天珣产品培训——准入控制功能原理介绍 V1.0

格式：ppt
大小：5.15 MB
文档页数：29

下载文档原格式

天珣各项功能模块

各项功能模块
模块
需求
功能需求
基本配置
支持按需支援管理员
支持策略服务器
支持按管理网段划分
支持按IP组进行划分
支持部门与注册
支持本地用户功能
支持用户组功能
支持可信MAC管理
支持可信GUID策略
支持用户、IP、MAC组合管理
支持网络设备配置列表功能
支持分组信息功能
支持查看客户端全局参数功能
安全基线
支持补丁强制策略
支持进程运行策略包含红名单、黑名单、白名单
支持软件安装策略包含红名单、黑名单、白名单、文件规范
支持防病毒软件策略
支持Windows服务策略包含Windows服务、SNMP服务
支持Windows账户策略包含账户策略、密码策略
支持Windows本地策略包含审核策略、用户权限分配策略、安全选项、IP协议安全、数据执行保护
支持注册表策略
支持共享资源策略
支持Windows事件日志管理
支持用户环境策略
支持终端强制注册功能
准入控制
支持网络准入功能
支持应用准入功能
支持客户端准入功能
支持ARP准入功能
安全防护
支持协议端口设定
支持防护策略
支持访客策略
补丁管理
支持在线补丁源
支持手工补丁源
支持补丁分发卸载
支持WSUS集成管理
支持补丁查询
桌面运维
支持软件分发功能
支持短消息发送功能
支持计算机命名规范功能
支持远程文件删除功能
支持终端实时操控功能
支持终端资源状况监控功能
认证管理
支持第三方CA机构认证
信息中心
支持接入信息统计
支持资产信息统计

网御星云培训教材

Leadsec Confidential
22
SSH远程登录管理防火墙
SSH登录管理必须首先在菜单“防火墙>>本地服务”中添加ssh-server服务，才可以通过SSH协议远程登录安全网关。以SecureCRT 5.0版本客户端为例，客户端设置选择协议为ssh2，端口为8283，用户为root，默认密码 leadsecntr。此时客户端的IP必须是管理主机IP之一。 root@SuperV-5800 ~$ cli_sh SuperV-5800#config SuperV-5800(config)#
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
17
图形界面 - WebUI
可以通过图形化用户界面进行网络管理 –需要极少配置（默认管理地址:10.1.5.254） –https://10.1.5.254:8888 –PC需要本地子网上的一个地址 –密码保护 -https
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
2
第一章
云计算安全架构综述
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
1
课程目标
完成本课程，你将能够:
Leadsec 多核防火墙管理 Leadsec 多核防火墙策略配置
Leadsec Guard日常管理及维护
Leadsec IPS日常管理及维护 Leadsec SAG日常管理及维护 Leadsec 安全审计日常管理及维护日常网络故障排错

准入控制系统安全检查入网检测管理员未配置对应策略

准入控制系统安全检查入网检测管理员未配置对应策略1.为什么需要准入控制系统？目前，企业和组织均建立了较完善的信息化设施和网络，也可能已经上了防火墙和上网行为管理系统等管理手段，但新形势下普遍存在一个问题，就是每时每刻都有新的终端加入您的网络，终端已不再是传统意义上我们所理解的“终端”，它不仅是网线所连接的PC，还包括未授权的笔记本、BYOD、PAD、网络设备及各种各样的IOT设备。

这些未经合规性检测的终端可能会因未安装杀毒软件、漏洞补丁未更新等，存在病毒流入和内部信息外泄等安全隐患。

2.什么是准入控制系统？准入控制系统通过积极主动诊断多种网络访问设备的健康性，并采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权计算机私自访问网络带来的安全隐患。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。

