当前位置:文档之家 › 北信源-终端准入控制系统

北信源-终端准入控制系统

  • 格式:doc
  • 大小:62.50 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

北信源网络接入控制系统工作原理与功能对比

北信源网络接入控制系统工作原理与功能对比

北信源⽹络接⼊控制系统⼯作原理与功能对⽐北信源⽹络接⼊控制系统⼯作原理与功能北京北信源软件股份有限公司⽬录1.整体说明 (3)2.核⼼技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准⼊控制技术 (4)2.3. 旁路⼲扰准⼊控制技术 (6)2.4. 透明⽹桥准⼊控制技术 (7)2.5. 虚拟⽹关准⼊控制技术 (7)2.6. 局域⽹控制技术 (8)2.7. ⾝份认证技术 (8)2.8. 安检修复技术 (9)2.9. 桌⾯系统联动 (9)3.产品功能对⽐ (9)1.整体说明准⼊⽹关对接⼊设备进⾏访问控制,对于未注册⽤户进⾏WEB重定向进⾏注册;注册后的⽤户进⾏认证或安检后可以访问⽹络;管理员可以配置采取何种准⼊控制⽅式,如策略路由,旁路监听,透明⽹桥,虚拟⽹关等;同时可以选择使⽤不同的认证类型,如本地认证,Radius认证,AD域认证等,⽽认证途径采取⽹关强制重定向;准⼊⽹关整体上对准⼊的控制可分为两类,⼀类是⽹关⾃⼰控制数据的流通,另⼀类则是通过配置交换机,让交换机来控制数据包的流通。

⽬前准⼊⽹关实现的策略路由和旁路监听,透明⽹桥等准⼊控制均属于前者,也就是⽹关⾃⼰通过放⾏或丢弃、阻断数据包,来达到准⼊控制,对于数据包的阻断是基于tcp 实现的;⽽虚拟⽹关则是通过控制交换机VLAN来达到准⼊控制;2.核⼼技术为了适应不同业务环境下的统⼀⼊⽹控制,北信源⽹络接⼊控制系统采⽤多种核⼼技术设计,⽀持多种准⼊控制模式,实现从多⾓度多维度的终端⼊⽹安全控制。

2.1.重定向技术接⼊控制的⽬的是为了阻⽌不可信终端随意接⼊⽹络,对于不可信终端的判定需要⼀个过程,如何在判定过程中进⾏良好的提⽰,这就对产品的⼈机界⾯设计提出了较⾼的要求。

业界通常的做法是针对http性质的业务访问进⾏重定向,以往针对http的业务区分主要基于业务端⼝(主要为80端⼝),对于⾮80业务端⼝的http业务不能有效区分。

针对以上情况,北信源⽹络接⼊控制系统对http业务进⾏了深度识别,除80端⼝的http业务可以进⾏有效重定向之外,针对⾮80端⼝的http业务也能进⾏有效的识别和重定向。

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password 和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。

如果成功,携带协商参数,以及用户的相关业务属性给用户授权。

如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。

北信源网络接入控制系统用户使用手册

北信源网络接入控制系统用户使用手册
北信源网络接入控制系统
用户使用手册
北京北信源软件股份有限公司 2012 年 10 月
北信源网络接入控制系统用户使用手册
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北
信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。 本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明
2.1 丰富的部署模式,适应性强------------------------------------------------------------------------- 7 2.2 流程化入网规范,统一性强------------------------------------------------------------------------- 7 2.3 人性化入网提醒,可用性强------------------------------------------------------------------------- 7 2.4 基于角色的访问控制,控制力强 ------------------------------------------- 8 2.5 访客自助入网,操作性强 ---------------------------------------------------------------------------- 8 3 产品安装 ........................................................................................................................... 8 3.1 硬件安装 --------------------------------------------------------------------------------------------------- 8 3.2 产品实施 --------------------------------------------------------------------------------------------------- 8 3.3 工作模式 --------------------------------------------------------------------------------------------------- 8 3.4 系统登录 --------------------------------------------------------------------------------------------------- 9 4 系统监控 ......................................................................................................................... 10 4.1 整个系统 ------------------------------------------------------------------------------------------------- 10

