北信源网络接入控制系统工作原理与功能对比
北信源内网安全管理系统与360天擎产品对比
数据库环境支持
SQLserver2000/2005/2008/2012
不详
级联部署
支持
支持
管理平台
客户端安全性
自我防护机制
支持
支持
安全模式下依然生效
支持
支持
客户端完整性检查(检查客户端文件是否被破坏并自动修复)
支持
不支持
安全设备联动
支持
支持
客户端程序自动化升级
支持
支持
客户端非法接入其它网络行为监控
支持
支持
非法外联行为告警
支持
支持
移动存储设备管理
移动存储设备接入管理
支持
支持
移动存储设备认证
支持
支持
原厂安全U盘(安全办公U盘、单向导出U盘等)
支持
不支持
移动存储数据读写控制
支持
支持
病毒查杀
本地查杀
支持
支持
断网查杀
支持
支持
宏病毒专杀
支持
支持
压缩包查杀wenku.baidu.com
支持
支持
文档安全管理
支持
不支持
屏幕水印:支持文字水印、矢量水印、二维码水印、
图片水印四种水印模式
支持
不支持
打印水印:支持文字水印、矢量水印、二维码水印、
北信源网络接入控制系统管理系统白皮书v3.0
北信源网络接入控制管理系统
产品白皮书
北信源软件股份
声明
本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明
本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录
1.系统概述 (4)
2.系统架构 (4)
3.系统组成 (6)
3.1.策略服务器 (6)
3.2.认证客户端 (6)
3.3.Radius认证服务器 (7)
3.4.Radius认证系统 (7)
3.5.硬件接入网关(可选配) (8)
4.系统特性 (8)
4.1.全面的安全检查 (8)
4.2.技术的先进性 (8)
4.3.功能的可扩展性 (8)
4.4.系统可整合性 (9)
4.5.无缝扩展与升级 (9)
5.系统功能 (9)
5.1.准入身份认证 (9)
5.2.完整性检查功能 (10)
5.3.安全修复功能 (10)
5.4.管理与报表 (11)
5.5.终端安全策略设置 (12)
6.典型应用 (13)
6.1.802.1x环境应用 (13)
6.2.非802.1x环境应用 (14)
6.3.VPN环境应用 (15)
产品介绍北信源内网安全管理系统介绍v1.0北信源
• 产品概述 • 内网安全管理系统功能 • 技术架构与优势 • 部署与实施 • 案例分析与客户评价 • 未来发展规划与升级计划
01
产品概述
产品背景
网络安全日益重要
随着互联网的普及和深入应用, 网络安全问题日益突出,内网安 全作为企业信息安全的核心,越 来越受到重视。
数据安全管理
数据加密传输
能够对在网络中传输的数据进行加密处理,确 保数据的机密性和完整性。
数据备份与恢复
能够定期备份重要数据,并在数据丢失或损坏 时及时恢复数据,确保业务的连续性。
数据泄露防护
能够防止敏感数据的泄露,如通过邮件、聊天工具等途径泄露数据的行为。
应用安全管理
应用程序白名单管理
能够制定应用程序白名单,只允许经过认证的应用程序在内网中运 行,防止恶意程序的传播。
客户三
北信源团队的专业服务让我们感到非 常满意,他们总是能够及时响应并解
决我们遇到的问题。
行业应用
政府机构
各级政府、公共事 业单位的内网安全 防护。
教育行业
高校、中小学等教 育机构的网络安全 保障。
金融行业
银行、证券、保险 等金融机构的内网 安全管理。
制造业
大型制造企业的内 部网络优化和安全 管理。
安全管理解决方案。
升级计划
北信源网络接入控制系统工作原理与功能对比.
