下载文档原格式
1公司简介北京北信源软件股份有限公司创立于1996年,注册资金5000万,是中国第一批自主品牌的信息安全产品及整体解决方案供应商,中国终端安全管理领域的市场领导者。
北信源总部位于北京,下设多个全资子公司及北京、南京两个研发中心。
拥有近500名信息安全专业研发、咨询与服务人员,构建了全国七大区、近三十个省市的营销与服务网络,为用户提供业界领先的产品与服务。
十几年来,北信源致力于信息安全技术的研究与开发,在业内屡创佳绩,成果斐然。
曾革命性推出中国首款桌面安全管理产品,开启“桌面安全管理”技术革新之先河,并迅速做到国内销量第一;前瞻性推出了面向个人用户的数据安全产品—数据装甲,引领进入“全民数据安全”新时代;证券安全监控系统在国内券商使用率中也曾排行第一。
作为公司的产品核心:面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。
体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念,并首次将受控云技术运用于终端安全体系和产品中,完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。
作为中国终端安全管理领域的市场领导者,北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一(数据来源:CCID)。
产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业,用户涉及各行业数千家单位,连续多年入围中央政府采购,成功部署数千万终端。
北信源公司在业界屡获殊荣,荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。
在标准制定、重大专项等方面积极配合政府行动,同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系,公司现已成功打造信息安全知名品牌“北信源”、“VRV”。
北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
产品简介一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。
同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。
通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。
同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。
北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。
●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访问限制;3)外部终端接入身份认证;4)杀毒软件检测及访问限制;5)补丁自动检测及访问限制;6)进程、服务、注册表信息检测及访问限制;7)未达到预定义安全级不接入访问限制。
●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。
●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。
2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。
4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源内网监控原理北信源内网监控是指对企业或组织内部网络进行实时监控和管理的一种安全措施。
其原理是通过安装在内网中的监控设备或软件,对内网中的网络流量、设备状态、用户行为等进行实时监测和记录,以便及时发现和防范内网中的安全威胁。
北信源内网监控的原理主要包括以下几个方面:1. 流量监测:北信源内网监控通过监测内网中的网络流量,包括入站和出站的数据包,来了解内网中的网络活动情况。
通过对流量的分析和统计,可以发现异常的流量行为,如大量的数据传输、频繁的连接请求等,从而及时发现潜在的安全威胁。
2. 设备状态监测:北信源内网监控还可以监测内网中的各种网络设备的状态,包括服务器、交换机、路由器等。
通过监测设备的运行状态、资源利用率等指标,可以及时发现设备故障、资源瓶颈等问题,并采取相应的措施进行处理,以保证内网的正常运行。
3. 用户行为监测:北信源内网监控还可以监测内网中用户的行为,包括登录、访问、操作等。
通过对用户行为的监测和分析,可以发现异常的行为模式,如非法登录、越权访问等,从而及时发现内网中的安全漏洞和风险。
4. 安全事件响应:北信源内网监控不仅可以监测和发现内网中的安全威胁,还可以及时响应和处理这些安全事件。
