中华箭网络接入控制系统白皮书

中华箭网络接入控制系统
产品白皮书
北京水木同正网络技术有限公司
2008.4
目录
一、概述 (3)
二、系统简介 (3)
三、系统主要功能 (4)
四、系统组成结构 (5)
五、系统运行环境 (7)
六、系统工作流程简介 (7)
七、系统特点 (8)
八、系统部属应用示意图 (9)
一、概述
现今病毒与蠕虫不断的影响着网络的安全，而系统安全更新(patch)远跟不上脆弱的系统被攻击的速度，系统经常在更新码(patch、病毒特征)发布之前就已经遭受了攻击。

每当终端登录到网络时，它就具有影响该网络安全的潜在的危险，未遵循网络安全政策（病毒特征过期、系统漏洞未修补等）的服务器及终端普遍存在于企业网络中并难以发现，且无法有效控制。

每当它们连接网络时，就增加了对网络环境安全的威胁。

网络接入控制技术NAC（Network Access Control）是新一代的安全接入技术，是保证网络安全的重要手段，相比传统的被动防御来说，增加了主动性，从以前的默认允许走向更加严格的默认拒绝。

NAC机制可以提供保证端点设备在存取网络前是完全遵循已建立的安全策略，可保证不符合安全策略的设备无法访问网络，并设置可补救的隔离区供终端修正其安全问题，或者限制其可存取的资源。

二、系统简介
中华箭网络接入控制系统是公司产品中华箭5号－“综合网络安全管理系统”的一个子系统，该系统是利用NAC技术实现的一套适合于国内用户的系统。

系统基于IEEE 802.1X标准协议设计开发，可广泛的支持目前网络中使用的网络设备类型（设备支持802.1x协议），同时适应国内网络建设现状，众多的网络中存在不支持802.1x协议的交换机的情况，系统采用集成个人防火墙的方式，可实现在具备802.1x环境、无802.1x环境以及混合情况下的终端准入控制。

网络接入控制除了采用802.1x协议控制计算机的网络接入外，还提供了丰富的扩展安全策略，可根据用户实际的安全管理需求制定终端的安全接入标准，保证终端接入的安全性，实现对终端接入网络的细粒度的控制管理。

系统与中华箭5号－“综合网络安全管理系统”的无缝结合，配合中华箭5号系统的网络管理、终端管理等多方面的功能，实现了从计算机接入网络之前的安全控制、接入网络之后管理维护以及发生安全问题时的快速响应机制，从而建
立一套完善的内部网络综合管理解决方案。

三、系统主要功能
中华箭网络接入控制系统主要控制管理终端接入网络的行为，对终端的合法性进行严格的认证管理，系统的主要功能包括：
1、802.1x接入认证管理
系统基于802.1x标准协议流程，可以对接入网络的所有终端进行严格的控制管理。

终端系统接入网络之前，必须首先安装接入认证客户端系统，通过客户端系统发起接入申请，经过服务器系统的审核后方可连通网络。

未安装客户端的终端将无法正确的发起接入请求，也就无法接入到网络中。

安装接入认证客户端后，通过合法的授权帐号方可接入到网络中。

同时为适应不同用户的需求，终端接入的授权帐号也可以是数字证书、USB key等方式的数据信息，也可根据需要省略，接入控制按照扩展的安全标准进行验证。

2、集成软件防火墙
为实现更为全面的管理，同时也能够更好的支持国内网络环境中部分不支持802.1x协议的交换机情况，系统集成了软件防火墙，对计算机接入过程、安全检查过程、系统修复过程进行更为细致的控制管理，计算机在接入安全检查过程中以及修复过程中，防火墙将限制计算机对网络的访问，只能允许访问特定的修复服务器，实现计算机的安全隔离工作。

同时对于在不支持802.1x环境下，系统会主动探测网络中是否存在尚未安装客户端的计算机，由于没有802.1x的认证，再没有安全客户端的情况下，计算机接入网络之后将可以直接访问网络而不受限制，系统发现尚未安装客户端的计算机时，会在第一时间内进行报警，提醒管理员进行处理。

3、接入认证扩展安全标准管理
系统提供了丰富的扩展安全标准对终端接入网络行为进行管理，只有符合安全标准的终端系统方可接入到网络中进行正常的网络访问，而未达到安全标准的终端则被限制接入，只允许访问特定的网络进行系统的修复处理。

