北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。目录1.系统概述22.系统架构23.系统组成43。1。策略服务器43。2.认证客户端43。3.Radius认证服务器43.4.Radius认证系统43.5。硬件接入网关(可选配)54。系统特性54.1。全面的安全检查54。2.技术的先进性54。3.功能的可扩展性5北信源网络接入控制管理系统产品白皮书4。4.系统可整合性64.5.无缝扩展与升级65.系统功能65。1。准入身份认证65。2.完整性检查功能75。3.安全修复功能75。4。管理与报表85。5.终端安全策略设置86.典型应用96。1.802。1x环境应用96。2.非802。1x环境应用106。3。VPN环境应用106。4。域环境应用111.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升.与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证.通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。北信源网络接入控制管理系统可以保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端安全接入内部网络,保护网络接入的安全性.2.系统架构网络准入控制能够勾勒企业终端接入的安全基线,屏蔽一切不安全的设备和人员接入网络,规范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN隔2北信源网络接入控制管理系统产品白皮书离,并主动对其安全修复。北信源网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。其模型如下图:网络接入控制安全访问模型安全检查根据系统进程、文件、注册表等设置的检查结果来判断:➢用户身份是否合法➢主机防火墙是否安装并运行➢防病毒软件是否安装并运行,病毒特征库是否及时更新➢操作系统关键安全补丁是否安装➢操作系统安全配置是否妥当➢是否感染特定病毒实体➢是否安装违规软件接入认证根据上述检查结果,通过服务器和网络设备以及终端PC联动来决定:➢拒绝终端/用户接入➢容许终端/用户接入➢隔离终端/用户(单机隔离,VLAN隔离)➢限制终端/用户访问权限安全修复在隔离或限制接入的情况下,还可以通过自动修复来恢复正常的网络访问权限。修复的内容包括:➢自动开启IE,连接内部安全网站上相关的提示页面➢自动分发病毒专杀工具➢自动升级病毒特征库➢自动分发操作系统关键补丁➢自动纠正错误的系统配置3北信源网络接入控制管理系统产品白皮书3.系统组成北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统,以及硬件接入网关(可选)几部分组成.3.1.策略服务器策略服务器是本系统的策略管理中心,提供系统的参数配置和安全策略管理。安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。3.2.认证客户端认证客户端安装在终端计算机,根据用户名和密码向认证服务器发起认证,能够根据策略服务器分发的安全策略对...
