北信源网络接入控制系统工作原理与功能对比

北信源⽹络接⼊控制系统⼯作原理与功能对⽐
北信源⽹络接⼊控制系统⼯作原理与功能
北京北信源软件股份有限公司
⽬录
1.整体说明 (3)
2.核⼼技术 (3)
2.1. 重定向技术 (3)
2.2. 策略路由准⼊控制技术 (4)
2.3. 旁路⼲扰准⼊控制技术 (6)
2.4. 透明⽹桥准⼊控制技术 (7)
2.5. 虚拟⽹关准⼊控制技术 (7)
2.6. 局域⽹控制技术 (8)
2.7. ⾝份认证技术 (8)
2.8. 安检修复技术 (9)
2.9. 桌⾯系统联动 (9)
3.产品功能对⽐ (9)
1.整体说明
准⼊⽹关对接⼊设备进⾏访问控制，对于未注册⽤户进⾏WEB重定向进⾏注册；注册后的⽤户进⾏认证或安检后可以访问⽹络；
管理员可以配置采取何种准⼊控制⽅式，如策略路由，旁路监听，透明⽹桥，虚拟⽹关等；同时可以选择使⽤不同的认证类型，如本地认证，Radius认证，AD域认证等，⽽认证途径采取⽹关强制重定向；
准⼊⽹关整体上对准⼊的控制可分为两类，⼀类是⽹关⾃⼰控制数据的流通，另⼀类则是通过配置交换机，让交换机来控制数据包的流通。

⽬前准⼊⽹关实现的策略路由和旁路监听，透明⽹桥等准⼊控制均属于前者，也就是⽹关⾃⼰通过放⾏或丢弃、阻断数据包，来达到准⼊控制，对于数据包的阻断是基于tcp 实现的；⽽虚拟⽹关则是通过控制交换机VLAN来达到准⼊控制；
2.核⼼技术
为了适应不同业务环境下的统⼀⼊⽹控制，北信源⽹络接⼊控制系统采⽤多种核⼼技术设计，⽀持多种准⼊控制模式，实现从多⾓度多维度的终端⼊⽹安全控制。

2.1.重定向技术
接⼊控制的⽬的是为了阻⽌不可信终端随意接⼊⽹络，对于不可信终端的判定需要⼀个过程，如何在判定过程中进⾏良好的提⽰,这就对产品的⼈机界⾯设计提出了较⾼的要求。

业界通常的做法是针对http性质的业务访问进⾏重定向，以往针对http的业务区分主要基于业务端⼝（主要为80端⼝），对于⾮80业务端⼝的http业务不能有效区分。

针对以上情况，北信源⽹络接⼊控制系统对http业务进⾏了深度识别，除80端⼝的http业务可以进⾏有效重定向之外，针对⾮80端⼝的http业务也能进⾏有效的识别和重定向。

除此之外，北信源⽹络接⼊控制系统针对终端⼊⽹的控制流程进⾏了重定向优化，针对终端⼊⽹注册、认证、安检、修复的整个流程进⾏了⼈性化的设计，整个重定向过程符合终端⼊⽹习惯，贯穿终端⼊⽹的全过程，并在重定向页⾯提供⼈性化帮助提⽰，主要表现在以下⼏⼤⽅⾯:
●针对未注册终端，提供重定向下载页⾯供终端进⾏Agent下载和注册；
●针对未通过⾝份认证的⽤户，提供多种认证重定向页⾯，认证⽅式可供
⽤户选择；
●提供⼈性化的安检评分重定向页⾯，采⽤Ajax技术，使得安检结果可以
在重定向页⾯⾃动刷新，⾃动评分，并在重定向页⾯提供⼀键修复策
略；
●在终端⼊⽹的每个重定向环节提供帮助说明，对业务操作提供帮助链接，
帮助终端使⽤者⾃动解决⼊⽹过程的所有问题，减少⽹络管理⼈员的
参与，提⾼⽹络管理的效率，降低⼈⼯成本；
●重定向页⾯的提供不基于特定的IE浏览器，只要是http的业务形式，
⽆论是采⽤IE浏览器访问，还是采⽤客户端登录（例如QQ登录），或
是客户端弹出窗⼝（例如QQ、飞信弹出内容模式）都可以进⾏重定向。

2.2.策略路由准⼊控制技术
在过去，所有的准⼊控制模式⼏乎都是基于⽹络链路节点来进⾏控制的，从终端PC、⽹络交换设备、路由器防⽕墙等，所有的控制节点都放在了⽹络转发或传输设备本⾝。

