北信源网络接入控制系统工作原理与功能对比
北信源网络接入控制系统管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源内网监控 原理
北信源内网监控原理北信源内网监控是指对企业或组织内部网络进行实时监控和管理的一种安全措施。
其原理是通过安装在内网中的监控设备或软件,对内网中的网络流量、设备状态、用户行为等进行实时监测和记录,以便及时发现和防范内网中的安全威胁。
北信源内网监控的原理主要包括以下几个方面:1. 流量监测:北信源内网监控通过监测内网中的网络流量,包括入站和出站的数据包,来了解内网中的网络活动情况。
通过对流量的分析和统计,可以发现异常的流量行为,如大量的数据传输、频繁的连接请求等,从而及时发现潜在的安全威胁。
2. 设备状态监测:北信源内网监控还可以监测内网中的各种网络设备的状态,包括服务器、交换机、路由器等。
通过监测设备的运行状态、资源利用率等指标,可以及时发现设备故障、资源瓶颈等问题,并采取相应的措施进行处理,以保证内网的正常运行。
3. 用户行为监测:北信源内网监控还可以监测内网中用户的行为,包括登录、访问、操作等。
通过对用户行为的监测和分析,可以发现异常的行为模式,如非法登录、越权访问等,从而及时发现内网中的安全漏洞和风险。
4. 安全事件响应:北信源内网监控不仅可以监测和发现内网中的安全威胁,还可以及时响应和处理这些安全事件。
一旦发现异常的流量、设备状态或用户行为,监控系统可以自动触发警报,并通知相关人员进行处理。
同时,监控系统还可以采取一些主动的措施,如封锁异常流量、禁止非法登录等,以保护内网的安全。
5. 日志记录和分析:北信源内网监控还可以对监测到的数据进行记录和分析,生成详细的日志报告。
这些日志可以用于事后的审计和分析,帮助企业或组织了解内网中的安全状况,发现潜在的安全问题,并采取相应的措施进行改进和加固。
总之,北信源内网监控通过对内网中的网络流量、设备状态和用户行为进行实时监测和管理,可以及时发现和防范内网中的安全威胁,保障内网的安全运行。
同时,监控系统还可以记录和分析监测数据,为企业或组织提供安全审计和分析的依据,帮助其改进和加强内网的安全防护。
产品介绍北信源内网安全管理系统介绍v1.0北信源
系统采用模块化设计,各模块之间相互独立,方 便用户根据实际需求进行灵活配置和扩展。
3
多层次安全防护
系统构建了多层次的安全防护体系,包括网络层、 应用层、数据层等,确保内网安全无死角。
技术优势
全面的内网安全管理功能
系统提供了全面的内网安全管理功能,包括资产管理、漏洞管理、行为监控、日志分析等,满足 用户对内网安全的全方位需求。
持续创新与服务支持
鼓励员工创新
建立激励机制,鼓励员工提出创新性 想法和解决方案,促进产品的持续改
进和优化。
加强与科研机构的合作
提供定制化服务
积极与国内外知名科研机构合作,引 入先进的研发成果和技术标准,提升
产品的技术含量和竞争力。
根据客户的特殊需求,提供定制化的 产品解决方案和技术支持服务,满足
客户的个性化需求。
应用程序漏洞管理
能够及时发现和修复应用程序中的漏洞,防止漏洞被攻击者利用。
应用程序权限管理
能够对应用程序的权限进行严格的管理和控制,防止应用程序滥用 权限导致安全风险。
03
技术架构与优势
技术架构
1 2
基于B/S架构
北信源内网安全管理系统采用B/S架构,无需安 装客户端,通过浏览器即可轻松访问和管理内网 安全。
医疗行业
医院、诊所等医疗 机构ห้องสมุดไป่ตู้内部网络安 全管理。
06
未来发展规划与升级计划
未来发展规划
01
02
03
拓展市场份额
通过加大市场推广力度,提高品牌知 名度,进一步拓展内网安全管理系统
在各行各业的市场份额。
强化技术研发
持续投入研发,不断优化产品性能, 提升用户体验,保持技术领先地位。
网络接入控制系统知识介绍
终端信息
IP信息
网络信息
自动分类
多元素绑定
身份认证管理
定制化企业门户展示,个性化Portal展示界面,自动完成终端的页面推送
员工常驻类
来宾访客类
身份认证
注册
授权
准入控制管理
指纹不匹配 指纹匹配
丢弃 放行
网络资源
准入控制管理
主动方式
主动发送 探测数据包
准入系统
返回:端口号、TCP错误标志、起始序列 号、起始窗口、SNMP、NETBIOS、标 志信息等
你可以做什 么?
