1、北信源網絡接入控制系統工作原理與功能北京北信源軟件股份有限公司目錄2.核心技術 .2.1.重定向技術 .2.2.策略路由準入控制技術 .2.3.旁路干擾準入控制技術 .2.4.透明網橋準入控制技術 .2.5.虛擬網關準入控制技術 .2.6.局域網控制技術 .2.7.身份認證技術 .2.8.安檢修復技術 .2.9.桌面系統聯動 .3.產品功能對比 .1. 整體說明準入網關對接入設備進行訪問控制，對于未注冊用戶進行WEB重定向進行注冊；注冊后的用戶進行認證或安檢后可以訪問網絡；管理員可以配置采取何種準入控制方式，如策略路由，旁路監聽，透明網橋，虛擬網關等；同時可以選擇使用不同的認證類型，如本地認證

2、，Radius 認證， AD 域認證等，而認證途徑采取網關強制重定向；準入網關整體上對準入的控制可分為兩類，一類是網關自己控制數據的流通，另一類則是通過配置交換機，讓交換機來控制數據包的流通。目前準入網關實現的策略路由和旁路監聽，透明網橋等準入控制均屬于前者，也就是網關自己通過放行或丟棄、阻斷數據包，來達到準入控制，對于數據包的阻斷是基于tcp 實現的；而虛擬網關則是通過控制交換機VLAN來達到準入控制；2. 核心技術為了適應不同業務環境下的統一入網控制，北信源網絡接入控制系統采用多種核心技術設計，支持多種準入控制模式，實現從多角度多維度的終端入網安全控制。2.1. 重定向技術接入控制的目的是

3、為了阻止不可信終端隨意接入網絡，對于不可信終端的判定需要一個過程，如何在判定過程中進行良好的提示 , 這就對產品的人機界面設計提出了較高的要求。業界通常的做法是針對 http 性質的業務訪問進行重定向，以往針對 http 的業務區分主要基于業務端口（主要為 80 端口），對于非 80 業務端口的 http 業務不能有效區分。針對以上情況， 北信源網絡接入控制系統對 http 業務進行了深度識別， 除 80 端口的 http業務可以進行有效重定向之外， 針對非 80 端口的 http 業務也能進行有效的識別和重定向。除此之外，北信源網絡接入控制系統針對終端入網的控制流程進行了重定向優化，針對終端

4、入網注冊、認證、安檢、修復的整個流程進行了人性化的設計，整個重定向過程符合終端入網習慣，貫穿終端入網的全過程，并在重定向頁面提供人性化幫助提示，主要表現在以下幾大方面 :針對未注冊終端，提供重定向下載頁面供終端進行Agent 下載和注冊；針對未通過身份認證的用戶，提供多種認證重定向頁面，認證方式可供用戶選擇；提供人性化的安檢評分重定向頁面，采用Ajax 技術，使得安檢結果可以在重定向頁面自動刷新，自動評分，并在重定向頁面提供一鍵修復策略；在終端入網的每個重定向環節提供幫助說明，對業務操作提供幫助鏈接，幫助終端使用者自動解決入網過程的所有問題，減少網絡管理人員的參與，提高網絡管理的效率，降低人工

5、成本；重定向頁面的提供不基于特定的IE 瀏覽器，只要是http的業務形式，無論是采用 IE 瀏覽器訪問，還是采用客戶端登錄（例如QQ登錄），或是客戶端彈出窗口（例如 QQ、飛信彈出內容模式）都可以進行重定向。2.2. 策略路由準入控制技術在過去，所有的準入控制模式幾乎都是基于網絡鏈路節點來進行控制的，從終端 PC、網絡交換設備、路由器防火墻等，所有的控制節點都放在了網絡轉發或傳輸設備本身。這種模式不僅加重了網絡基礎設施的壓力，同時也更容易形成單點故障，對網絡業務本身可能造成不可連續性運營的困擾。隨著近年來準入控制技術的不斷發展，越來越多的準入控制技術都采用了 OOB（OutOfBand）模式，