北信源网络接入控制系统
工作原理与功能
北京北信源软件股份有限公司
1
目录
1.整体说明 (3)
2.核心技术 (3)
2.1.重定向技术 (3)
2.2.策略路由准入控制技术 (4)
2.3.旁路干扰准入控制技术 (6)
2.4.透明网桥准入控制技术 (7)
2.5.虚拟网关准入控制技术 (7)
2.6.局域网控制技术 (8)
2.7.身份认证技术 (8)
2.8.安检修复技术 (9)
2.9.桌面系统联动 (9)
3.产品功能对比 (10)
2
1.整体说明
准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;
管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;
准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;
2.核心技术
为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术
接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,
网络准入控制系统对比分析
与北信源网络准入控制系统的对比分析:
1、管理服务器部署:
北信源管理服务器部署时,需要分别安装多个服务器部件,并需严格按顺序安装。操作比较繁琐,部署效率较低。
联软科技Leagview管理服务器部署时,仅一个安装包+一个SP补丁包即可,操作简便,简单易懂,部署效率高。
2、Radius认证服务器部署
北信源安全准入管理中并无自己的Radius服务器,启用802.1x准入控制需
安装第三方免费的Radius服务器(如IAS或者ACS的RADIUS认证服务器)才能实现802.1x准入控制。北信源完全没有对Radius认证服务器的任何开发、维护能力,借助第三方Radius认证服务器,一旦出现网络准入故障,较难排查故障原因,而且对于终端接入的状态检查能力也较弱。第三方Radius服务器单独部署配置,操作较为繁琐。
联软科技LeagView网络准入控制系统,采用独立自主研发的Radius认证服务器,能够支持802.1x、EoU等多种方式的网络准入控制检查认证,除了能够检查终端接入网络的用户帐号身份,还能够进一步检查终端自身的安全状态是否合规,能够检查接入终端硬件信息,对终端接入检查进行更为严格的绑定检查。单台Radius最大能够支持2万终端用户认证,能够与管理服务器整合在一个平台下集中部署,也能够独立部署,安装和配置都十分简单。
3、网络准入控制接入方式
北信源仅支持基于802.1x协议的准入控制方式,结合北信源自己的硬件VRV-BMG,还能够实现基于强制注册网关:在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
[精编]北信源内网安全解决方案
![[精编]北信源内网安全解决方案](https://img.taocdn.com/s3/m/3fad2fe8a26925c52cc5bfad.png)
北信源内网安全解决方
案
XXXX
终
端
安
全
管
理
解
决
方
案
北京北信源软件股份有限公司2010-03-22
目录
1、前言4
2、需求分析5
2.1、XXXX信息系统现状5
2.2、XXXX网络终端管理需求5
2.3、XXXX网络终端安全管理系统需求分析6
3、北信源终端安全管理解决方案7
3.1、VRVEDP系统概述7
3.3、网络接入管理系统8
3.3.1、ARP阻断隔离9
3.3.2、接入设备审核及有效期10
3.3.3、802.1X认证方式11
3.3.4、接入控制网关(硬件)13
3.4、内网安全管理系统13
3.4.1、终端注册管理13
3.4.2、IP/MAC绑定策略14
3.4.3、IT资产管理15
3.4.4、终端流量管理16
3.4.5、进程限制策略17
3.4.6、互联网访问控制18
3.4.7、防病毒策略18
3.4.8、软件安装限制19
3.4.9、多线程计算机远程维护平台19
3.4.10、防火墙策略20
3.4.11、违规外联策略20
3.4.12、终端密码策略21
3.4.13、终端资源监控22
3.4.14、硬件设备禁用功能23
3.4.15、终端自动清理功能24
3.4.16、IP管理和设备入网管理功能24
3.4.17、终端点对点管理25
3.4.18、系统自动关机管理26
3.5、补丁及文件分发系统26
3.5.1、补丁自动分发26
3.5.2、软件分发31
3.6、USB移动存储管理系统32
3.6.1、分级权限控制33
3.6.2、审计功能完善34
3.7、主机安全审计系统35
3.7.1、互联网访问审计35
3.7.2、文件访问及输出审计36
北信源网络接入控制系统用户使用手册
VRVedp北信源内网管理系统用户使用手册
北信源内网安全管理系统用户使用手册
北京北信源软件股份有限公司
二〇一一年
支持信息
在北信源内网安全管理系统使用过程中,如您有任何疑问
都可以通过访问我公司网站或者致电我司客服中心获得帮
助和支持!
热线支持:400-8188-110
客户服务电话:
在您使用该产品过程中,如果有好的意见或建议的话也请
联系我们的客服中心,感谢您对我公司产品的信任和支
持!
正文目录
特别说明 ............................................................................................................................ 产品构架 ............................................................................................................................ 应用构架 ............................................................................................................................