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。

如果成功,携带协商参数,以及用户的相关业务属性给用户授权。

如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。

北信源桌面终端标准化管理系统基于8021x协议的准入控

北信源桌面终端标准化管理系统基于8021x协议的准入控

北信源桌面终端标准化治理系统的准进操纵方案一、〔基于局域网的扩展认证协议〕数据通过设备连接的交换机端口;认证通过以后,正常的数据能够顺利地通过以太网端口。

网络访咨询技术的核心局部是PAE〔端口访咨询实体〕。

在访咨询操纵流程中,端口访咨询实体包含3局部:认证者--对接进的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证效劳器--依据认证者的信息,对请求访咨询网络资源的用户/设备进行实际认证功能的设备。

二、基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,能够有效落低建网本钞票;借用了在RAS系统中常用的EAP〔扩展认证协议〕,能够提供良好的扩展性和习惯性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采纳了"可控端口"和"不可控端口"的逻辑功能,从而能够实现业务与认证的不离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与操纵,报文直截了当承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;能够使用现有的后台认证系统落低部署的本钞票,并有丰富的支持;能够映射不同的用户认证等级到不同的VLAN;能够使交换端口和无线LAN具有平安的认证接进功能。

三、a.一台安装IAS或者ACS的RADIUS认证效劳器;b.一台安装VRVEDP效劳器;c.一个应用可网管交换机的网络环境;效劳器配置如下:进进添加/删除程序中的添加/删除Windows组件,选择网络效劳中的Internet 验证效劳2.安装IAS后,进进IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。

客户端地址为验证交换机的治理地址,点击下一步。

4.选择RADIUSStandard,共享机密为交换机中所配置的key。

点击完成。

注:接进层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写进往。

宝界终端准入与北信源桌管软件结合解决措施V

宝界终端准入与北信源桌管软件结合解决措施V

宝界终端准入与北信源桌管软件结合解决方案一、需求背景1.1、为什么要与北信源桌面管理软件结合?已经花重金购买了北信源桌面管理软件, 制定了详细的安全规范和标准,要求未安装北信源的客户端软件的主机不能入网、入网的主机要对应到人,但这些安全管理规范落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。

私自卸载北信源源客户端,或北信源客户端不正常,造成服务端无法控制,要求能提示重新安装客户端,让该终端主机再次接入网络时重新认证。

1.2、什么样的网络环境, 准入能与北信源桌面管理软件相结合?1.DHCP网络环境。

2.核心交换机是思科交换机,支持EOU协议。

3.对固定IP地址网络环境,而且核心交换机不支持EOU协议的网络,允许使用ARP重定向技术。

二、解决方案2.1、方案部署拓朴图宝界终端准入网关……产品部署拓朴结构网络拓朴说明:1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的,对于网段数不多的网络,可以一个接口管理一个VLAN,各网段分别接入准入设备的不同接口,各自进行准入控制。

2、对于多VLAN的,可以采用核心交换机的TRUNK口接准入设备的一个接口,这样可以一个准入接口可以管理多个VLAN。

实现每个VLAN的准入控制。

3、准入与核心交换机通过TELNET/SSH方式联动。

4、汇聚层或接入层交换机启用DHCP Snooping +IP SOURCE GURARD或DAI,DHCP Snooping有效防止网络中的非法DHCP服务。

IP SOURCE GURARD或DAI功能有效解决终端主机私自设置IP,同时解决了内网中固定IP的服务器, 直接在交换机上建立合法的绑定表。

2.2采用DHCP准入与北信源结合宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口,原有的三层核心提供的DHCP服务由宝界终端准入控制系统提供,由宝界终端准入控制系统对内网的所有终端做扫描检查,采用DHCP准入控制技术,所有主机先获取到隔离网段的IP地址,只有通过实名/CA认证检查,以及北信源客户端安装检查,通过后才能分配到内网的工作VLAN的IP。

北信源产品体系简介

北信源产品体系简介

产品简介一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。

同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。

通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。

同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。

北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。

●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访问限制;3)外部终端接入身份认证;4)杀毒软件检测及访问限制;5)补丁自动检测及访问限制;6)进程、服务、注册表信息检测及访问限制;7)未达到预定义安全级不接入访问限制。

