北信源网络接入控制系统工作原理与功能对比说课讲解.docx
《北信源网络接入控制系统工作原理与功能对比说课讲解.docx》由会员分享,可在线阅读,更多相关《北信源网络接入控制系统工作原理与功能对比说课讲解.docx(13页珍藏版)》请在冰豆网上搜索。
北信源网络接入控制系统工作原理与功能对比说课讲解
北信源网络接入控制系统工作原理与功能对比
北信源网络接入控制系统
工作原理与功能
北京北信源软件股份有限公司
1.整体说明
准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;
管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;
准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;
2.核心技术
为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1.重定向技术
接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。
除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提供人性化帮助提示,主要表现在以下几大方面:
●针对未注册终端,提供重定向下载页面供终端进行Agent下载和注册;
●针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供用户选择;
●提供人性化的安检评分重定向页面,采用Ajax技术,使得安检结果可以在重定向页面自动刷新,自动评分,并在重定向页面提供一键修复策略;
●在终端入网的每个重定向环节提供帮助说明,对业务操作提供帮助链接,帮助终端使用者自动解决入网过程的所有问题,减少网络管理人员的参与,提高网络管理的效率,降低人工成本;
●重定向页面的提供不基于特定的IE浏览器,只要是http的业务形式,无论是采用IE浏览器访问,还是采用客户端登录(例如QQ登录),或是客户端弹出窗口(例如QQ、飞信弹出内容模式)都可以进行重定向。
2.2.策略路由准入控制技术
在过去,所有的准入控制模式几乎都是基于网络链路节点来进行控制的,从终端PC、网络交换设备、路由器防火墙等,所有的控制节点都放在了网络转发或传输设备本身。
这种模式不仅加重了网络基础设施的压力,同时也更容易形成单点故障,对网络业务本身可能造成不可连续性运营的困扰。
随着近年来准入控制技术的不断发展,越来越多的准入控制技术都采用了OOB(OutOfBand)模式,即所谓旁路部署模式,在准入控制产品的本身出现故障的情况下,并不会影响网络业务本身的可持续性运营,网络准入控制技术的发展也由此迈向了一个新的台阶。
北信源网络接入控制系统的策略路由模式,要求网络基础设施的核心设备(例如核心交换机)支持策略路由功能,通过将上行业务请求通过策略路由的控制定向到北信源网络接入控制系统,经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的方式,对终端入网进行安全可信的筛选,从而达到准入控制的效果,具体流程可以参考以下流程示意图:
图4策略路由准入控制模式示例流程
由于策略路由模式只针对上行业务请求进行处理,不会影响下行业务返回的正常转发,也不影响网络路由和拓扑的更改,其安全性也得到了更多的保障,因而比较适合于大多数网络环境。
另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从安全角度来看,即使准入控制设备失去功效,也不会影响业务的正常转发,从而保证网络业务的可持续运营,因此,相对于以往的准入控制模式,策略路由模式无异于更受欢迎。
北信源网络接入控制系统完美的利用了核心设备策略路由的特性,结合北信源公司安全接入控制理念,并和北信源内网安全管理系统有效结合起来,为客户的内网终端安全管理提供有效的安全保障。
2.3.旁路干扰准入控制技术
在OOB准入控制模式的发展趋势下,北信源公司研发了基于旁路干扰模式的准入控制方法,该准入控制方法采用和策略路由模式一致的旁路部署方法,是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术,相对于策略路由准入控制模式,旁路干扰准入控制模式有着更为突出的安全特性。
策略路由准入控制模式虽然采用旁路部署模式,但是从技术原理上来说,采用的是流量劫持的方式对上行业务流进行筛选。
而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,就像在快速运行的高速公路旁边部署了一台监控摄像头,当发现违规车辆时通过点对点的对话方式,让违规车辆自动接受处罚。
由于旁路干扰准入控制模式真正的旁路部署特性,其对现行业务流没有任何影响,因此相对于所有准入控制模式来说,有着得天独厚、无法比拟的安全性,其具体的业务流程参考下图:
图5旁路干扰准入控制模式示例流程