6、即所謂旁路部署模式，在準入控制產品的本身出現故障的情況下，并不會影響網絡業務本身的可持續性運營，網絡準入控制技術的發展也由此邁向了一個新的臺階。北信源網絡接入控制系統的策略路由模式，要求網絡基礎設施的核心設備（例如核心交換機）支持策略路由功能，通過將上行業務請求通過策略路由的控制定向到北信源網絡接入控制系統，經由北信源網絡接入控制系統針對終端的可信程度進行認證和判定后，采用丟棄或者正常轉發到原路由下一跳的方式，對終端入網進行安全可信的篩選，從而達到準入控制的效果，具體流程可以參考以下流程示意圖：圖 4 策略路由準入控制模式示例流程由于策略路由模式只針對上行業務請求進行處理，不會影響下行業務返回

7、的正常轉發，也不影響網絡路由和拓撲的更改，其安全性也得到了更多的保障，因而比較適合于大多數網絡環境。另外，大多數支持策略路由的核心設備同時也支持逃生模式，核心設備在確認策略路由的下一跳不可達的情況下， 可以按照策略配置自動選擇原有默認路由，從安全角度來看，即使準入控制設備失去功效，也不會影響業務的正常轉發，從而保證網絡業務的可持續運營，因此，相對于以往的準入控制模式，策略路由模式無異于更受歡迎。北信源網絡接入控制系統完美的利用了核心設備策略路由的特性，結合北信源公司安全接入控制理念，并和北信源內網安全管理系統有效結合起來，為客戶的內網終端安全管理提供有效的安全保障。2.3. 旁路干擾準入控制技

8、術在 OOB準入控制模式的發展趨勢下，北信源公司研發了基于旁路干擾模式的準入控制方法，該準入控制方法采用和策略路由模式一致的旁路部署方法，是北信源公司在準入控制發展理念的基礎上自主創新的新型準入控制技術，相對于策略路由準入控制模式，旁路干擾準入控制模式有著更為突出的安全特性。策略路由準入控制模式雖然采用旁路部署模式，但是從技術原理上來說，采用的是流量劫持的方式對上行業務流進行篩選。而旁路干擾準入模式采用的是流量復制的模式對上行業務流量進行篩選，在篩選過后再采用旁路干擾的方式中斷現行業務流，是真正的旁路部署模式，不需要對現行業務流的走向進行任何改動，就像在快速運行的高速公路旁邊部署了一臺監控攝像

9、頭，當發現違規車輛時通過點對點的對話方式，讓違規車輛自動接受處罰。由于旁路干擾準入控制模式真正的旁路部署特性，其對現行業務流沒有任何影響，因此相對于所有準入控制模式來說，有著得天獨厚、無法比擬的安全性，其具體的業務流程參考下圖：圖 5 旁路干擾準入控制模式示例流程旁路干擾準入控制模式要求核心設備（通常是核心或者匯聚層交換機）具備流量鏡像的功能，相對與策略路由來說，有更多的交換機都支持流量鏡像功能，因此對于不同網絡環境的適應性更加強大。除此之外，即使核心設備不支持流量鏡像功能，也可以采用TAP分流的方式對流量進行復制分流，而這僅僅只需要增加一臺分流/ 分光設備即可。2.4. 透明網橋準入控制技術

10、在不支持策略路由或者旁路鏡像的環境下，為了滿足客戶網絡環境下的準入控制需求，采用串接的方式實現準入控制便顯得尤為重要了。透明網橋技術已經被大多數網絡安全設備接受和認可，也是目前為止在網絡關口層面控制最為嚴格的部署技術，北信源網絡接入控制系統在不改變現有拓撲的情況下將網橋串接到網絡當中，采用ACL的方式對流量IP 進行過濾，對不可信不安全的終端進行隔離修復。圖 6 透明網橋準入控制模式示例流程2.5. 虛擬網關準入控制技術虛擬網關是基于VLAN （VirtualLocalAreaNetwork）和SNMP（ SimpleNetworkManagementProtocol? ）兩種技術，在 VLA