●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。

●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。

2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。

3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。

4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。

北信源桌面终端标准化系统内网端口使用说明

北信源桌面终端标准化系统内网端口使用说明
UDP
双向
双向
22105
区域扫描器和客户端通信使用,包括策略下发,文件、补丁分发,客户端上报信息等,均要通过该端口实现
TCP
双向
22106
捕获数据的侦听端口。网络拓扑功能和Snmp扫描功能通过该端口实现
TCP
双向
22108
使用点对点控制中的数据包分析支持工具时使用,数据包分析使用需先与被控端建立通讯后,接受相关的数据包
TCP
双向
2388
区域管理器数据接收端口,一般接收注册率、操作系统信息等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
TCP
双向(一级管理器只流入)
2399
区域管理器数据接收端口,一般接收报警等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
桌面终端标准化管数据方向
80
标准的http协议端口,Web管理界面使用,几乎所有的网页浏览通过此端口
TCP
双向
88
区域管理器使用
TCP
双向
161
SNMP扫描使用
TCP
双向
188
当88端口被占用时,区域管理器启用188端口
TCP
双向
288
报告区域管理器存活端口
TCP
TCP
双向(一级管理器只流入)
8889
报警中心和区域管理器通信通过该端口实现
TCP
双向
8900
使用点对点控制中,屏幕支持工具使用
TCP
双向
8901
使用点对点控制中,屏幕支持中的文件传输功能使用。

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。

网络准入准入控制系统解决方案

网络准入准入控制系统解决方案

网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。

通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。

下面将详细介绍网络准入准入控制系统的解决方案。

首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。

在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。

此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。

其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。

这些设备包括电脑、手机、平板等终端设备。

通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。

例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。

另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。

通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。

同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。

此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。

通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。

最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。

网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。

同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。

综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。

802.1x准入控制技术使用手册(北信源).

802.1x准入控制技术使用手册(北信源).

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

北信源终端安全登录与文件保护系统用户使用手册

北信源终端安全登录与文件保护系统用户使用手册

北信源终端安全登录与⽂件保护系统⽤户使⽤⼿册北信源终端安全登录与⽂件保护系统⽤户使⽤⼿册北京北信源软件股份有限公司⼆〇⼀⼀年版本控制⽀持信息在北信源终端安全登录与⽂件保护系统使⽤过程中,如您有任何疑问都可以通过访问我公司⽹站/doc/271d9e4e6c175f0e7cd137ea.html 或者致电我司客服中⼼获得帮助和⽀持!热线⽀持:400-8188-110客户服务电话:010-********/86/87在您使⽤该产品过程中,如果有好的意见或建议的话也请联系我们的客服中⼼,感谢您对我公司产品的信任和⽀持!正⽂⽬录第⼀章概述 (1)⼿册结构说明 (1)本⼿册约定 (1)产品组成 (1)产品⼯作流程 (3)第⼆章系统安装 (5)安装环境 (5)服务器(USBKeyManager) (5)⽤户端(USBKeyClient) (5)安装过程 (5)管理端安装 (5)⽤户端安装 (10)卸载过程 (11)管理端卸载过程 (11)⽤户端卸载过程 (13)第三章终端安全登录与⽂件保护系统管理端(USBKEYMANAGER) (15)管理端默认帐户及密码修改 (15)修改帐户密码 (15)帐户功能及操作⽅法 (16)管理员帐户(admin) (16)审计员帐户(audit) (19)操作员帐户(需由admin帐户创建) (23)第四章终端安全登录与⽂件保护系统⽤户端(USBKEYCLIENT) (36)⽤户端(USBK EY C LIENT)功能 (36)修改PIN码 (36)绑定⽤户端 (37)清空绑定信息 (40)审计记录 (41)关于 (42)附录 (43)附录⼀FAQ (43)附录⼆名词解释 (45)附录三服务⽅式 (46)图⽬录图1-1USBK EY⽰意图 (2)图1-2产品⼯作流程图.............................................................................................................. 错误!未定义书签。