旁路干扰准入控制模式要求核心设备(通常是核心或者汇聚层交换机)具备流量镜像的功能,相对与策略路由来说,有更多的交换机都支持流量镜像功能,因此对于不同网络环境的适应性更加强大。
除此之外,即使核心设备不支持流量镜像功能,也可以采用TAP分流的方式对流量进行复制分流,而这仅仅只需要增加一台分流/分光设备即可。
2.4.透明网桥准入控制技术
在不支持策略路由或者旁路镜像的环境下,为了满足客户网络环境下的准入控制需求,采用串接的方式实现准入控制便显得尤为重要了。
透明网桥技术已经被大多数网络安全设备接受和认可,也是目前为止在网络关口层面控制最为严格的部署技术,北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中,采用ACL的方式对流量IP进行过滤,对不可信不安全的终端进行隔离修复。
图6透明网桥准入控制模式示例流程
2.5.虚拟网关准入控制技术
虚拟网关是基于VLAN(VirtualLocalAreaNetwork)和SNMP(SimpleNetworkManagementProtocol )两种技术,在VLAN环境中,把设备接入的VLAN分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:
未通过,则通过SNMPWrite,将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所处VLAN,切换为可信VLAN,正常上网。
2.6.局域网控制技术
无论是策略路由、旁路干扰还是透明网桥准入控制技术,都是基于网络核心节点的网络接入控制技术,并不能真正对局域网终端节点之间的互访进行授信控制。
在以往的所有准入控制技术当中,对于局域网之间互访的授信控制是基于接入交换机端口的控制(802.1X)、IP地址获取控制(DHCPEnforcer)或者通过VLAN技术进行隔离。
北信源网络接入控制系统授予了终端可信判断的能力,对于安装有北信源网络接入控制系统Agent的终端,可以自动判断来访者的可信程度,如果发现来访者是不安全不可信的终端,Agent会丢弃来访的数据包请求,阻止不可信终端对自身的访问。
采用终端自判断的方式将局域网访问控制从网络节点设备下放到终端自身,不仅可以降低网络节点设备自身的压力,还可以规避其它局域网访问控制技术的缺陷,例如802.1x对hub、傻瓜式交换机下终端互访无法控制的问题以及采用手动设置IP规避DHCP自动获取的IP控制等。
而由于安装Agent进行注册是入网授信必须经历的一个环节,因此采用终端自判断的局域网控制技术,可以完全有效的控制局域网终端之间的授信访问过程。
2.7.身份认证技术
身份认证是终端可信认证的一个重要环节,随着信息安全技术的不断发展,针对身份认证安全可靠的特性也提出了更高的要求。
身份认证最重要的部分是防伪造、防抵赖,因此身份认证技术也从最初简单的用户名/口令,逐渐发展到证书、生物技术、动态密码以及多因素认证,防止一切可能伪造和抵赖的因素。
为了满足不同安全程度的身份认证需求,也为了适应客户网络环境中可能已经存在的身份存储和认证方式,北信源网络接入控制系统针对各种主流身份认证技术进行了符合性开发,为各种主流身份认证技术提供了认证接口,典型的诸如和Radius、LDAP、AD域、CA系统、邮箱系统相结合的认证,可以满足当前技术下大部分认证系统的需求。
2.8.安检修复技术
除身份认证外,安检修复也是针对终端可信认证的重要环节,据权威机构研究证明,80%的信息泄密来自于企业或机构的内部计算机终端。
由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员,对于计算机的自主安全防护能力存在一定欠缺,因此造成了很大的泄密隐患。
针对内部终端被动泄密的问题,归根结底是因为终端的安全策略配置不够严谨(例如guest账户开启、弱口令设置以及不正常的注册表键值等)或者计算机本身存在安全漏洞(例如关键补丁未安装、杀毒软件未安装或者病毒库过期等原因)造成的。
针对此类情况,北信源网络接入控制系统采用主动探测和一键修复的技术设计,对入网计算机终端的安全测试进行检查和评分,对存在安全隐患的计算机终端强制禁止入网,并提供一键策略修复技术,解决终端可能存在的不安全隐患,从而达到全网终端的统一安全管理。
2.9.桌面系统联动
北信源准入控制系统支持与桌面系统联动,在已经部署桌面系统的环境下,
支持注册客户端透明准入,不需要二次认证注册,由桌面管理平台下发安全策略,客户端安全信息实时上报到准入网关,实时更新终端安全策略状况,风险控制严格,客户端上报安全信息不合规时,立即被隔离到隔离区,此时客户端仅能访问隔离区中的服务器,直到修复完全直到满足安全策略要求。
产品支持与客户端AD域实名同步,符合安全要求的注册信息才准许入网,同时自动配合域组织架构信息,达到实时动态审核,同步更新域组织信息,简化实名注册审核机制,规范终端实名架构,统一管理,一目了然。
3.产品功能对比
功能项
功能描述
北信源
江南天安
注册管理