准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。

3.常用的准入控制的技术有什么？802.1X技术和ARP技术是目前使用较多的准入控制技术。

4.哪些行业需要准入控制系统？医疗卫生对所有进入医院内网的终端进行准入控制，保证入网终端合法合规。

自动发现网络环路并快速定位环路端口，保障业务系统网络正常运行。

确保终端用户接入的可控性，保证接入人员和终端的合规性。

2.企业集中的策略制定让用户得以轻松进行终端安全管理，大幅降低时间成本，从而将更多精力专注在自己的核心业务上。

外来“访客”，划入访客专网，同企业内网逻辑隔离。

同时可设置临时准入，并控制访客网络访问权限。

自动发现网络资产，帮助管理员了解网络的真实情况。

3. 政府①电子政务内网：建立需授权接入的可信网络体系。

建智能化管理体系，掌握全网安全趋势。

建立人性化的运维体系，操作简单易用性。

启明星辰全产品线介绍

29
天清IPS：一个“热”产
CERT CNCERT/CC
CVE CNCVE
披研露信究息安安全事全件的不确披露定漏洞性
Microsoft 相关软件厂家
开放源代码
找出环境信息的变化的要素和规律信息安全
博士后工作站
研究攻击躲避机理设计抗躲避机制/算法
自我认知阶段→ 了解面临的风险（威胁、弱点、价值）
看问题
18
• 各产品应用定位 • 专业化安全产品发展之路
安全产品总体趋势与发展方向
• 安全目标更具体、产品定位更清晰、防御更有效
– 在不可信的网络世界中，建立纵深防御体系的需要
• 产品融入专业服务，逐渐由“冷”变“热”
– 安全变得简单，安全成为服务，服务成就安全
10
IDS与IPS的区别
11
IPS是深层防御、IDS是全面检测
检测与监控设施可以有可疑行为
需要人工分析入侵检测IDS
监
控平
漏洞扫描
台
审计系统
要求精确
防护与控制设施
对人工分析无要求
入侵防御IPS
防火墙
接入控制
部署目标
• 强化风险管理能力 • 及时了解安全状况 • 为改善风险控制环境提
供决策依据
研究漏洞机理研究新攻击特征
ADLABTM
攻击特征无法精确定义
产品研发
发现新漏洞
基于攻击躲实避机时理的更新安全产攻击品特征的环境信息图例
精确识别程序包
可被精确定义
资源人/组织
实现精确打击在线升级引擎，加载新算法
列入产品可升级事件库
办公网络
USG
天珣
核心计算域－止损

20110926_企业版客户端维护手册FAQV1.0_天珣内网安全风险管理与审计系统V6.6.9.3

天珣内网安全风险管理与审计系统客户端维护手册之FAQ（V6.6.9.3）启明星辰Beijing Venustech Cybervision Co., Ltd.2011 年9月1.客户端安装类Q：天珣客户端正常运行，但是右键菜单中的“防火墙设置”选项显示为灰色。

这表明防火墙模块未安装成功。

A：可能是Windows相关组件有问题或者杀毒软件拦截了组件的安装，导致无法正常安装防火墙模块的相关驱动。

方法一.可尝试手工添加防火墙模块相关驱动。

在本地连接属性中，点击“安装”按钮：选择要安装的网络组件类型“服务”，点击添加：点击从磁盘安装：在天珣客户端安装目录选择驱动安装文件netsf.inf。

点击确定，安装即可：安装完成后，再重新运行一次ClientSetup.exe安装天珣客户端。

一般即可成功安装防火墙模块，如果仍然不成功，则需要重新安装操作系统。

Q：windows2000系统安装客户端失败？提示“安装前设置过程失败，安装无法继续。

不能进行客户端安装”。

A：（1）检查Win2000 系统是否为SP4；如果不是，需要安装SP4补丁；（2）下载安装Windows installer 3.1，下载地址为：中文版/downloads/details.aspx?FamilyID=889482fc‐5f56‐4a38‐b838‐de7 76fd4138c&displaylang=zh‐cn英文版/downloads/details.aspx?FamilyID=889482fc‐5f56‐4a38‐b838‐de7 76fd4138c&DisplayLang=enQ：安装天珣客户端时，提示天珣防火墙报错？A：用户非常规卸载了天珣的可户端导致了防火墙驱动没正常卸载掉。

而重新安装天珣客户端的时候，因驱动已经存在而安装失败。

建议不要用户非常规卸载天珣客户端。

Q：是否可以保证天珣在用户无干预、无感知的情况下安装完毕？A：不能，安装过程会提示重启。

天珣非法外联控制四步曲

天珣非法外联控制四步曲北京启明星辰信息安全技术有限公司天珣产品部刘希诚计算机和网络技术的发展，为终端电脑提供了丰富的网络和设备互联的手段，借助这些手段，用户不仅可以直接通过有限的网络实现与其他电脑或Internet实现互联，也可以通过多种无线连接方式，例如无线局域网、红外线、蓝牙等实现网络和设备和互联，还可以通过终端提供的丰富的外设接口，例如USB接口、COM口、LPT口、Modem等多种接口，实现终端与外设、终端与终端或终端与网络的互联。

