当前位置:文档之家 › 北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制系统管理系统白皮书v3.0

  • 格式:doc
  • 大小:342.53 KB
  • 文档页数:14

下载文档原格式

  / 14
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

北信源网络接入控制管理系统

产品白皮书

北信源软件股份

声明

本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明

本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。

产品声明

本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。

免责声明

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。

目录

1.系统概述 (4)

2.系统架构 (4)

3.系统组成 (6)

3.1.策略服务器 (6)

3.2.认证客户端 (6)

3.3.Radius认证服务器 (7)

3.4.Radius认证系统 (7)

3.5.硬件接入网关(可选配) (8)

4.系统特性 (8)

4.1.全面的安全检查 (8)

4.2.技术的先进性 (8)

4.3.功能的可扩展性 (8)

4.4.系统可整合性 (9)

4.5.无缝扩展与升级 (9)

5.系统功能 (9)

5.1.准入身份认证 (9)

5.2.完整性检查功能 (10)

5.3.安全修复功能 (10)

5.4.管理与报表 (11)

5.5.终端安全策略设置 (12)

6.典型应用 (13)

6.1.802.1x环境应用 (13)

6.2.非802.1x环境应用 (14)

6.3.VPN环境应用 (15)

6.4.域环境应用 (15)

1.系统概述

北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。

北信源网络接入控制管理系统可以保护整个企业部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端安全接入部网络,保护网络接入的安全性。

2.系统架构

网络准入控制能够勾勒企业终端接入的安全基线,屏蔽一切不安全的设备和人员接入网络,规用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN隔离,并主动对其安全修复。北信源网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。其模型如下图:

网络接入控制安全访问模型

安全检查

根据系统进程、文件、注册表等设置的检查结果来判断:

➢用户身份是否合法

➢主机防火墙是否安装并运行

➢防病毒软件是否安装并运行,病毒特征库是否及时更新

➢操作系统关键安全补丁是否安装

➢操作系统安全配置是否妥当

➢是否感染特定病毒实体

➢是否安装违规软件

接入认证

根据上述检查结果,通过服务器和网络设备以及终端PC联动来决定:

➢拒绝终端/用户接入

➢容许终端/用户接入

➢隔离终端/用户(单机隔离, VLAN隔离)

➢限制终端/用户访问权限

安全修复

在隔离或限制接入的情况下,还可以通过自动修复来恢复正常的网络访问权限。修复的容包括:

➢自动开启IE,连接部安全上相关的提示页面

➢自动分发病毒专杀工具

➢自动升级病毒特征库

➢自动分发操作系统关键补丁

➢自动纠正错误的系统配置

3.系统组成

北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统,以及硬件接入网关(可选)几部分组成。

3.1.策略服务器

策略服务器是本系统的策略管理中心,提供系统的参数配置和安全策略管理。安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。

3.2.认证客户端

认证客户端安装在终端计算机,根据用户名和密码向认证服务器发起认证,能够根据策略服务器分发的安全策略对终端主机进行安全检查,依据获取的主机的安全状态,配合认证系统,实现工作区、隔离区、修复区的自动切换。

网络接入认证控制示意图

3.3.R adius认证服务器

Radius认证服务器用于接收客户端认证请求信息数据包并进行验证,根据网络环境可使用微软的IAS,CISCO ACS或LINUX FREE RADIUS等系统。

3.4.R adius认证系统

Radius认证系统为可网管支持802.1x的网络设备(交换机),由该认证系统接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口作为请求者,LAN端口则负责向认证服务器提交接入服务申请。基于端口的锁定只允许信任的MAC地址向网络中发送数据,而来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。

在不支持802.1x协议的网络中,看选配专用硬件设备为强制注册网关。

3.5.硬件接入网关(可选配)

在不完全支持802.1x的网络中可选装硬件接入网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。基于HTTP重定向、DNS重定向等技术,用于强制网络中每台计算机终端必须安装认证客户端程序的服务器,该服务器根据网络环境不同,部署在不同的位置,确保网络中每台终端能够安全认证客户端程序。

相关主题