北信源网络接入控制系统用户使用手册

北信源网络接入控制系统用户使用手册
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失, 北信源公司及其员工均不承担任何责任。
2
北...................................................................................................................... 6 2 产品特性 ........................................................................................................................... 7
4.1.1 全网接入状况 ...................................................................................................... 11 4.1.2 网关接口状态信息和联动、认证信息 .............................................................. 15 4.1.3 在线设备趋势图(最近一小时) ...................................................................... 17 4.2 在线设备 ------------------------------------------------------------------------------------------------- 17 4.2.1 在线设备 .............................................................................................................. 17 5 注册管理 ......................................................................................................................... 19 5.1 参数配置 ------------------------------------------------------------------------------------------------- 19 5.2 设备注册列表 ------------------------------------------------------------------------------------------ 19 5.2.1 注册设备 .............................................................................................................. 19 5.2.2 设备注册列表 ...................................................................................................... 21 5.3 设备注册日志 ------------------------------------------------------------------------------------------ 22 6 认证管理 ......................................................................................................................... 24 6.1 参数配置 ------------------------------------------------------------------------------------------------- 24

VRVedp北信源内网管理系统用户使用手册

VRVedp北信源内网管理系统用户使用手册

北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持!热线支持:400-8188-110客户服务电话:在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!正文目录特别说明 ............................................................................................................................ 产品构架 ............................................................................................................................ 应用构架 ............................................................................................................................第二章北信源内网安全管理系统 ..............................................................................策略中心 ............................................................................................................................策略管理中心 .................................................................................................................网关接入认证配置 .........................................................................................................阻断违规接入管理 ......................................................................................................... 补丁分发 ............................................................................................................................ 数据查询 ............................................................................................................................本地注册情况统计 .........................................................................................................本地设备资源统计 .........................................................................................................本地设备类型统计 .........................................................................................................USB标签信息查询 .........................................................................................................设备信息查询 .................................................................................................................审计数据查询 .................................................................................................................分发数据查询 .................................................................................................................非Windows操作系统设备............................................................................................ 终端管理 ............................................................................................................................终端管理 .........................................................................................................................行为控制 .........................................................................................................................远程协助 ......................................................................................................................... 运维监控 ............................................................................................................................ 报表管理 ............................................................................................................................ 报警管理 ............................................................................................................................报警数据查询 .................................................................................................................本地区域报警数据统计 .................................................................................................本地报警数据汇总 ......................................................................................................... 级联总控 ............................................................................................................................级联注册情况统计 .........................................................................................................级联设备资源统计 .........................................................................................................级联设备类型统计 .........................................................................................................级联管理控制 .................................................................................................................区域管理器状态查询 .....................................................................................................区域扫描器状态查询 .....................................................................................................级联上报数据 .................................................................................................................级联报警数据 .................................................................................................................系统用户分配与管理 .....................................................................................................用户设置 .........................................................................................................................数据重整 .........................................................................................................................审计用户 .........................................................................................................................第三章北信源补丁及文件分发管理系统 ...................................................................区域管理器补丁管理设置 ................................................................................................补丁下载配置 .................................................................................................................文件分发策略配置 ......................................................................................................... 策略中心 ............................................................................................................................补丁分发策略 .................................................................................................................软件分发策略 .................................................................................................................其他策略 ......................................................................................................................... 补丁分发 ............................................................................................................................ 补丁自动下载分发 ............................................................................................................补丁下载服务器 .............................................................................................................补丁库分类 .....................................................................................................................补丁下载转发代理 ......................................................................................................... 客户端补丁检测(一) .................................................................................................... 客户端补丁检测(二) ....................................................................................................第四章北信源主机监控审计系统 ..............................................................................策略中心 ............................................................................................................................行为管理及审计 .............................................................................................................涉密检查策略 .................................................................................................................其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................第五章北信源移动存储介质使用管理系统 ...............................................................策略中心 ............................................................................................................................可移动存储管理 .............................................................................................................其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................第六章北信源网络接入控制管理系统.......................................................................网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................接入认证策略 .................................................................................................................其他策略 ......................................................................................................................... 环境准备方法 ....................................................................................................................安装RADIUS(windowsIAS)..............................................................................................Cisco2950配置方法........................................................................................................华为3COM3628配置.....................................................................................................锐捷RGS21配置 .............................................................................................................第七章北信源接入认证网关......................................................................................网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................第八章系统备份及系统升级......................................................................................