动态授权
你是谁?
内网管理困惑
终端类型多样化
接入方式多样化
VPN
操作系统多样化
安卓
苹果
微软
linux
使用者身份不明
非法终端接入 终端安全无法保障 私接网络设备
各自为政
违规操作
产品的解决思路及目标
• 设备收集与分类
• IP地址资源监控
• 交换机资源监控
可知
可信
资产的收集与监控 终端授权、安检
行为规范管理类
➢系统服务检查 ➢必须安装的软件 ➢必须运行的进程 ➢禁止安装的软件 ➢禁止运行的进程 ➢杀毒软件检查
终端安全管理
检查结果
一键修复
访问控制管理
访问控制 准入控制
数据库
VPN/Firewal l
准入成失功败
天清网络接入控制
日志报表管理(6/6)
产品部署及应用场景
BSS系统
ERP系统
网关 ➢ 数据防泄密 邮件网关 ➢ 融合安全网关(T-
MSG)
审计系列
➢ WEB应用审计(BA) ➢ 数据库审计(DBA) ➢ 防火墙安全策略伴侣 ➢ 安全域流检测
北信源-终端准入控制系统
北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。
网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。
有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。
主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。
通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。
深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。
由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。
继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。
北信源内网安全管理系统
北信源内网安全管理系统北信源内网安全管理系统是一种专门针对企业内部网络安全问题而设计的解决方案。
随着信息技术的快速发展,企业内部网络安全问题日益凸显,内网安全管理系统的重要性也日益凸显。
本文将对北信源内网安全管理系统进行详细介绍,包括其功能、特点、优势以及应用范围。
首先,北信源内网安全管理系统具有多种功能,包括但不限于网络入侵检测、安全策略管理、流量监控、漏洞扫描、安全日志管理等。
这些功能可以帮助企业及时发现和应对内网安全威胁,保障企业内部网络的安全稳定运行。
其次,北信源内网安全管理系统具有以下特点,一是全面性,能够全面覆盖企业内部网络的安全管理需求;二是实时性,能够实时监控网络安全状态,及时发现并应对安全威胁;三是智能化,能够通过智能算法对网络安全事件进行分析和处理,提高安全管理效率。
此外,北信源内网安全管理系统还具有诸多优势。
首先,它能够帮助企业建立起完善的内网安全管理体系,提高网络安全防护能力;其次,它能够降低企业内网安全管理的成本,提高管理效率;再次,它能够帮助企业及时应对各类网络安全威胁,保障企业信息资产的安全。
最后,北信源内网安全管理系统的应用范围非常广泛,几乎适用于所有需要进行内网安全管理的企业。
无论企业规模大小,无论行业类型,都可以通过部署北信源内网安全管理系统来提升企业内网安全管理水平,保障企业网络的安全稳定运行。
综上所述,北信源内网安全管理系统是一种功能全面、特点显著、优势明显、应用广泛的内网安全管理解决方案。
它的出现填补了企业内网安全管理领域的空白,为企业提供了一种全新的内网安全管理思路和方法。
相信随着信息技术的不断发展,北信源内网安全管理系统将在企业内网安全管理领域发挥越来越重要的作用。
北信源网络接入控制系统用户使用手册
2
北...................................................................................................................... 6 2 产品特性 ........................................................................................................................... 7
4.1.1 全网接入状况 ...................................................................................................... 11 4.1.2 网关接口状态信息和联动、认证信息 .............................................................. 15 4.1.3 在线设备趋势图(最近一小时) ...................................................................... 17 4.2 在线设备 ------------------------------------------------------------------------------------------------- 17 4.2.1 在线设备 .............................................................................................................. 