接入安全标准
可以包括如下几个方面：
1)终端补丁策略
系统可根据需要制定终端的补丁管理策略，要求终端接入网络之前需要安装完整的补丁程序，若终端的补丁安装情况未达到标准要求，则限制终端的网络接入，只允许访问特定的网络进行补丁的安装修复，只有满足补丁策略标准的终端方可正常的接入网络。

2)防病毒软件检查策略
系统可根据需要制定终端的防病毒软件安装检查策略，指定必须安装的防病毒软件名称、病毒库版本等，系统将根据策略对计算机的防病毒系统进行检查，若计算机尚未安装指定的软件或病毒库版本不符合要求时，系统将限制计算机的网络访问，只允许访问特定的网络进行相应的软件安装修复，只有满足策略标准的终端方可正常的接入网络。

目前系统支持瑞星等防病毒软件的检查，对于其他的防病毒系统，可根据用户的实际需要进行扩充。

3)域管理策略
针对域环境网络，系统可根据需要定义终端必须加入域的策略，对于未加入指定域的终端，则限制其接入网络，终端只能与指定的域服务器进行通讯，可进行加入域的操作，待加入域后方可正常的接入网络。

4、与中华箭5号系统无缝结合
中华箭5号－“综合网络安全管理系统”是集网络设备、终端、网络资源管理于一体的综合网络管理平台，中华箭网络接入控制系统可以与该系统无缝结合，前者实现对终端接入网络的严格控制管理，而后者则实现终端接入网络后的统一管理，从而实现从网络接入到接入后终端管理的多层次立体化统一管理。

四、系统组成结构
中华箭网络接入控制系统主要包括“接入认证服务器”、“认证策略服务器”、
“管理控制台”、“接入认证客户端”四部分，同时结合网络中的网络设备（交换机等）实现网络的接入管理。

系统组成示意图如下：
Ø接入认证服务器：基于802.1X协议实现终端接入时的认证管理的服务，根据制定的接入标准策略对终端发起的认证请求信息进行合法性判断，认证通过则允许终端接入网络，认证失败则根据策略采取相应的管理措施。

Ø认证策略服务器：存储和分发终端的接入扩展安全策略的后台服务，对终端的安全标准的合法性进行判断和管理。

Ø管理控制台：是整个系统与用户的统一界面接口，通过该控制台制定整个系统的接入安全策略，查询统计相关的报警、管理信息等。

Ø接入认证客户端：部署在所有终端上的代理程序，当终端接入网络时由该程序发起接入认证请求，根据制定的安全策略对终端进行相应的安全检测，实现当终端安全未达标时根据管理策略对终端系统进行自动修复。

五、系统运行环境
中华箭网络接入控制系统的物理部署主要分为服务器端和客户端，系统的运行环境要求如下：
l服务器端配置要求
项目硬件配置要求
CPU 2.0GHz双核处理器以上
内存2GB以上
硬盘80G以上高速硬盘
网卡10/100M自适应
l内网网络环境要求
为实现计算机的接入管理，内部网络环境需要满足如下要求：
Ø内部网络中所有计算机设备应直接连接在可管理的接入层交换机设备上，并为每台交换机设备分配固定的内部IP地址；
Ø接入层交换机设备应能够支持IEEE802.1x协议（对于部分不支持的设备可以在有条件的情况下逐步替换，以便实现严格的接入控制管理）；
Ø合理的规划网络的VLAN设置
l客户端系统环境要求
客户端系统目前支持windows 2000以上操作系统。

六、系统工作流程简介
中华箭网络接入控制系统基于802.1x标准协议设计，同时为适应用户的不同需求，增加了丰富的扩展功能，实现了更为广泛的接入控制。

整个系统的工作流程可参考下图：
七、系统特点
Ø适用性：
系统基于标准的802.1x协议流程，可广泛的支持目前使用的网络设备（支持802.1x协议），同时充分考虑国内的网络现状，可支持无802.1x环境的网络接入控制。

Ø灵活性：
系统提供了丰富的扩展安全标准的定义，可根据各种用户的管理需求灵活的实现终端的接入控制管理。

Ø扩展性
系统提供功能定制服务，可根据用户的管理要求进行相应的功能调整、开发，以便更好的满足用户的需要。

Ø安全可靠的认证机制
系统采用多级访问控制：客户端－帐号（证书、KEY）－扩展安全标准
等多重验证，可保证终端接入的合法性，提高网络的安全管理能力。

Ø与内网的管理有效集成
系统可与中华箭5号无缝集成，从而实现从网络的接入到接入后的统一管理的目的，更好的进行整个网络的有效管理。

八、系统部属应用示意图
实施后的系统部署示意图如下：。