系统数据库数据备份及还原 ............................................................................................ 系统组件升级 ....................................................................................................................区域管理器、扫描器模块升级 .....................................................................................升级网页管理平台 .........................................................................................................客户端注册程序升级 .....................................................................................................检查系统是否升级成功 ................................................................................................. 级联管理模式升级及配置 ................................................................................................附录 ..............................................................................................................................附录(一)北信源内网安全管理系统名词注释 ............................................................ 附录(二)移动存储设备认证工具操作说明 ................................................................USB标签制作 .................................................................................................................USB标签制作工具 .........................................................................................................USB标签制作历史查询 .................................................................................................移动存储审计策略 .........................................................................................................移动存储审计数据 ......................................................................................................... 附录(三)主机保护工具操作说明 ................................................................................ 附录(四)组态报表管理系统操作说明 ........................................................................模版制定 .........................................................................................................................报表输出 ......................................................................................................................... 附录(五)报警平台操作说明 ........................................................................................设置 .................................................................................................................................日志查询 .........................................................................................................................窗口 .................................................................................................................................更换界面 .........................................................................................................................帮助 ................................................................................................................................. 附录(六)漫游功能说明 ................................................................................................漫游功能介绍 .................................................................................................................漫游功能配置 ................................................................................................................. 附录(七)IIS服务器配置说明 .......................................................................................WIN2003-32位IIS配置说明..........................................................................................WIN2003-64位IIS配置说明..........................................................................................WIN2008-64位IIS配置说明..........................................................................................图目录图2-1创建新策略................................................................................................................ 图2-2下发策略.................................................................................................................... 图2-3策略控制.................................................................................................................... 图2-4硬件设备控制............................................................................................................ 图2-5软件安装监控策略.................................................................................................... 图2-6进程执行监控策略.................................................................................................... 图2-7进程保护策略............................................................................................................ 图2-8协议防火墙策略........................................................................................................ 图2-9注册表........................................................................................................................ 图2-10IP与MAC绑定策略................................................................................................. 图2-11防违规外联策略...................................................................................................... 图2-12违规提示.................................................................................................................. 图2-13文件备份路径设置.................................................................................................. 图2-14注册码配置.............................................................................................................. 图2-15阻断违规接入控制设置.......................................................................................... 图2-16本地注册情况信息.................................................................................................. 图2-17本地设备资源信息.................................................................................................. 图2-18本地设备类型统计.................................................................................................. 图2-19软件变化信息.......................................................................................................... 图2-20注册日志信息.......................................................................................................... 图2-21交换机扫描管理配置.............................................................................................. 图2-22设备信息统计图表.................................................................................................. 图2-23级联设备信息.......................................................................................................... 图2-24级联设备系统类型统计....................................................................................... 图2-25级联管理控制.......................................................................................................... 图2-26下级级联区域管理器信息...................................................................................... 图2-27区域管理器状态信息.............................................................................................. 图2-28区域扫描器状态信息.............................................................................................. 图2-29级联上报数据.......................................................................................................... 图2-30系统用户列表.......................................................................................................... 图2-31添加系统用户界面.................................................................................................. 图2-32用户管理列表.......................................................................................................... 图2-33终端控制权限.......................................................................................................... 图2-34屏幕监控权限.......................................................................................................... 图2-35密码初始化提示框.................................................................................................. 图2-36密码初始化完成提示框.......................................................................................... 图2-37修改ADMIN用户密码 ..............................................................................................图2-39审计用户登录.......................................................................................................... 图3-1区域管理器补丁管理设置........................................................................................ 图3-2分发参数设置............................................................................................................ 图3-3补丁自动分发............................................................................................................ 图3-4补丁下载服务器界面................................................................................................ 图3-5补丁下载服务器设置................................................................................................ 图3-6补丁代理传发支持.................................................................................................... 图3-7补丁下载设置............................................................................................................ 图3-8登录页面.................................................................................................................... 图3-9工具下载页面............................................................................................................ 图3-10补丁检测中心.......................................................................................................... 图3-11客户端补丁漏打检测.............................................................................................. 图6-1网关接入认证............................................................................................................ 图6-2重定向配置................................................................................................................ 图6-3用户添加.................................................................................................................... 图6-4补丁与杀毒软件认证策略........................................................................................ 图6-5接入认证策略............................................................................................................ 图6-6802.1X认证界面 ...................................................................................................... 图6-7802.1X认证界面 ...................................................................................................... 图6-8安全检查没有通过,802.1X不启动认证 ................................................................ 图6-9认证失败.................................................................................................................... 图6-10添加I NTERNET验证服务组件................................................................................... 图6-11IAS配置界面............................................................................................................. 图6-12新建RADIUS客户端 ............................................................................................... 图6-13新建RADIUS客户端 ............................................................................................... 图6-14新建远程访问策略.................................................................................................. 