来更多的成本支持和维护工作，为此，可以通过选配北信源接入认证网关来实 现上述环境的准入控制。北信源接入认证网关支持非网管交换机、集线器等不支持802.1X协议的 网络设备的终端接入认证。北信源接入认证网关放置在网络出口处或者重要WEB应用服务器前，利用网络终端进行HTTP 方式访问外网，或者WEB服务器的同时，对内网的终端进行HTTP重定向强制认证，并进行安全检 查，根据检查情况，将内网终端访问强制定向到信任区域、修复区域、隔离区域。63VPN环境应用对于使用VPN和RAS拨号方式的远程接入企业内网的终端，如果没有安装认证客户端，容易成 为整个网络管理的遗漏点，这些终端存在很大安全隐患，给安全平静的网络带来病毒、蠕虫、木马 等攻击的威胁。北信源网络接入控制管理系统能够控制远程接入终端对内网的访问范围，检测远程终端主机是 否运行了认证客户端，并进行安全认证；还能通过策略控制对终端进行定期进行认证（如：每 N 分钟），防止终端合法用户离开后，非授权用户随意访问内部资源。对于使用VPN和RAS拨号方式的远程接入企业内网的同样可以进行安全检查;对于没有通过的 终端进行修复；同时限定终端对网络资源的访问范围，修复后可以进行相应的访问。6.4. 域环境应用很多单位网络使用域来进行用户身份认证，在域用户身份认证通过后，才能够接入到网络，因 此，支持同域服务器的结合，才能实现满足用户的真实身分认证需求。域用户模式支持系统自动采 用域登陆用户密码进行身份认证，将网络接入认证同域认证有效结成一体。终端在没有登陆域的情况下进行网络准入认证，准入客户端程序先行获取终端用户输入的域用户名 和密码进行自动认证，802.1X身份认证成功后网络联通，再实现域的身份认证。鞠躬尽瘁，死而后 已。诸葛亮