17 5 注册管理 ......................................................................................................................... 19 5.1 参数配置 ------------------------------------------------------------------------------------------------- 19 5.2 设备注册列表 ------------------------------------------------------------------------------------------ 19 5.2.1 注册设备 .............................................................................................................. 19 5.2.2 设备注册列表 ...................................................................................................... 21 5.3 设备注册日志 ------------------------------------------------------------------------------------------ 22 6 认证管理 ......................................................................................................................... 24 6.1 参数配置 ------------------------------------------------------------------------------------------------- 24
北信源产品体系
北信源产品体系一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。
同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯独性及安全性认证。
通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。
同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。
北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。
●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访咨询限制;3)外部终端接入身份认证;4)杀毒软件检测及访咨询限制;5)补丁自动检测及访咨询限制;6)进程、服务、注册表信息检测及访咨询限制;7)未达到预定义安全级不接入访咨询限制。
●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。
●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。
2)认证客户端:安装在终端运算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius认证服务器:接收客户端认证要求信息数据包并进行验证。
4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证要求数据包与Radius认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访咨询网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
网络准入控制系统对比分析模板
与北信源网络准入控制系统的对比分析:1、管理服务器部署:北信源管理服务器部署时, 需要分别安装多个服务器部件, 并需严格按顺序安装。
操作比较繁琐, 部署效率较低。
联软科技Leagview管理服务器部署时, 仅一个安装包+一个SP 补丁包即可, 操作简便, 简单易懂, 部署效率高。
2、Radius认证服务器部署北信源安全准入管理中并无自己的Radius服务器, 启用802.1x准入控制需安装第三方免费的Radius服务器( 如IAS或者ACS的RADIUS认证服务器) 才能实现802.1x准入控制。
北信源完全没有对Radius认证服务器的任何开发、维护能力, 借助第三方Radius 认证服务器, 一旦出现网络准入故障, 较难排查故障原因, 而且对于终端接入的状态检查能力也较弱。
第三方Radius服务器单独部署配置, 操作较为繁琐。
联软科技LeagView网络准入控制系统, 采用独立自主研发的Radius认证服务器, 能够支持802.1x、EoU等多种方式的网络准入控制检查认证, 除了能够检查终端接入网络的用户帐号身份, 还能够进一步检查终端自身的安全状态是否合规, 能够检查接入终端硬件信息, 对终端接入检查进行更为严格的绑定检查。