图6-15设置远程访问策略.................................................................................................. 图6-16设置远程访问策略.................................................................................................. 图6-17设置远程访问策略选择用户.................................................................................. 图6-18设置远程访问策略使用MD5质询........................................................................ 图6-19设置远程访问策略新建的策略.............................................................................. 图6-20选择D AY-A ND-T IME-R ESTRICTIONS .............................................................................. 图6-21选择允许.................................................................................................................. 图6-22设置属性.................................................................................................................. 图6-23添加属性值VLAN...................................................................................................... 图6-24添加属性值802....................................................................................................... 图6-25添加属性值600....................................................................................................... 图6-26添加属性值600....................................................................................................... 图6-27编辑拨入配置文件.................................................................................................. 图6-28新建连接请求策略..................................................................................................图6-30策略配置.................................................................................................................. 图6-31添加远程登录用户.................................................................................................. 图6-32设置用户属性.......................................................................................................... 图6-33设置TEST用户.......................................................................................................... 图6-34设置启用.................................................................................................................. 图6-35VRVEDPA GENT认证成功 ........................................................................................... 图6-36创建用户界面.......................................................................................................... 图6-37用户添加.................................................................................................................. 图6-38设置用户密码.......................................................................................................... 图6-39进入N ETWORK C ONFIGURATION........................................................................................ 图6-40AAAC LIENT配置 .......................................................................................................... 图6-41AAAS ERVER配置 .......................................................................................................... 图6-42进入I NTERFACE C ONFIGURATION .................................................................................... 图6-43进入RADIUS(IETF)................................................................................................. 图6-44进入G ROUP S ETUP........................................................................................................ 图6-45进入E DIT S ETTINGSP ................................................................................................... 图7-1网关接入认证............................................................................................................ 图7-2重定向配置................................................................................................................ 图7-3用户添加.................................................................................................................... 图7-4网关接入认证策略.................................................................................................... 图8-1级联管理配置............................................................................................................ 附图-1修改用户ADMIN USB标签 ...................................................................................... 附图-2下载D EVICE N UMBER.EXE.............................................................................................. 附图-3全局参数................................................................................................................... 附图-4U SB T OOL登录.............................................................................................................. 附图-5U SB T OOL界面 ............................................................................................................... 附图-6分区格式化............................................................................................................... 附图-7制作移动硬盘标签1................................................................................................ 附图-8制作移动硬盘标签2................................................................................................ 附图-9制作移动硬盘标签3................................................................................................ 附图-10制作移动硬盘标签4.............................................................................................. 附图-11制作移动硬盘标签5.............................................................................................. 附图-12制作移动硬盘标签6.............................................................................................. 附图-13制作移动硬盘标签7.............................................................................................. 附图-14制作移动硬盘标签8.............................................................................................. 附图-15制作移动硬盘标签9.............................................................................................. 附图-16制作移动硬盘标签10............................................................................................ 附图-17制作移动硬盘标签11............................................................................................ 附图-183个分区的优盘和移动硬盘内网登录界面........................................................... 附图-19整盘加密的优盘和移动硬盘内网登录界面.........................................................附图-20外网插入3个分区的优盘或移动硬盘盘符......................................................... 附图-21交换区登录界面..................................................................................................... 附图-22外网插入整盘加密优盘或移动盘符..................................................................... 附图-23信息提示................................................................................................................. 附图-24U SB T OOL登录 ............................................................................................................. 附图-25U SB T OOL界面............................................................................................................ 附图-26初始化密码............................................................................................................. 附图-27标签历史查询......................................................................................................... 附图-28访问控制配置说明................................................................................................. 附图-29DOS/DDOS配置说明............................................................................................... 附图-30创建模板................................................................................................................. 附图-31确定报表标题及报表尾......................................................................................... 附图-32定义报表输入项..................................................................................................... 附图-33确定输出条件......................................................................................................... 附图-34确定关联................................................................................................................. 附图-35保存模板................................................................................................................. 附图-36修改模板名称......................................................................................................... 附图-37修改模版的输出标题和表尾................................................................................. 附图-38修改输出列选项..................................................................................................... 附图-39修改关联选项......................................................................................................... 附图-40修改时间范围统计................................................................................................. 附图-41模板预览................................................................................................................. 附图-42输出EXCEL报表模板信息 ....................................................................................... 附图-43时间定义................................................................................................................. 附图-44模板导入................................................................................................................. 附图-45模板导出................................................................................................................. 附图-46报警平台设置......................................................................................................... 附图-47高级设置................................................................................................................. 附图-48报警设置上............................................................................................................. 附图-49报警设置下............................................................................................................. 附图-50日志查询................................................................................................................. 附图-51报警中心界面......................................................................................................... 附图-52漫游示意................................................................................................................. 附图-53结合接入认证漫游示意图..................................................................................... 附图-54CA服务器界面 ........................................................................................................ 附图-55区域管理器配置界面............................................................................................. 附图-56客户端迁移策略配置界面..................................................................................... 附图-57重原管理区漫游出去的客户端............................................................................. 附图-58漫游到新管理器的客户端..................................................................................... 附图-59进去漫游组中的漫游客户端................................................................................. 附图-60漫游回原管理器的客户端.....................................................................................。