除此之外，在以上物理连接通的基础上，还有PPOE虚拟拨号、各类VPN供选择，作为安全的互连互通的可选方式。

然而，正是电脑具备的多种多样互联互通的方式，却成为内网合规管理实践中，所要面对的最大的挑战之一。

合规管理要求，内网终端电脑对Internet、内部网络和内部的其他终端或服务器的访问，要根据其使用者所在的部门和安全分级管理中的角色，根据管理的需求，只有其中一种或多种的网络互联使用权限；但现实是，即使内网终端有严格的互联规定，但因缺少有效的技术手段，仍有大量终端用户，违规进行“一机多用”和“非法外联”。

借助终端提供的多种外联通道，越权进行非法网络和设备外联，随意外发内部涉密资料，同时也为病毒、木马攻击内网提供了理想的通道，病毒或木马可以借助终端用户违禁使用U盘、擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中，乘虚而入，攻入内网，严重威胁到内网的稳定运行和内网中内部数据的安全。

天珣内网风险管理与审计系统（以下简称天珣），作为启明星辰“五维内网合规管理模型”的最佳实践，同样在防止内网终端非法外联有着非凡的表现，部署天珣之后，简单四步即可彻底解决内网终端非法外联的“顽疾”。

第一步：启用用终端多网卡限制，保证只能通过指定网卡联网；第二步：启用终端外设接口限制，防止通过Modem、红外、蓝牙等非法外联；第三步：启用在移动存储认证，确保授权用户使用授权Ｕ盘进行数据安全共享；第四步：启用终端异常路由审计，侦测终端可能存在的其他网络非法外联蛛丝马迹。

923063-Ctirx思杰-介绍-海口市信息中心云桌面系统安全设计方案v1.0-20121127

海口市信息中心云桌面系统安全设计方案目录一、概述 (2)二、云桌面系统安全建设原则 (3)1.1、安全建设原则 (3)三、云桌面系统安全架构设计 (4)2.1、系统安全防护能力设计 (4)2.2、系统安全访问能力设计 (5)2.3、系统服务安全设计 (6)2.4、系统接入设备安全能力设计 (7)四、云桌面整体安全设计与各功能设计 (9)3.1、云桌面系统整体安全设计 (9)3.2、云桌面安全设计与等保要求 (10)3.3 结合第三方身份认证功能设计 (11)3.4、网络加密传输与安全网关接入设计 (13)3.5、用户帐户的集中管理与授权 (15)3.6、数据保密安全功能设计 (16)3.7、虚拟桌面镜像安全和存储安全功能 (17)3.8、操作日志智能审计安全功能 (17)一、概述基于云桌面系统的政府移动办公解决方案，完全不同于传统模式的桌面终端管理软件，集中化和虚拟化的特点不仅仅会大大增强内部系统及网络的安全性，同时也因此减少了网络运维的复杂程度和运维成本。

针对政府移动办公云桌面系统安全设计，立足可靠的安全保障体系，把安全放在首位，确保移动应用具有稳定性、高效性、可扩展性和安全性。

系统的安全体系要独立于公网运营商，系统的安全保障不依赖公网运营商的安全保障，但鼓励将公网运营商的安全保障作为系统安全措施的辅助或补充。

由传统的桌面终端迁移至云桌面系统，用户的接入方式、应用访问模型都会发生较大的改变。

具体表现为：•传统桌面终端与桌面云；•同样面临用户身份、终端管理和访问控制的问题；•同样面临桌面安全的问题；•同样面临数据保护和防泄漏的问题；•传统的终端安全控制手段在桌面云中同样适用，例如：利用802.1x或接入网关实现的桌面终端接入认证和控制，微软RMS桌面权限管理服务系统等；•传统桌面终端与桌面云的相异点：•用户的访问模型由二层（终端→应用）变为三层（客户端→桌面云→应用），这意味着，身份管理和访问控制由终端延伸至客户端、桌面云；•用户数据由分散（终端）到集中（桌面云），既带来集中数据的安全保护问题，但桌面云的集中可控，又使得对客户端的外设管理、恶意代码防护、补丁管理和桌面行为审计等得到大大的简化；•桌面云在传统的操作系统之下引入了新的虚拟化层，带来新的安全风险。