这种模式不仅加重了⽹络基础设施的压⼒，同时也更容易形成单点故障，对⽹络业务本⾝可能造成不可连续性运营的困扰。

随着近年来准⼊控制技术的不断发展，越来越多的准⼊控制技术都采⽤了OOB（Out Of Band）模式，即所谓旁路部署模式，在准⼊控制产品的本⾝出现故障的情况下，并不会影响⽹络业务本⾝的可持续性运营，⽹络准⼊控制技术的发展也由此迈向了⼀个新的台阶。

北信源⽹络接⼊控制系统的策略路由模式，要求⽹络基础设施的核⼼设备（例如核⼼交换机）⽀持策略路由功能，通过将上⾏业务请求通过策略路由的控制定向到北信源⽹络接⼊控制系统，经由北信源⽹络接⼊控制系统针对终端的可
信程度进⾏认证和判定后，采⽤丢弃或者正常转发到原路由下⼀跳的⽅式，对终端⼊⽹进⾏安全可信的筛选，从⽽达到准⼊控制的效果，具体流程可以参考以下流程⽰意图：
图4 策略路由准⼊控制模式⽰例流程
由于策略路由模式只针对上⾏业务请求进⾏处理，不会影响下⾏业务返回的正常转发，也不影响⽹络路由和拓扑的更改，其安全性也得到了更多的保障，因⽽⽐较适合于⼤多数⽹络环境。

另外，⼤多数⽀持策略路由的核⼼设备同时也⽀持逃⽣模式，核⼼设备在确认策略路由的下⼀跳不可达的情况下，可以按照策略配置⾃动选择原有默认路由，从安全⾓度来看，即使准⼊控制设备失去功效，也不会影响业务的正常转发，从⽽保证⽹络业务的可持续运营，因此，相对于以往的准⼊控制模式，策略路由模式⽆异于更受欢迎。

北信源⽹络接⼊控制系统完美的利⽤了核⼼设备策略路由的特性，结合北信源公司安全接⼊控制理念，并和北信源内⽹安全管理系统有效结合起来，为客户的内⽹终端安全管理提供有效的安全保障。

在OOB准⼊控制模式的发展趋势下，北信源公司研发了基于旁路⼲扰模式的准⼊控制⽅法，该准⼊控制⽅法采⽤和策略路由模式⼀致的旁路部署⽅法，是北信源公司在准⼊控制发展理念的基础上⾃主创新的新型准⼊控制技术，相对于策略路由准⼊控制模式，旁路⼲扰准⼊控制模式有着更为突出的安全特性。

策略路由准⼊控制模式虽然采⽤旁路部署模式，但是从技术原理上来说，采⽤的是流量劫持的⽅式对上⾏业务流进⾏筛选。

⽽旁路⼲扰准⼊模式采⽤的是流量复制的模式对上⾏业务流量进⾏筛选，在筛选过后再采⽤旁路⼲扰的⽅式中断现⾏业务流，是真正的旁路部署模式，不需要对现⾏业务流的⾛向进⾏任何改动，就像在快速运⾏的⾼速公路旁边部署了⼀台监控摄像头，当发现违规车辆时通过点对点的对话⽅式，让违规车辆⾃动接受处罚。

由于旁路⼲扰准⼊控制模式真正的旁路部署特性，其对现⾏业务流没有任何影响，因此相对于所有准⼊控制模式来说，有着得天独厚、⽆法⽐拟的安全性，其具体的业务流程参考下图：
图5 旁路⼲扰准⼊控制模式⽰例流程
旁路⼲扰准⼊控制模式要求核⼼设备（通常是核⼼或者汇聚层交换机）具备流量镜像的功能，相对与策略路由来说，有更多的交换机都⽀持流量镜像功能，因此对于不同⽹络环境的适应性更加强⼤。

除此之外，即使核⼼设备不⽀持流量镜像功能，也可以采⽤TAP分流的⽅式对流量进⾏复制分流，⽽这仅仅只需要增加⼀台分流/分光设备即可。

在不⽀持策略路由或者旁路镜像的环境下，为了满⾜客户⽹络环境下的准⼊控制需求，采⽤串接的⽅式实现准⼊控制便显得尤
为重要了。

透明⽹桥技术已经被⼤多数⽹络安全设备接受和认可，也是⽬前为⽌在⽹络关⼝层⾯控制最为严格的部署技术，北信源⽹络接⼊控制系统在不改变现有拓扑的情况下将⽹桥串接到⽹络当中，采⽤ACL的⽅式对流量IP进⾏过滤，对不可信不安全的终端进⾏隔离修复。