北信源产品体系

北信源产品体系

北信源产品体系一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。

同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯独性及安全性认证。

通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。

同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。

北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。

●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访咨询限制;3)外部终端接入身份认证;4)杀毒软件检测及访咨询限制;5)补丁自动检测及访咨询限制;6)进程、服务、注册表信息检测及访咨询限制;7)未达到预定义安全级不接入访咨询限制。

●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。

●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。

2)认证客户端:安装在终端运算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。

3)Radius认证服务器:接收客户端认证要求信息数据包并进行验证。

4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证要求数据包与Radius认证服务器完成认证过程。

5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访咨询网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。

802.1x准入控制技术使用手册(北信源).

802.1x准入控制技术使用手册(北信源).

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

北信源-内网安全管理系统产品组合及技术参数

北信源-内网安全管理系统产品组合及技术参数
分组(域)管理
系统支持终端电脑的分组(域)管理,可对一个分组(域)内的被管理对象实施统一管理。
单独的权限分配体系
提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
灵活的策略对象
可根据时间段和时间点定制策略使用或禁止使用的触发条件;并可根据创建区域、自定义组、操作系统、IP范围、用户名、注册部门和按照条件搜索的设备进行策略分组分发管理。
打印信息审计
系统支持对主机打印行为进行监控审计,防止非授权的信息被打印。
文件涉密信息检查
系统支持对设定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容。
用户权限审计
能够对用户权限更改及用户增加和删除的行为审计。
操作系统日志审计
系统支持管理员远程读取终端电脑的日志(系统日志、应用日志、安全日志等)。
软件资产管理
自动收集网络中所有注册终端的安装软件信息,并可以以WORD、EXCEL表导出软件资产信息。
软、硬件资产信息变更报警管理
软硬件资产信息发生变化时,系统自动上报报警信息到服务器。
事件报表及报警管理
终端审计信息数据统计分类管理
系统将收集上来的终端信息按不同类别分类存储,管理员可以按不同类别检索信息。
补丁库建立和分类
系统根据补丁索引文件自动生成补丁库,并根据索引信息,将补丁类型进行分类。
终端漏洞自动检测
受控终端能够自动检测本身需要安装哪些补丁。
补丁策略制定分类和自动分发
补丁策略分补丁自动分发策略和人工选择补丁分发策略,根据不同需要制定不同策略实现全网补丁的自动分发。
终端补丁流量控制及代理转发技术
安全信息审计
文档授权审计
系统支持授权文档的名称、文档作者、授权时间、授权权限、授权方式和认证方式进行审计和查询。