一旦发现异常的流量、设备状态或用户行为,监控系统可以自动触发警报,并通知相关人员进行处理。
同时,监控系统还可以采取一些主动的措施,如封锁异常流量、禁止非法登录等,以保护内网的安全。
5. 日志记录和分析:北信源内网监控还可以对监测到的数据进行记录和分析,生成详细的日志报告。
这些日志可以用于事后的审计和分析,帮助企业或组织了解内网中的安全状况,发现潜在的安全问题,并采取相应的措施进行改进和加固。
总之,北信源内网监控通过对内网中的网络流量、设备状态和用户行为进行实时监测和管理,可以及时发现和防范内网中的安全威胁,保障内网的安全运行。
同时,监控系统还可以记录和分析监测数据,为企业或组织提供安全审计和分析的依据,帮助其改进和加强内网的安全防护。
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司1目录1.整体说明 (3)2.核心技术 (3)2.1.重定向技术 (3)2.2.策略路由准入控制技术 (4)2.3.旁路干扰准入控制技术 (6)2.4.透明网桥准入控制技术 (7)2.5.虚拟网关准入控制技术 (7)2.6.局域网控制技术 (8)2.7.身份认证技术 (8)2.8.安检修复技术 (9)2.9.桌面系统联动 (9)3.产品功能对比 (10)21.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,3针对非80端口的http业务也能进行有效的识别和重定向。
与北信源网络准入控制系统的对比分析:1、管理服务器部署:北信源管理服务器部署时,需要分别安装多个服务器部件,并需严格按顺序安装。
操作比较繁琐,部署效率较低。
联软科技Leagview管理服务器部署时,仅一个安装包+一个SP补丁包即可,操作简便,简单易懂,部署效率高。
2、Radius认证服务器部署北信源安全准入管理中并无自己的Radius服务器,启用802.1x准入控制需安装第三方免费的Radius服务器(如IAS或者ACS的RADIUS认证服务器)才能实现802.1x准入控制。
北信源完全没有对Radius认证服务器的任何开发、维护能力,借助第三方Radius认证服务器,一旦出现网络准入故障,较难排查故障原因,而且对于终端接入的状态检查能力也较弱。
第三方Radius服务器单独部署配置,操作较为繁琐。
联软科技LeagView网络准入控制系统,采用独立自主研发的Radius认证服务器,能够支持802.1x、EoU等多种方式的网络准入控制检查认证,除了能够检查终端接入网络的用户帐号身份,还能够进一步检查终端自身的安全状态是否合规,能够检查接入终端硬件信息,对终端接入检查进行更为严格的绑定检查。
单台Radius最大能够支持2万终端用户认证,能够与管理服务器整合在一个平台下集中部署,也能够独立部署,安装和配置都十分简单。
3、网络准入控制接入方式北信源仅支持基于802.1x协议的准入控制方式,结合北信源自己的硬件VRV-BMG,还能够实现基于强制注册网关:在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
联软科技LeagView网络准入控制系统能支持基于802.1x协议的网络准入控制,还支持Cisco NAC架构中的EoU协议网络准入控制方式,同时联软科技还提供LeagView® UniAccess TM NAC Controller准入控制器(简称“NACC”),是一种基于Cisco EAP over UDP协议技术的硬件网关型设备,专为解决非802.1X 网络环境下(接入层交换机不支持802.1X )的网络准入控制问题而设计。
北信源内网安全管理系统北信源内网安全管理系统可分为五个软件包组合销售,全方位地为网络用户提供安全管理功能。
这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
基本产品包基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动(可扩展)等功能。
1.终端基本管理1)终端注册管理2)IP和MAC绑定管理3)禁止修改网关、禁用冗余网卡管理4)未注册终端拒绝入网管理(软阻断技术)2.IT资产管理1)硬件资产管理2)软件资产管理3)软、硬件设备信息变更管理3.事件报表及报警处置1)终端信息数据统计分类管理2)图形化信息数据输出管理3)用户自定义组态报表输出及查询管理4)报警结果处置管理5)安全事件源远程阻断管理4.第三方接口联动(可扩展)1)PKI/CA认证联动接口2)防火墙联动接口3)网管软件联动接口4)安全管理平台联动接口5)其它第三方接口●终端桌面管理产品包1)终端流量管理2)进程运行黑白名单控制3)进程保护管理4)进程执行汇总5)终端服务管理6)软件黑白名单控制7)软件安装汇总8)终端消息推送9)远程协助管理10)外设及端口控制11)垃圾文件清理12)终端点对点管理13)系统自动关机管理14)终端时间同步管理●终端安全管理产品包1)桌面密码权限管理2)可网管配置的统一防火墙3)终端防网络攻击管理4)终端杀毒软件管理5)终端安全等级管理6)IE安全设置7)恶意软件免疫8)注册表监控/保护9)终端在线/离线策略管理●网络主机运维产品包1)运行资源监控2)流量异常监控3)进程异常监控4)客户端文件备份非法外联管理产品包1)内部终端非法接入互联网行为监控2)离网终端非法接入互联网行为监控3)内部终端非法接入其它网络行为监控4)内部终端非法外联行为告警和网络锁定5)内部终端非法外联行为取证北信源补丁及文件分发管理系统●产品背景近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。