图6 透明⽹桥准⼊控制模式⽰例流程
2.5.虚拟⽹关准⼊控制技术
虚拟⽹关是基于VLAN（Virtual Local Area Network）和SNMP（Simple Network Management Protocol）两种技术，在VLAN环境中，把设备接⼊的VLAN分为可信VLAN和不可信VLAN，判断对应设备是否通过认证：未通过，则通过SNMP Write，将对应设备所接交换机端⼝所处VLAN，切为不可信VLAN，以后，该设备再访问⽹络，将会被重定向，直⾄认证通过后，虚拟⽹关才将其所处VLAN, 切换为可信VLAN，正常上⽹。

2.6.局域⽹控制技术
⽆论是策略路由、旁路⼲扰还是透明⽹桥准⼊控制技术，都是基于⽹络核⼼节点的⽹络接⼊控制技术，并不能真正对局域⽹终端节点之间的互访进⾏授信控制。

在以往的所有准⼊控制技术当中，对于局域⽹之间互访的授信控制是基于接⼊交换机端⼝的控制（802.1X）、IP地址获取控制（DHCP Enforcer）或者通过VLAN技术进⾏隔离。

北信源⽹络接⼊控制系统授予了终端可信判断的能⼒，对于安装有北信源⽹络接⼊控制系统Agent的终端，可以⾃动判断来访者的可信程度，如果发现来访者是不安全不可信的终端，Agent会丢弃来访的数据包请求，阻⽌不可信终端对⾃⾝的访问。

采⽤终端⾃判断的⽅式将局域⽹访问控制从⽹络节点设备下放到终端⾃⾝，不仅可以降低⽹络节点设备⾃⾝的压⼒，还可以规避其它局域⽹访问控制技术的缺陷，例如802.1x对hub、傻⽠式交换机下终端互访⽆法控制的问题以及采⽤⼿动设置IP规避DHCP⾃动获取的IP控制等。

⽽由于安装Agent进⾏注册是⼊⽹授信必须经历的⼀个环节，因此采⽤终端⾃判断的局域⽹控制技术，可以完全有效的控制局域⽹终端之间的授信访问过程。

2.7.⾝份认证技术
⾝份认证是终端可信认证的⼀个重要环节，随着信息安全技术的不断发展，针对⾝份认证安全可靠的特性也提出了更⾼的要求。

⾝份认证最重要的部分是防伪造、防抵赖，因此⾝份认证技术也从最初简单的⽤户名/⼝令，逐渐发展到证书、⽣物技术、动态密码以及多因素认证，防⽌⼀切可能伪造和抵赖的因素。

为了满⾜不同安全程度的⾝份认证需求，也为了适应客户⽹络环境中可能已经存在的⾝份存储和认证⽅式，北信源⽹络接⼊控制系统针对各种主流⾝份认证技术进⾏了符合性开发，为各种主流⾝份认证技术提供了认证接⼝，典型的诸如和Radius、LDAP、AD域、CA系统、邮箱系统相结合的认证，可以满⾜当前技术下⼤部分认证系统的需求。

2.8.安检修复技术
除⾝份认证外，安检修复也是针对终端可信认证的重要环节，据权威机构研究证明，80%的信息泄密来⾃于企业或机构的内部计算机终端。

由于⼤部分企业计算机终端的使⽤⼈员安全意识薄弱且⾮计算机专业⼈员，对于计算机的⾃主安全防护能⼒存在⼀定⽋缺，因此造成了很⼤的泄密隐患。

针对内部终端被动泄密的问题，归根结底是因为终端的安全策略配置不够严谨（例如guest账户开启、弱⼝令设置以及不正常的注册表键值等）或者计算机本⾝存在安全漏洞（例如关键补丁未安装、杀毒软件未安装或者病毒库过期等原因）造成的。

针对此类情况，北信源⽹络接⼊控制系统采⽤主动探测和⼀键修复的技术设计，对⼊⽹计算机终端的安全测试进⾏检查和评分，对存在安全隐患的计算机终端强制禁⽌⼊⽹，并提供⼀键策略修复技术，解决终端可能存在的不安全隐患，从⽽达到全⽹终端的统⼀安全管理。

2.9.桌⾯系统联动
北信源准⼊控制系统⽀持与桌⾯系统联动，在已经部署桌⾯系统的环境下，⽀持注册客户端透明准⼊，不需要⼆次认证注册，由桌⾯管理平台下发安全策略，客户端安全信息实时上报到准⼊⽹关，实时更新终端安全策略状况，风险控制严格，客户端上报安全信息不合规时，⽴即被隔离到隔离区，此时客户端仅能访问隔离区中的服务器，直到修复完全直到满⾜安全策略要求。

产品⽀持与客户端AD域实名同步，符合安全要求的注册信息才准许⼊⽹，同时⾃动配合域组织架构信息，达到实时动态审核，同步更新域组织信息，简化实名注册审核机制，规范终端实名架构，统⼀管理，⼀⽬了然。

3.产品功能对⽐。