11、N環境中，把設備接入的 VLAN分為可信 VLAN和不可信 VLAN，判斷對應設備是否通過認證：未通過，則通過SNMPWrite，將對應設備所接交換機端口所處VLAN，切為不可信VLAN，以后，該設備再訪問網絡，將會被重定向，直至認證通過后，虛擬網關才將其所處VLAN,切換為可信 VLAN，正常上網。2.6. 局域網控制技術無論是策略路由、旁路干擾還是透明網橋準入控制技術，都是基于網絡核心節點的網絡接入控制技術，并不能真正對局域網終端節點之間的互訪進行授信控制。在以往的所有準入控制技術當中，對于局域網之間互訪的授信控制是基于接入交換機端口的控制（ 802.1X）、IP 地址獲取控制（ DHCP

12、Enforcer）或者通過 VLAN技術進行隔離。北信源網絡接入控制系統授予了終端可信判斷的能力，對于安裝有北信源網絡接入控制系統 Agent 的終端，可以自動判斷來訪者的可信程度，如果發現來訪者是不安全不可信的終端， Agent 會丟棄來訪的數據包請求，阻止不可信終端對自身的訪問。采用終端自判斷的方式將局域網訪問控制從網絡節點設備下放到終端自身，不僅可以降低網絡節點設備自身的壓力，還可以規避其它局域網訪問控制技術的缺陷，例如802.1x對 hub、傻瓜式交換機下終端互訪無法控制的問題以及采用手動設置IP規避DHCP自動獲取的IP控制等。而由于安裝 Agent 進行注冊是入網授信必須經歷的一個

13、環節，因此采用終端自判斷的局域網控制技術，可以完全有效的控制局域網終端之間的授信訪問過程。2.7. 身份認證技術身份認證是終端可信認證的一個重要環節，隨著信息安全技術的不斷發展，針對身份認證安全可靠的特性也提出了更高的要求。身份認證最重要的部分是防偽造、防抵賴，因此身份認證技術也從最初簡單的用戶名/ 口令，逐漸發展到證書、生物技術、動態密碼以及多因素認證，防止一切可能偽造和抵賴的因素。為了滿足不同安全程度的身份認證需求，也為了適應客戶網絡環境中可能已經存在的身份存儲和認證方式，北信源網絡接入控制系統針對各種主流身份認證技術進行了符合性開發，為各種主流身份認證技術提供了認證接口，典型的諸如和Ra

14、dius 、LDAP、 AD 域、CA系統、郵箱系統相結合的認證，可以滿足當前技術下大部分認證系統的需求。2.8. 安檢修復技術除身份認證外，安檢修復也是針對終端可信認證的重要環節，據權威機構研究證明，80%的信息泄密來自于企業或機構的內部計算機終端。由于大部分企業計算機終端的使用人員安全意識薄弱且非計算機專業人員，對于計算機的自主安全防護能力存在一定欠缺，因此造成了很大的泄密隱患。針對內部終端被動泄密的問題，歸根結底是因為終端的安全策略配置不夠嚴謹（例如guest賬戶開啟、弱口令設置以及不正常的注冊表鍵值等）或者計算機本身存在安全漏洞（例如關鍵補丁未安裝、 殺毒軟件未安裝或者病毒庫過期等原因

15、）造成的。針對此類情況，北信源網絡接入控制系統采用主動探測和一鍵修復的技術設計，對入網計算機終端的安全測試進行檢查和評分，對存在安全隱患的計算機終端強制禁止入網，并提供一鍵策略修復技術，解決終端可能存在的不安全隱患，從而達到全網終端的統一安全管理。2.9. 桌面系統聯動北信源準入控制系統支持與桌面系統聯動，在已經部署桌面系統的環境下，支持注冊客戶端透明準入，不需要二次認證注冊，由桌面管理平臺下發安全策略，客戶端安全信息實時上報到準入網關，實時更新終端安全策略狀況，風險控制嚴格，客戶端上報安全信息不合規時，立即被隔離到隔離區，此時客戶端僅能訪問隔離區中的服務器，直到修復完全直到滿足安全策略要求。