北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。
网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。
有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。
主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。
通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。
深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。
由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。
继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。
北信源产品体系一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。
同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯独性及安全性认证。
通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。
同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。
北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。
●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访咨询限制;3)外部终端接入身份认证;4)杀毒软件检测及访咨询限制;5)补丁自动检测及访咨询限制;6)进程、服务、注册表信息检测及访咨询限制;7)未达到预定义安全级不接入访咨询限制。
●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。
●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。
2)认证客户端:安装在终端运算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius认证服务器:接收客户端认证要求信息数据包并进行验证。
4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证要求数据包与Radius认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访咨询网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
网络控制系统:分析网络控制系统基本原理、协议和应用引言互联网的迅猛发展如同一片茂盛的原始森林,数以亿计的计算机和设备通过网络相互连接,创造了一个庞大而复杂的信息交流体系。
在这个庞大的网络中,网络控制系统扮演着至关重要的角色。
本文将详细探讨网络控制系统的基本原理、协议和应用,并探讨其在各个领域中的潜力和价值。
什么是网络控制系统?网络控制系统是指利用计算机网络技术实现对各种设备和系统的远程监控、控制和管理的系统。
它通过将传感器、执行器和控制器连接到网络上,并使用特定的控制协议进行通信,实现对设备和系统的实时监测和控制。
网络控制系统可以应用于各种领域,包括工业控制系统、智能交通系统、能源管理系统等。
通过网络控制系统,人们可以实时监测和控制各种设备和系统,提高效率、降低成本,并实现远程操作和管理。
网络控制系统的基本原理网络控制系统的基本原理可以简单概括为传感器、控制器和执行器之间的数据交换和控制。
传感器用于采集环境或设备的数据,并将其转换为数字信号发送给控制器。
控制器根据接收到的数据进行分析和处理,并生成控制信号发送给执行器。
执行器根据接收到的控制信号执行相应的动作,从而实现对设备和系统的控制。
在网络控制系统中,传感器、控制器和执行器之间通过网络进行数据交换和通信。
传感器将采集到的数据转换为数字信号,并通过网络发送给控制器。