单台Radius 最大能够支持2万终端用户认证, 能够与管理服务器整合在一个平台下集中部署, 也能够独立部署, 安装和配置都十分简单。
3、网络准入控制接入方式北信源仅支持基于802.1x协议的准入控制方式, 结合北信源自己的硬件VRV-BMG, 还能够实现基于强制注册网关: 在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向, 以达到强制注册目的。
联软科技LeagView网络准入控制系统能支持基于802.1x协议的网络准入控制, 还支持Cisco NAC架构中的EoU协议网络准入控制方式, 同时联软科技还提供LeagView®UniAccess TM NAC Controller准入控制器( 简称”NACC”) , 是一种基于Cisco EAP over UDP协议技术的硬件网关型设备, 专为解决非802.1X 网络环境下( 接入层交换机不支持802.1X ) 的网络准入控制问题而设计。
北信源内网安全管理接入网关安装及操作手册
北信源接入认证网关用户手册v5.7北京北信源软件股份有限公司2012年02月1目录第一部分:产品简介 (4)1.1 产品概述 (4)1.2 工作模式 (4)1.3 管理操作方式 (4)1.4 产品硬件简介 (5)1.4.1面板 (5)1.4.2背板 (6)1.4.3信号灯 (6)1.4.4接口参数 (6)1.5 产品特性 (7)第二部分:产品安装 (8)2.1 硬件安装 (8)2.2 产品实施 (8)2.2.1串接部署 (8)2.2.2旁路并行部署 (9)2.2.3系统登录 (9)第三部分:接入网关 (10)3.1 用户分析 (10)3.1.1活跃用户数统计 (10)3.1.2在线用户分析 (11)3.1.3设备统计 (11)3.1.4用户认证列表 (11)3.1.5IP/MAC绑定列表 (12)3.2 流量管理 (12)3.2.1用户配置 (12)3.2.2应用配置 (15)3.2.3带宽配置 (16)3.2.4时间段配置 (17)3.2.5策略配置 (17)3.2.6带宽分配 (18)3.3 准入控制 (19)3.3.1EDP联动设置 (19)3.3.2用户认证设置 (21)3.3.3本地认证模式 (22)3.3.4Radius认证模式 (23)3.3.5IP/MAC绑定设置 (24)23.4 客户端管理 (25)3.4.1基本设置 (25)3.4.2策略配置 (27)3.5 服务器保护模式 (27)第四部分:系统相关 (29)4.1 帐号管理 (29)4.2 系统设置 (30)4.3 系统信息 (32)4.4 系统操作 (32)4.5 保存设置 (32)4.6 加载设置 (33)4.7 系统日志 (33)4.8 审计备份 (34)4.9 系统更新 (35)4.10 双机热备 (36)4.10.1串联模式 (36)4.10.1旁路模式 (39)34第一部分:产品简介本部分包括:⏹ 产品概述⏹ 产品安装1.1 产品概述北信源内网安全管理接入网关(简称北信源接入网关)是一款部署简便、使用灵活的网络准入控制产品。
802.1x准入控制技术使用手册(北信源).
北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。
802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。
1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。
此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。
北信源-内网安全管理系统产品组合及技术参数
系统支持终端电脑的分组(域)管理,可对一个分组(域)内的被管理对象实施统一管理。
单独的权限分配体系
提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
灵活的策略对象
可根据时间段和时间点定制策略使用或禁止使用的触发条件;并可根据创建区域、自定义组、操作系统、IP范围、用户名、注册部门和按照条件搜索的设备进行策略分组分发管理。
打印信息审计
系统支持对主机打印行为进行监控审计,防止非授权的信息被打印。
文件涉密信息检查
系统支持对设定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容。
用户权限审计
能够对用户权限更改及用户增加和删除的行为审计。
操作系统日志审计
系统支持管理员远程读取终端电脑的日志(系统日志、应用日志、安全日志等)。
软件资产管理
自动收集网络中所有注册终端的安装软件信息,并可以以WORD、EXCEL表导出软件资产信息。
软、硬件资产信息变更报警管理
软硬件资产信息发生变化时,系统自动上报报警信息到服务器。
事件报表及报警管理
终端审计信息数据统计分类管理
系统将收集上来的终端信息按不同类别分类存储,管理员可以按不同类别检索信息。
补丁库建立和分类
系统根据补丁索引文件自动生成补丁库,并根据索引信息,将补丁类型进行分类。
终端漏洞自动检测
受控终端能够自动检测本身需要安装哪些补丁。
补丁策略制定分类和自动分发
补丁策略分补丁自动分发策略和人工选择补丁分发策略,根据不同需要制定不同策略实现全网补丁的自动分发。
终端补丁流量控制及代理转发技术
安全信息审计
文档授权审计
系统支持授权文档的名称、文档作者、授权时间、授权权限、授权方式和认证方式进行审计和查询。