第二章北信源内网安全管理系统 ..............................................................................
北信源-终端准入控制系统
北信源VRV-BMG终端准入控制系统
产品背景
网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点:
1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;
2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其
变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;
准入控制系列产品
一、准入控制系列
产品1、北信源网络接入控制管理系统
●产品背景
网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
●系统功能描述
1)802.1x接入认证管理;
2)虚拟强制隔离接入认证管理;
3)未注册终端接入访问区域限制(vlan限制);
4)未安装杀毒软件等必备软件自动安装下载管理;
5)未打补丁终端接入限制;
6)运行不可信进程、服务、注册表终端接入限制;
7)未达到预定义安全级别的终端接入访问区域限制;
8)自定义终端安全接入必须的桌面运行安全环境。
●系统功能特点
1)802.1X接入认证支持市场主流交换机,支持无线AP的认证接入;
2)可以与用户现有域环境及LDAP服务器结合,实现身份认证;
3)虚拟强制隔离技术无需硬件支持,即可实现终端的强制接入认证,未
注册终端网络隔离及重定向功能;
4)部署方式极其灵活,完美实现内网终端间互访权限的控制;
5)支持终端用户漫游状态下的接入控制管理。
系统管理构架
北信源网络接入控制管理系统由以下几部分组成:
北信源内网安全管理系统
北信源内网安全管理系统
北信源内网安全管理系统是一种专门针对企业内部网络安全问题而设计的解决
方案。随着信息技术的快速发展,企业内部网络安全问题日益凸显,内网安全管理系统的重要性也日益凸显。本文将对北信源内网安全管理系统进行详细介绍,包括其功能、特点、优势以及应用范围。
首先,北信源内网安全管理系统具有多种功能,包括但不限于网络入侵检测、
安全策略管理、流量监控、漏洞扫描、安全日志管理等。这些功能可以帮助企业及时发现和应对内网安全威胁,保障企业内部网络的安全稳定运行。
其次,北信源内网安全管理系统具有以下特点,一是全面性,能够全面覆盖企
业内部网络的安全管理需求;二是实时性,能够实时监控网络安全状态,及时发现并应对安全威胁;三是智能化,能够通过智能算法对网络安全事件进行分析和处理,提高安全管理效率。
此外,北信源内网安全管理系统还具有诸多优势。首先,它能够帮助企业建立
起完善的内网安全管理体系,提高网络安全防护能力;其次,它能够降低企业内网安全管理的成本,提高管理效率;再次,它能够帮助企业及时应对各类网络安全威胁,保障企业信息资产的安全。
最后,北信源内网安全管理系统的应用范围非常广泛,几乎适用于所有需要进
行内网安全管理的企业。无论企业规模大小,无论行业类型,都可以通过部署北信源内网安全管理系统来提升企业内网安全管理水平,保障企业网络的安全稳定运行。
综上所述,北信源内网安全管理系统是一种功能全面、特点显著、优势明显、
应用广泛的内网安全管理解决方案。它的出现填补了企业内网安全管理领域的空白,为企业提供了一种全新的内网安全管理思路和方法。相信随着信息技术的不断发展,北信源内网安全管理系统将在企业内网安全管理领域发挥越来越重要的作用。
[安全生产管理]解决方案北信源内网安全管理系统解决方案北信源
![[安全生产管理]解决方案北信源内网安全管理系统解决方案北信源](https://img.taocdn.com/s3/m/473206ed4128915f804d2b160b4e767f5acf8069.png)
1.1.概述 3
1.2.应对策略 4
2.1.安全理念 5
2.2.安全体系 6
3.1.终端安全管理建设目标7
3.2.终端安全管理方案设计原则7
3.3.终端安全管理方案设计思路 8
3.4.终端安全管理解决方案实现10
3.4.1.网络接入管理设计实现10
3.4.1.1.网络接入管理概述 10
3.4.1.2.网络接入管理方案及思路 10
3.4.2.补丁及软件自动分发管理设计实现 15
3.4.2.1.补丁及软件自动分发管理概述15
3.4.2.2.补丁及软件自动分发管理方案及思路15
3.4.3.移动存储介质管理设计实现19
3.4.3.1.移动存储介质管理概述 19
3.4.3.2.移动存储介质管理方案及思路 20
3.4.4.桌面终端管理设计实现23
3.4.4.1.桌面终端管理概述23
3.4.4.2.桌面终端管理方案及思路24 3.4.5.终端安全审计设计实现36
3.4.5.1.终端安全审计概述 36
3.4.5.2.终端安全审计方案及思路 36
随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
北信源网络接入控制系统用户使用手册
北信源产品简介
产品 2、北信源终端安全登录与监控审计系统 产品 3、北信源数据库审计系统 产品 1、北信源计算机信息系统保密检查工具 硬件
安全检查系列 六. 六.安全检查系列
产品 2、北信源网络信息保密检查监控系统 产品 1、北信源上网行为管理系统
系列 七.行为管控 七.行为管控系列
产品 2、北信源上网行为管理网关 产品 3、北信源上网行为管理网关 产品 1、北信源内网安全管理系统