终端防护产品——天珣系

√
读
√
写
√
加密
多种文件授权共享管理机制
目录加密插入/ 插入/拔出
加密
全盘加密分区表加扰
审计
新建/ 新建/删除读/写/复制
27
终端审计
文件操作审计文件打印审计上网行为审计移动存储审计异常路由审计 Windows登录审计 Windows登录审计
10
终端准入控制 – 客户端准入
基于安全策略、基于安全策略、访问控制策略的客户端准入
内网
天珣管理服务器
11
层层设防的终端准入控制
多因素组合认证
User-IP-MAC+有效期 User-IP-MAC+有效期应用层 User- +有效期 User-IP +有效期 IP-MAC +有效期 IP+有效期网络层 MAC- +有效期 MAC-IP +有效期 User-Vlan-IPUser-Vlan-IP-MAC +有 +有效期终端层安全状态
22
桌面合规管理 – 补丁与软件分发管理
Windows操作系统补丁分发管理 Windows操作系统补丁分发管理
支持多语言版本多种补丁源，在线/WSUS/ /WSUS/手工多种补丁源，在线/WSUS/手工多种下发选项，自动/手工/ 多种下发选项，自动/手工/强制支持离线补丁升级关键补丁强制安装
修复区
9
终端准入控制 – 应用准入
基于策略网关的应用层准入
内网
DNS服务器 DNS服务器(支持服务器( 旁路式策略网关) 旁路式策略网关)
Web/Mail服务器 Web/Mail服务器
天清汉马USG 天清汉马USG

启明星辰全系列产品

启明星辰全线产品序号设备名称产品描述优势威胁管理类1 天阗入侵检测与管理系统新一代威胁检测、分析与管理产品。

对于病毒、木马、DDos、扫描、SQL注入、XXS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为等威胁具有高精度的检测能力，通过智能过滤技术，仅向使用者展示真正需要关注的威胁，在减轻使用者工作量的同时，保障威胁处理的及时性。

1、业界领先的威胁检测和识别技术（专利）；2、稳居国内市场第一位；3、国内针对APT攻击检测解决方案第一人；4、安全类认证齐全。

2天清入侵防御系统天清入侵防御系统NIPS系列在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，并集防火墙、防病毒、上网行为管理、无线安全模块、抗拒服务器攻击、内容过滤、NetFlow等多种安全技术于一身，同时全面支持Qos、高可用性、日志审计等功能，为网络提供全面的实时的安全防护。

1、业界领先的威胁检测和识别技术（专利）；2、多核技术架构，芯片级高级数据处理，低延时低功耗；3、IPv6金牌认证；4、安全类认证齐全。

3 天清web应用安全网关新一代Web安全防护与应用交付类应用安全产品，主要针对Web服务器进行HTTP/HTTPS流量分析，防护以Web应用访问各方面进行优化，通过网页防篡改及负载均衡等技术来提高Web或网络协议应用的可用性、性能及安全性，确保Web业务应用能够快读、安全、可靠的交付。

1、采用国际领先的MIPS64多核处理器架构（非Intel）2、芯片级高效数据处理能力，低延迟低功耗；3、IPv6金牌认证；4、拥有SQL注入攻击国家专利技术及其他多项技术专利；5、安全类认证齐全。

4 天清无线安全引擎无线安全引擎是一款专门针对无线网络的安全硬件设备，能够监听空间区域内的无线信号，检测扫描、欺骗、Dos、暴力破解等各针对无线网络链路等的攻击行为，并采取阻断和报警措施，自动发现覆盖区域内的无线设备及终端，并可通过安全策略阻断流氓AP及非法终端、提升无线网络的使用效果。