北信源网络接入控制系统工作基本知识与功能对比

北信源网络接入控制系统工作基本知识与功能对比

北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司目录1.整体说明 (3)2.核心技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准入控制技术 (5)2.3. 旁路干扰准入控制技术 (7)2.4. 透明网桥准入控制技术 (8)2.5. 虚拟网关准入控制技术 (9)2.6. 局域网控制技术 (9)2.7. 身份认证技术 (10)2.8. 安检修复技术 (10)2.9. 桌面系统联动 (11)3.产品功能对比 (11)1.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。

目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。

2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。

业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。

针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。

准入控制系统

准入控制系统

准入控制系统
准入控制系统是一种用于管理和控制进入特定区域或资源
使用权限的系统。

它可以确保只有经过授权的人员或实体
才能进入受限区域或使用受限资源。

准入控制系统通常包括以下核心组件:
1. 门禁系统:通过使用身份验证技术,例如刷卡、密码或
生物识别等方式,对人员进入受限区域进行控制和监控。

2. 视频监控系统:通过安装摄像头和监控设备,对受限区
域进行实时监控和录像,以便及时发现和应对不明身份者
或异常情况。

3. 报警系统:通过设置警报设备,如声音警报、灯光警报等,以及与监控系统的联动,提供实时的安全警报和响应。

4. 访客管理系统:用于管理和记录访客的进出记录,并提供临时访问权限。

这可以确保只有经过授权的访客才能进入受限区域。

准入控制系统在各种场景下都有应用,如企业办公楼、金融机构、医疗机构、政府机构、学校等。

它能够提高安全性、减少安全风险,并保护机密信息和贵重资产免受未经授权的访问和利用。

北信源-终端准入控制系统

北信源-终端准入控制系统

北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。

网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。

北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。

有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。

主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。

通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。

深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。

由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。

继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

北信源VRV-BMG终端准入控制系统
产品背景
网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。

网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。

北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。

有如下具体特点:
1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。

主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。

通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;
2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其
变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。

深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。

由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;
3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。

继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。

并突破了原有单一的报文特征或者流特征所带来的误识别问题,从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系,从而将DSI 技术更好地贯彻在应用识别产品中;
4)采用领先的知识发现KDT技术(该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份;
5)部署在企业内网与外网的边界处或者不同的可信安全域之间,完成内网用户跨边界安全行为管理的实施。

同时,该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面,实现无缝结合与深层联动,从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系,为保障内网从终端到边界安全形成了一道绿色的屏障。

系统管理构架北信源网络接入控制管理系统由以下几部分组成:
1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。

2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起
认证,实现正常工作区、访客隔离区、安全修复区的自动切换。

3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。

4)Radius认证系统(交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。

系统功能描述
1)802.1x接入认证管理;
2)虚拟强制隔离接入认证管理;
3)未注册终端接入访问区域限制(vlan限制);
4)未安装杀毒软件等必备软件自动安装下载管理;
5)未打补丁终端接入限制;
6)运行不可信进程、服务、注册表终端接入限制;
7)未达到预定义安全级别的终端接入访问区域限制;
8)自定义终端安全接入必须的桌面运行安全环境。

系统功能特点
1)802.1X接入认证支持市场主流交换机,支持无线AP的认证接入;
2)可以与用户现有域环境及LDAP服务器结合,实现身份认证;
3)虚拟强制隔离技术无需硬件支持,即可实现终端的强制接入认证,未注册
终端网络隔离及重定向功能;
4)部署方式极其灵活,完美实现内网终端间互访权限的控制;
5)支持终端用户漫游状态下的接入控制管理。