控制器接收到数据后进行处理,并生成控制信号发送给执行器。
执行器接收到控制信号后执行相应的动作。
为了确保数据的准确性和实时性,网络控制系统通常采用实时操作系统和实时通信协议。
实时操作系统具有较高的实时性和可靠性,能够保证控制系统在规定的时间内完成任务。
实时通信协议则提供了可靠的数据传输和通信机制,确保控制信号的实时性和一致性。
网络控制系统的协议网络控制系统使用的协议包括传感器协议、控制协议和执行器协议。
传感器协议用于传感器和控制器之间的数据交换和通信,控制协议用于控制器和执行器之间的控制信号传输,执行器协议用于执行器和控制器之间的执行动作反馈。
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司目录1.整体说明 (3)2.核心技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准入控制技术 (5)2.3. 旁路干扰准入控制技术 (7)2.4. 透明网桥准入控制技术 (8)2.5. 虚拟网关准入控制技术 (9)2.6. 局域网控制技术 (9)2.7. 身份认证技术 (10)2.8. 安检修复技术 (10)2.9. 桌面系统联动 (11)3.产品功能对比 (11)1.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。
除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提供人性化帮助提示,主要表现在以下几大方面:●针对未注册终端,提供重定向下载页面供终端进行Agent下载和注册;●针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供用户选择;●提供人性化的安检评分重定向页面,采用Ajax技术,使得安检结果可以在重定向页面自动刷新,自动评分,并在重定向页面提供一键修复策略;●在终端入网的每个重定向环节提供帮助说明,对业务操作提供帮助链接,帮助终端使用者自动解决入网过程的所有问题,减少网络管理人员的参与,提高网络管理的效率,降低人工成本;●重定向页面的提供不基于特定的IE浏览器,只要是http的业务形式,无论是采用IE浏览器访问,还是采用客户端登录(例如QQ登录),或是客户端弹出窗口(例如QQ、飞信弹出内容模式)都可以进行重定向。
2.2.策略路由准入控制技术在过去,所有的准入控制模式几乎都是基于网络链路节点来进行控制的,从终端PC、网络交换设备、路由器防火墙等,所有的控制节点都放在了网络转发或传输设备本身。
这种模式不仅加重了网络基础设施的压力,同时也更容易形成单点故障,对网络业务本身可能造成不可连续性运营的困扰。
随着近年来准入控制技术的不断发展,越来越多的准入控制技术都采用了OOB(Out Of Band)模式,即所谓旁路部署模式,在准入控制产品的本身出现故障的情况下,并不会影响网络业务本身的可持续性运营,网络准入控制技术的发展也由此迈向了一个新的台阶。
北信源网络接入控制系统的策略路由模式,要求网络基础设施的核心设备(例如核心交换机)支持策略路由功能,通过将上行业务请求通过策略路由的控制定向到北信源网络接入控制系统,经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的方式,对终端入网进行安全可信的筛选,从而达到准入控制的效果,具体流程可以参考以下流程示意图:图4 策略路由准入控制模式示例流程由于策略路由模式只针对上行业务请求进行处理,不会影响下行业务返回的正常转发,也不影响网络路由和拓扑的更改,其安全性也得到了更多的保障,因而比较适合于大多数网络环境。
另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从安全角度来看,即使准入控制设备失去功效,也不会影响业务的正常转发,从而保证网络业务的可持续运营,因此,相对于以往的准入控制模式,策略路由模式无异于更受欢迎。
北信源网络接入控制系统完美的利用了核心设备策略路由的特性,结合北信源公司安全接入控制理念,并和北信源内网安全管理系统有效结合起来,为客户的内网终端安全管理提供有效的安全保障。
2.3.旁路干扰准入控制技术在OOB准入控制模式的发展趋势下,北信源公司研发了基于旁路干扰模式的准入控制方法,该准入控制方法采用和策略路由模式一致的旁路部署方法,是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术,相对于策略路由准入控制模式,旁路干扰准入控制模式有着更为突出的安全特性。
策略路由准入控制模式虽然采用旁路部署模式,但是从技术原理上来说,采用的是流量劫持的方式对上行业务流进行筛选。
而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,就像在快速运行的高速公路旁边部署了一台监控摄像头,当发现违规车辆时通过点对点的对话方式,让违规车辆自动接受处罚。