下一代防火墙产品知识介绍

威胁检测系列
➢ 恶意代码发现 ➢ 蜜罐系统 ➢ 底层硬件威胁检查 ➢ 网络边界完整性检查
工控安全系列
➢ 工控防火墙 ➢ 工控入侵检测/工控业
务检测 ➢ 工控漏扫/工控安全运
维平台 ➢ 工控终端控制/工控无
线安全 ➢…
传统上，防火墙的安全能力包括：
• 基于IP五元组的访问控制策略 • 基于静态特征匹配的应用层安全防护 • 对网络行为和部分明文数据记录日志 • 策略配置和威胁处理依赖管理员技术能力 • 单纯防火墙形态可支撑数G的业务流量
➢ 终端管理 ➢ 终端防泄密 ➢ 景云网络防病毒 ➢ 移动设备管理 ➢ 数据安全（文档加密）
泰合系列
➢ 安全管理平台（SOC） ➢ 业务支撑平台（BSM） ➢ 综合日志审计（SA） ➢ 网络行为分析（NBA） ➢ 应用性能管理（APM） ➢ 4A平台 ➢ 弱口令核查系统 ➢ 漏洞管理平台
合众系列
➢ 视频安全交换系统 ➢ 光盘物理摆渡系统 ➢ 电子文档访问控制 ➢ 分布式数据库系统 ➢ 大数据基础平台 ➢ 数据集成系统 ➢ 请求服务系统 ➢ 集中监控管理系统
平面（安全业务处理）动态分配不同平面的CPU资源，无分流瓶颈或业务瓶颈开启全部安全特性，64字节小包吞吐量可达100G bps
T系列NGFW有效提升您的下一代安全能力
基础
高性能架构
基于第三代多核并行化架构，提供高达160G的吞吐能力和超万兆实网性能。
核心价值
安全控制能力
基于七元组、多维度的安全控制能力，涵盖访问控制、会话控制、行为控制和流量控制
Internet
可疑文件发送至APT检测引擎
分析样本提取特征
– T系列下一代防火墙支持与启明星辰天清APT形成安全解决方案，为客户提供面向0DAY/APT攻击的纵深防护体系。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Page 11
天珣支持的认证条件类型
• • • • • • • • •
Page 12
Username/Password 可信MAC IP-MAC组合 User-IP-MAC组合认证有效期 GUID（电脑的物理信息）数字证书（文件类型或UKEY）交换机端口天珣服务器设置的安全状态
天珣支持的局域网和用户类型
DNS指向互联网上的DNS服务器
天珣DNS准入数据交互
1 2 3
终端向DNS服务器发送解析请求，请求包中包含了终端的状态标识安装了客户端并且安全状态符合要求则得到正确的响应未安装客户端的终端得到的响应为修复服务器地址不合规终端访问修复服务器
4
ISA准入控制
ISA准入数据交互
1
终端通过ISA代理进行HTTP访问天珣ISA过滤器插件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时代理将检查结果告知策略网关终端安装客户端且安全状态符合要求则访问进行终端未安装客户端或安全状态不要求，则重定向访问被重定向的客户端访问修复服务器
IIS准入数据交互
WEB准入控制流程
通过IE访问第三方登录页面
嵌入式代码检查IE是否安装了天珣IE控件
否
是
提示用户安装IE控件
否
IE控件从服务器端查询本机是否被准入
能够正常登录访问
是否
IE控件检查标准客户端是否正在运行
是
重定向到标准客户端安装页面
能够正常登录访问
终端准入
1、客户端准入
2、ARP准入
Page 10
802.1x端口受控模式
• Port-Based
– 一个交换机端口只要有一台终端认证通过了，所有终端都能获得访问授权 – Cisco交换机 – 支持MAC-Based的交换机
• MAC-Based
– 一个交换机端口下接的每台终端都需要分别认证通过，才能获得访问授权 – H3C – 华为 – 锐捷 – 其他国内交换机
EOU
Si Si
Inernet
网关联动
802.1x
网络层
•
终端层准入控制
– – 客户端准入 ARP 准入
客户端准入 ARP准入终端层
……
Page 2
1、网络准入
目录
2、应用准入 3、终端准入
Page 3
1、接入层准入——802.1X准入（有线或无线）
网络准入
2、汇聚层准入——EOU准入（思科设备） 3、网关型准入——天珣与天清汉马网关联动
1
终端访问以任意端口提供服务的IIS应用天珣IIS API插件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时代理将检查结果告知策略网关终端安装客户端且安全状态符合要求则访问进行终端未安装客户端或安全状态不要求，则重定向访问被重定向的客户端访问修复服务器
Page 4
系统角色
系统角色定义
验证者（Authenticator）对接入的网络实体进行验证的实体
请求者（Supplicant）验证服务器
被所接入的验证者验证的网络实体
对验证者提供验证服务的实体，这种服务决定请（Authentication Server）求者是否被允许接入验证者所提供的服务
• 局域网类型
– 有线局域网 – 无线局域网
• 用户认证类型
– AD域 – OpenLDAP – 天珣本地用户