自定义注册信息,要求可以定义必须填写的注册信息项,可根据需要启用/禁用自定义项。
自定义单元丰富
简单
终端注册的日志记录功能,并可根据时间、设备名、注册者、IP及动作等关键字进行记录查询。
支持
支持
针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示,提示进行客户端注册。
支持
支持
支持实名制注册审核管理功能,支持与OA系统、AD域等组织架构服务器同步组织架构,自动根据设置关键字段实名审核,同时支持已注册终端可通过管理员手动审核或者短信审核通过之后才可以接入网络。
支持
不支持
资产管理
终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。
明细多丰富
支持
终端软件资产统计和查询,统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况。
支持
支持
对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。
支持
支持
身份认证与安全检查
本地认证系统,支持自定义本地用户和密码,支持本地认证用户自行修改密码。
支持
支持
支持与AD域服务器、LDAP服务器实现联动认证,并且支持帐户信息的自动同步以及导入导出;
支持
支持
认证超时机制,超时帐户强制自动登出,要求超时时间可以自行配置。
必须支持帐户超期统一登出机制,登出时间可根据需要自行设置。
支持
不支持
帐户尝试登录限制,要求尝试登录次数可进行配置,尝试登录失败可锁定帐户,锁定时间可按需配置。
支持
支持
帐户角色绑定功能,不同用户帐户继承所属角色的访问权限以及安检要求。
支持
不支持
安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查、IE代理检查等。
支持
支持
支持指定时间周期内安检。
支持
不支持
安全域控制功能,可根据角色属性定制不同的安全域,用户认证成功后,安全域角色控制功能自动生效,相关角色帐户只能访问指定的安全控制域。
支持
不支持
对未认证通过用户入网时进行阻断,能够提供web重定向提醒,并说明入网阻断原因。
支持
支持
对身份认证通过后的用户终端进行安全检查,并对安检进度提供进度条提示,未通过安检的终端给出未通过项提示并阻断入网,支持安检未通过一键修复功能。
支持
支持
准入控制
串接和旁路部署模式,支持策略路由、旁路干扰、透明串接、虚拟网关等多种准入控制模式。
支持
不支持旁路镜像部署
基于终端心跳和终端水印认证双重准入判断,自动发现采用NAT模式入网的终端并强制认证。
支持,特有水印技术
不支持
准入策略制定功能,可根据访问IP源、目的域以及准入流程进行策略制定,目的域需是IP、端口以及目录的组合
支持
不支持
准入流程差异化控制,可根据准入策略控制终端仅注册、仅认证、注册及认证、注册认证及安检等差异化准入控制策略。
支持
支持
对路由、无线、AP、HUB等环境下的终端实施准入控制,支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。
支持
支持不全
三层环境下IP和MAC绑定
支持
不支持
访客控制
外来终端或者访客初次入网阻断,并给出入网指导提示
支持
支持
外来终端或者访客自助申请上网码,只需要提供管理员要求提供的入网申请资料,便可申请上网码
支持
支持
访客自助查询上网码功能,访客提交入网资料并经管理员审批通过后,可以自助查询上网码。
支持
支持
访客上网码短信审核功能,管理员无需登录管理平台,只需回复短信就可以对访客入网进行审核。
支持
不支持
支持安卓客户端
支持
不支持
系统监控
系统本身业务接口的连接状态以及接口速率进行监控,支持对系统本身的CPU以及内存使用率提供仪表盘式图形化实时监控数据,支持数据自动刷新。
支持
不提供流量监控
对在线终端状态提供图形化实时分析报表,分析内容至少包含接入设备、待审核设备、注册设备、认证设备、访客设备、入网设备、白名单设备、隔离设备、离线设备等不少于9种状态。
比较详细
不全
设备提供内置旁路模块,在设备发生异常的情况下能够快速切换到Bypass模式,从而有效地保证网络链路的畅通。
支持
不支持
系统管理
要求支持基于https的B/S架构管理、支持基于SSH的命令行操作管理界面、支持基于serial串口的设备后台管理模式
支持
支持
自定义系统管理员,支持管理员角色定义,支持三权分立的管理员角色管理,支持管理员密码复杂度设置,支持管理员帐户登录尝试次数限制和超时限制,其中尝试次数和时间都可以根据需要进行自定义。
支持
支持
级联管理员功能,在部署一台设备的情况下,可以根据IP范围建立多个级联帐号,级联管理员只能查看和管理自己IP范围内的数据;
支持
不支持
邮件或者短信告警机制,支持与短信网关联动,当出现访客或注册待审核信息、设备违规信息、帐号到期、帐号尝试次数超限锁定等情况,可以以邮件或者短信告警的方式通知管理员
支持
支持
升级会员 