产 品 简 介............................................................................................................................................................. 20 一、准入控制系列................................................................................................................................................... 21 产品 1、北信源网络接入控制管理系统 ............................................................................................................ 21 � � � � � � � � � � � 产品背景.................................................................................................................................................. 21 系统功能描述.......................................................................................................................................... 21 系统功能特点.......................................................................................................................................... 21 系统管理构架.......................................................................................................................................... 22 产品背景.................................................................................................................................................. 23 系统功能描述.......................................................................................................................................... 23 系统管理架构.......................................................................................................................................... 23 产品概述.................................................................................................................................................. 24 系统管理构架.......................................................................................................................................... 24 系统功能描述.......................................................................................................................................... 24 功能特点.................................................................................................................................................. 25
北信源-内网安全管理系统产品组合及技术参数
系统支持进程指纹的设置,可以防止非法篡改应用程序文件保障应用程序安全。
可信进程策略
系统支持用户灵活设定哪些应用程序使用的文件需要加密。
自定义的身份认证
系统支持操作系统默认认证、用户自定义口令认证、USB KEY 认证、单点登录认证和PKI认证等。
邮件自动解密策略
系统支持加密文件在邮件发送过程中自动解密,以及用明文形式收取文件。
软件资产管理
自动收集网络中所有注册终端的安装软件信息,并可以以WORD、EXCEL表导出软件资产信息。
软、硬件资产信息变更报警管理
软硬件资产信息发生变化时,系统自动上报报警信息到服务器。
事件报表及报警管理
终端审计信息数据统计分类管理
系统将收集上来的终端信息按不同类别分类存储,管理员可以按不同类别检索信息。
进程保护管理
可以保护重要进程不被非法终止。
进程执行汇总
系统收到上报进程信息的策略后,可以增量方式上报终端所运行的所有进程名称。
终端服务管理
管理终端所有服务,可以远程关闭或开启服务。
软件黑白名单控制
能够预设安装软件的黑白名单
软件安装汇总
收集终端安装的所有软件资产信息
终端消息推送
远程给网络中所有终端分发消息。
系统支持文档备份、归档、恢复功能。
水印信息跟踪技术
系统支持对打印文件水印显示信息的设定。
802.1x准入控制技术使用手册(北信源).