16、產品支持與客戶端AD 域實名同步，符合安全要求的注冊信息才準許入網，同時自動配合域組織架構信息，達到實時動態審核，同步更新域組織信息，簡化實名注冊審核機制，規范終端實名架構，統一管理，一目了然。3. 產品功能對比功能項功能描述北信源江南天安注冊管理自定義注冊信息，要求可以定義必須填寫的注冊信息項，可根據需自定義單元豐簡單要啟用 / 禁用自定義項。富終端注冊的日志記錄功能，并可根據時間、設備名、注冊者、IP 及支持支持動作等關鍵字進行記錄查詢。針對 IE、QQ登陸及彈出窗口等web形式的訪問提供入網重定向提示，支持支持提示進行客戶端注冊。支持實名制注冊審核管理功能，支持與OA 系統、 AD域等組

17、織架構支持不支持服務器同步組織架構，自動根據設置關鍵字段實名審核，同時支持已注冊終端可通過管理員手動審核或者短信審核通過之后才可以接入網絡。資產管理終端硬件資產統計和查詢，統計內容應至少包含CPU、內存、硬盤明細多豐富支持等基本硬件設備信息以及光驅、顯卡、鼠標、網卡、鍵盤等相關外設信息。終端軟件資產統計和查詢，統計內容應至少包含操作系統版本、操支持支持作系統補丁安裝情況、 IE 版本、主機名稱、網卡MAC信息以及設備內安裝的應用軟件使用情況。對終端計算機軟件安裝信息的收集，包括當前軟件安裝信息和歷史支持支持安裝信息。身份認證本地認證系統，支持自定義本地用戶和密碼，支持本地認證用戶自支持支持行修

18、改密碼。與安全檢支持與 AD 域服務器、 LDAP服務器實現聯動認證，并且支持帳戶信支持支持查息的自動同步以及導入導出；認證超時機制，超時帳戶強制自動登出，要求超時時間可以自行配支持不支持置。必須支持帳戶超期統一登出機制，登出時間可根據需要自行設置。帳戶嘗試登錄限制，要求嘗試登錄次數可進行配置，嘗試登錄失敗支持支持可鎖定帳戶，鎖定時間可按需配置。帳戶角色綁定功能，不同用戶帳戶繼承所屬角色的訪問權限以及安支持不支持檢要求。安檢規范定義配置功能，可根據角色屬性定制不同的安檢規范，安支持支持檢規范應至少包含殺毒軟件安裝情況檢查、補丁漏洞檢查、系統共享資源檢查、 IE 主頁修改項檢查、 guest 來

19、賓帳戶啟用情況檢查、遠程桌面啟用情況檢查、系統啟動項檢查、系統進程檢查、IE 代理檢查等。支持指定時間周期內安檢。支持不支持安全域控制功能，可根據角色屬性定制不同的安全域，用戶認證成支持不支持功后，安全域角色控制功能自動生效，相關角色帳戶只能訪問指定的安全控制域。對未認證通過用戶入網時進行阻斷，能夠提供web 重定向提醒，并支持支持說明入網阻斷原因。準入控制訪客控制系統監控對身份認證通過后的用戶終端進行安全檢查，并對安檢進度提供進支持支持度條提示，未通過安檢的終端給出未通過項提示并阻斷入網，支持安檢未通過一鍵修復功能。串接和旁路部署模式，支持策略路由、旁路干擾、透明串接、虛擬支持不支持旁路網關

20、等多種準入控制模式。鏡像部署基于終端心跳和終端水印認證雙重準入判斷，自動發現采用NAT模支持，特有水不支持式入網的終端并強制認證。印技術準入策略制定功能 , 可根據訪問 IP 源、目的域以及準入流程進行策支持不支持略制定，目的域需是 IP 、端口以及目錄的組合準入流程差異化控制，可根據準入策略控制終端僅注冊、僅認證、支持支持注冊及認證、注冊認證及安檢等差異化準入控制策略。對路由、無線、 AP、 HUB 等環境下的終端實施準入控制，支持對支持支持不全IPHONE、 IPAD 等非 windows 操作系統的終端實施準入控制。三層環境下 IP 和 MAC綁定支持不支持外來終端或者訪客初次入網阻斷，并給出入網指導提示支持支持外來終端或者訪客自助申請上網碼，只需要提供管理員要求