由于旁路干扰准入控制模式真正的旁路部署特性,其对现行业务流没有任何影响,因此相对于所有准入控制模式来说,有着得天独厚、无法比拟的安全性,其具体的业务流程参考下图:图5 旁路干扰准入控制模式示例流程旁路干扰准入控制模式要求核心设备(通常是核心或者汇聚层交换机)具备流量镜像的功能,相对与策略路由来说,有更多的交换机都支持流量镜像功能,因此对于不同网络环境的适应性更加强大。
除此之外,即使核心设备不支持流量镜像功能,也可以采用TAP分流的方式对流量进行复制分流,而这仅仅只需要增加一台分流/分光设备即可。
2.4.透明网桥准入控制技术在不支持策略路由或者旁路镜像的环境下,为了满足客户网络环境下的准入控制需求,采用串接的方式实现准入控制便显得尤为重要了。
透明网桥技术已经被大多数网络安全设备接受和认可,也是目前为止在网络关口层面控制最为严格的部署技术,北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中,采用ACL的方式对流量IP进行过滤,对不可信不安全的终端进行隔离修复。
图6 透明网桥准入控制模式示例流程2.5.虚拟网关准入控制技术虚拟网关是基于VLAN(Virtual Local Area Network)和SNMP(Simple Network Management Protocol )两种技术,在VLAN环境中,把设备接入的VLAN分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:未通过,则通过SNMP Write,将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所处VLAN, 切换为可信VLAN,正常上网。
2.6.局域网控制技术无论是策略路由、旁路干扰还是透明网桥准入控制技术,都是基于网络核心节点的网络接入控制技术,并不能真正对局域网终端节点之间的互访进行授信控制。
在以往的所有准入控制技术当中,对于局域网之间互访的授信控制是基于接入交换机端口的控制(802.1X)、IP地址获取控制(DHCP Enforcer)或者通过VLAN技术进行隔离。
北信源网络接入控制系统授予了终端可信判断的能力,对于安装有北信源网络接入控制系统Agent的终端,可以自动判断来访者的可信程度,如果发现来访者是不安全不可信的终端,Agent会丢弃来访的数据包请求,阻止不可信终端对自身的访问。
采用终端自判断的方式将局域网访问控制从网络节点设备下放到终端自身,不仅可以降低网络节点设备自身的压力,还可以规避其它局域网访问控制技术的缺陷,例如802.1x对hub、傻瓜式交换机下终端互访无法控制的问题以及采用手动设置IP规避DHCP自动获取的IP控制等。
而由于安装Agent 进行注册是入网授信必须经历的一个环节,因此采用终端自判断的局域网控制技术,可以完全有效的控制局域网终端之间的授信访问过程。
2.7.身份认证技术身份认证是终端可信认证的一个重要环节,随着信息安全技术的不断发展,针对身份认证安全可靠的特性也提出了更高的要求。
身份认证最重要的部分是防伪造、防抵赖,因此身份认证技术也从最初简单的用户名/口令,逐渐发展到证书、生物技术、动态密码以及多因素认证,防止一切可能伪造和抵赖的因素。
为了满足不同安全程度的身份认证需求,也为了适应客户网络环境中可能已经存在的身份存储和认证方式,北信源网络接入控制系统针对各种主流身份认证技术进行了符合性开发,为各种主流身份认证技术提供了认证接口,典型的诸如和Radius、LDAP、AD域、CA系统、邮箱系统相结合的认证,可以满足当前技术下大部分认证系统的需求。
2.8.安检修复技术除身份认证外,安检修复也是针对终端可信认证的重要环节,据权威机构研究证明,80%的信息泄密来自于企业或机构的内部计算机终端。
由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员,对于计算机的自主安全防护能力存在一定欠缺,因此造成了很大的泄密隐患。
针对内部终端被动泄密的问题,归根结底是因为终端的安全策略配置不够严谨(例如guest账户开启、弱口令设置以及不正常的注册表键值等)或者计算机本身存在安全漏洞(例如关键补丁未安装、杀毒软件未安装或者病毒库过期等原因)造成的。
针对此类情况,北信源网络接入控制系统采用主动探测和一键修复的技术设计,对入网计算机终端的安全测试进行检查和评分,对存在安全隐患的计算机终端强制禁止入网,并提供一键策略修复技术,解决终端可能存在的不安全隐患,从而达到全网终端的统一安全管理。
2.9.桌面系统联动北信源准入控制系统支持与桌面系统联动,在已经部署桌面系统的环境下,支持注册客户端透明准入,不需要二次认证注册,由桌面管理平台下发安全策略,客户端安全信息实时上报到准入网关,实时更新终端安全策略状况,风险控制严格,客户端上报安全信息不合规时,立即被隔离到隔离区,此时客户端仅能访问隔离区中的服务器,直到修复完全直到满足安全策略要求。