Page 13
EOU准入控制数据交互
企业网络天珣客户端
1 2 3 8
Cisco汇聚层网络设备 9
认证服务器
4 5
目录服务器
7
6
1 2 3
客户端发送IP数据包至Cisco汇聚层设备 Cisco汇聚层设备通过EAPoUDP要求客户端发送认证信息客户端通过EOU将认证信息发送给Cisco汇聚层设备 Cisco设备将客户端认证信息通过Radius协议转发给认证服务器认证服务器收到信息开始验证工作，与目录服务器交互，确认用户权限目录服务器将用户身份认证的结果反馈给认证服务器认证服务器根据认证结果发送允许或拒绝接入的ACLs/URL redirect Cisco设备反馈认证结果给客户端
天珣内网安全风险管理与审计系统准入控制原理
启明星辰 2013.9
天珣—准入控制最佳实践
• 网络层准入控制
– – – 接入层—802.1x 汇聚层— EOU 网络边界—网关联动
Web准入 IIS准入 ISA准入 DNS准入通用准入
应用层
•
应用层准入控制
– – – – – 通用准入 DNS准入 ISA准入 IIS准入 Web准入
Page 26
客户端准入
终端被访问
1
终端访问网络
1
接收到访问包
应用程序访问网络
2
自身安全状态检查 Pass or Deny 补丁？病毒码？运行软件？ ……
2
Pass or Deny 自身安全状态检查
补丁？病毒码？运行软件？ ……
3
检查对方是否运行了客户端软件
4
Pass or Deny 并给出修复指引
代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时代理将检查结果告知策略网关终端安装客户端且安全状态符合要求则放行该访问终端未安装客户端或安全状态不要求，则重定向访问被重定向的客户端访问修复服务器
开启UTM联动的准备工作
• • • • • 1、统计ip电话的ip地址 2、统计网络视频终端的IP地址 3、统计POSS机的IP地址 4、UTM上联设备和下联设备的互联地址 5、统计其他非正常windows操作系统设备的IP地址 • 6 、IDS/UTM管理地址。 • 7、天珣主/备服务器的IP地址。
谢谢！
Page 29
Page 5
受控端口和非受控端口
验证者系统受控端口非受控端口受控端口
验证者系统非受控端口
未被授权的端口
授权的端口
LAN
LAN
Page 6
端口控制模式
模式强行未授权
行为受控端口被无条件设置为未授权状态受控端口被无条件设置为已授权状态允许协议控制受控端口的授权状态
（ForceUnauthorized）
3
Pass or Deny 并给出修复指引
ARP准入
1
接收到ARP请求
•
2
是否有客户端标识
3
如果没有，发 ARP欺骗包
天珣ARP准入的特点以应答方式进行ARP欺骗，发包数量少，没有广播包，对网络影小安静地不回应。如果ARP包被请求者有客户端而请求者无客户端，则被请求者安静地不回应，没有ARP欺骗包发出，进一步降低对网络的影响。
1、通用准入 2、DNS准入
应用准入
3、ISA准入 4、IIS准入 5、WEB准入
Page 18
天珣通用准入控制
1
终端访问受网关保护的应用服务器天珣网关组件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时代理将检查结果告知策略网关终端安装客户端且安全状态符合要求则访问进行终端未安装客户端或安全状态不要求，则重定向访问被重定向的客户端访问修复服务器
1 2 3
6
5
4
天珣客户端
支持802.1x的交换机或无线AP
天珣Radius服务器
目录服务器
1 2 3 4 5 6
天珣客户端发送身份认证信息给交换机（借助802.1x协议）交换机将认证信息转发给Radius服务器 Radius服务器收到信息开始验证工作，与目录服务器交互，确认用户权限目录服务器将用户身份认证的结果反馈给Radius服务器 Radius服务器根据验证的结果通知交换机是否打开端口将认证结果告知EPOS客户端
4
5 6 7 8 9
客户端将被授权/拒绝/访问重定向或者隔离
EOU准入控制过程图示
•
天珣对EOU的支持用户认证、可信MAC认证、有效期认证无客户端时重定向到安装客户端的页面
网关联动数据交互
1
终端访问USG保护区域，流量经过USG USG向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
强行授权（ForceAuthorized）自动（Auto）
Page 7
工作原理
请求者系统
验证者系统
验证服务器系统
请求者PAE
验证者系统提供的服务未被授权的端口
验证者PAE 承载在高层协议中的EAP报文
验证服务器
LAN/WLAN
Page 8
802.1x的协议流程
Page 9
天珣802.1X 准入控制
DNS准入部署示意
旁路式DNS准入
互联网上的DNS服务器
在线式DNS准入
内网应用服务器 DNS服务器 DNS策略网关
互联网
企业内网
互联网
出口交换机 DNS策略网关
DNS指向内部 DNS服务器
企业内网
•
天珣DNS准入
同时支持旁路式和在线式两种模式对于未安装客户端的终端，任何DNS请求都解析为下载服务器的IP地址对于已安装客户端的终端，由客户端准入实施进一步的控制