北信源桌面终端标准化管理系统
准入控制技术
使用手册
2010年5月
目录
一、802.1x认证模块原理 (3
1-1. 802.1x的工作机制 (3
1-2. 802.1x的认证过程 (4
二、VRVEDP-NAC系统硬件配置及实施方案 (5
2-1.VRVEDP-NAC相关系统硬件配置 (5
2-2.VRVEDP-NAC实施方案 (5
三、802.1x认证应用注册事项 (22
四、802.1x认证应急预案 (24
4-1.预案流程 (24
4-2.应急事件处理方法 (24
一、802.1x认证模块原理
1-1. 802.1x的工作机制
IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。
802.1x认证系统的工作机制
在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。
1-2. 802.1x的认证过程
802.1x认证系统的认证过程
1. 当用户有上网需求时打开80
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北信源网络接入控制系统
工作原理与功能
北京北信源软件股份有限公司
1
目录
1.整体说明 (3)
2.核心技术 (3)
2.1.重定向技术 (3)
2.2.策略路由准入控制技术 (4)
2.3.旁路干扰准入控制技术 (6)
2.4.透明网桥准入控制技术 (7)
2.5.虚拟网关准入控制技术 (7)
2.6.局域网控制技术 (8)
2.7.身份认证技术 (8)
2.8.安检修复技术 (9)
2.9.桌面系统联动 (9)
3.产品功能对比 (10)
2
1.整体说明
准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;
管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;
准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;
2.核心技术
为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术
接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,
3
针对非80端口的http业务也能进行有效的识别和重定向。
除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提供人性化帮助提示,主要表现在以下几大方面:
●针对未注册终端,提供重定向下载页面供终端进行Agent下载和注册;
●针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供
用户选择;
●提供人性化的安检评分重定向页面,采用Ajax技术,使得安检结果可以
在重定向页面自动刷新,自动评分,并在重定向页面提供一键修复策
略;
●在终端入网的每个重定向环节提供帮助说明,对业务操作提供帮助链接,
帮助终端使用者自动解决入网过程的所有问题,减少网络管理人员的
参与,提高网络管理的效率,降低人工成本;
●重定向页面的提供不基于特定的IE浏览器,只要是http的业务形式,
无论是采用IE浏览器访问,还是采用客户端登录(例如QQ登录),或
是客户端弹出窗口(例如QQ、飞信弹出内容模式)都可以进行重定向。
2.2. 策略路由准入控制技术
在过去,所有的准入控制模式几乎都是基于网络链路节点来进行控制的,从终端PC、网络交换设备、路由器防火墙等,所有的控制节点都放在了网络转发或传输设备本身。这种模式不仅加重了网络基础设施的压力,同时也更容易形成单点故障,对网络业务本身可能造成不可连续性运营的困扰。随着近年来准入控制技术的不断发展,越来越多的准入控制技术都采用了OOB(Out Of Band)模式,即所谓旁路部署模式,在准入控制产品的本身出现故障的情况下,并不会影响网络业务本身的可持续性运营,网络准入控制技术的发展也由此迈向了一个新的台阶。
北信源网络接入控制系统的策略路由模式,要求网络基础设施的核心设备
4
(例如核心交换机)支持策略路由功能,通过将上行业务请求通过策略路由的控制定向到北信源网络接入控制系统,经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的方式,对终端入网进行安全可信的筛选,从而达到准入控制的效果,具体流程可以参考以下流程示意图:
图4 策略路由准入控制模式示例流程
由于策略路由模式只针对上行业务请求进行处理,不会影响下行业务返回的正常转发,也不影响网络路由和拓扑的更改,其安全性也得到了更多的保障,因而比较适合于大多数网络环境。
另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从安全角度来看,即使准入控制设备失去功效,也不会影响业务的正常转发,从而保证网络业务的可持续运营,因此,相对于以往的准入控制模式,策略路由模式无异于更受欢迎。
北信源网络接入控制系统完美的利用了核心设备策略路由的特性,结合北信源公司安全接入控制理念,并和北信源内网安全管理系统有效结合起来,为客户的内网终端安全管理提供有效的安全保障。
5
在OOB准入控制模式的发展趋势下,北信源公司研发了基于旁路干扰模式的准入控制方法,该准入控制方法采用和策略路由模式一致的旁路部署方法,是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术,相对于策略路由准入控制模式,旁路干扰准入控制模式有着更为突出的安全特性。
策略路由准入控制模式虽然采用旁路部署模式,但是从技术原理上来说,采用的是流量劫持的方式对上行业务流进行筛选。而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,就像在快速运行的高速公路旁边部署了一台监控摄像头,当发现违规车辆时通过点对点的对话方式,让违规车辆自动接受处罚。由于旁路干扰准入控制模式真正的旁路部署特性,其对现行业务流没有任何影响,因此相对于所有准入控制模式来说,有着得天独厚、无法比拟的安全性,其具体的业务流程参考下图:
图5 旁路干扰准入控制模式示例流程
旁路干扰准入控制模式要求核心设备(通常是核心或者汇聚层交换机)具备流量镜像的功能,相对与策略路由来说,有更多的交换机都支持流量镜像功能,因此对于不同网络环境的适应性更加强大。除此之外,即使核心设备不支持流量镜像功能,也可以采用TAP分流的方式对流量进行复制分流,而这仅仅只需要增加一台分流/分光设备即可。
6