北信源网络接入控制系统工作基本知识与功能对比
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司目录1.整体说明 (3)2.核心技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准入控制技术 (5)2.3. 旁路干扰准入控制技术 (7)2.4. 透明网桥准入控制技术 (8)2.5. 虚拟网关准入控制技术 (9)2.6. 局域网控制技术 (9)2.7. 身份认证技术 (10)2.8. 安检修复技术 (10)2.9. 桌面系统联动 (11)3.产品功能对比 (11)1.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。
北信源网络接入控制管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
Symantec SEP网络准入控制系统工作原理及操作模式
目录1. Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述 11. Gateway Enforcer 设备工作原理 (5)2. Symantec Network Access Control 11.0 LAN Enforcement 概述 (6)3. LAN Enforcer:理解基本模式和透明模式 (13)4. LAN Enforcer:如何配置以便处理尚未连接到SEPM 管理器的新安装客户端? (15)5. DHCP Enforcer 设备工作原理 (16)6. Symantec Network Access Control 11.0 DHCP Enforcement 概述 (18)7. 在没有安装客户端的情况下,Symantec Network Access Control 强制如何管理计算机?218. Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance (23)9. Using the DHCP Trusted Vendors Configuration feature with the Symantec Integrated DHCP Enforcer (28)1.Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述本文档翻译自英文文档。
原英文文档可能在本翻译版发布后进行过修改更新。
赛门铁克对本翻译文档的准确度不做保证。
情形您想对主机完整性功能有一个大概的了解解释主机完整性什么是主机完整性?主机完整性使得企业可以在企业网络(包括 VPN、无线和 RAS 拨号服务器)的所有入口点处强制执行安全性策略。
内网安全管理资料(北信源)
内网安全管理资料(北信源)目录一、引言 (2)二、背景 (3)三、系统架构 (5)3.1产品部署和管理构架 (6)3.1.1局域网构架 (6)3.1.2广域网构架 (7)3.2系列产品统一策略管理中心 (8)3.3系统自身安全设计 (9)四、功能模块介绍 (11)4.1终端基本管理功能 (11)4.2 IT资产管理功能 (13)4.3终端桌面管理功能 (14)4.4终端安全管理功能 (22)4.5主机运维管理功能 (27)4.6非法外联管理功能 (31)4.7补丁分发管理功能 (32)4.8文件分发管理功能 (38)4.9安全监控审计功能 (40)4.10移动存储介质使用管理功能 (44)4.11 802.1x网络接入控制管理功能 (46)4.12接入认证网关 (48)4.13存储介质信息粉碎功能 (54)4.14 Intel vPro (AMT) 管理功能 (55)4.15报表管理功能 (55)4.16事件报警管理中心 (57)4.17安全管理通告平台 (59)4.18第三方接口管理功能 (64)五、系统所需软、硬件配置要求 (64)一、引言终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的逐步发展的产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。
因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。
正确、全面地认识终端管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
近两年的安全防御调查也表明,政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散、不被重视、安全手段缺乏的特点,已使得终端安全成为信息安全体系的薄弱环节。
产品介绍上网行为管理系统北信源
产品介绍上网行为管理系统北信源
我们与众不同
• 终端分布式功能部署,BMG集中功能处理,减少系统开销
– 敏感信息过滤功能分布式部署
– 加密内容审计分布式部署 – 安全准入分布式部署
•BMG 集中 功能处理
PPT文档演模板
•EDP功能插 件
•分布式处理信息上报
•EDP功能插 件
•EDP功能插 件
•EDP功能插 件
•行为前
•安全准入控制 •二次授权认证
•行为中
•敏感信息过滤 •网页过滤
•行为后
•带宽管理 •综合信息审计
PPT文档演模板
产品介绍上网行为管理系统北信源
我们与众不同
• 组件化
可根据用户自身的需求特点,选择和启用不同的功能组件实现任意组合与扩展,保护安
。 全投资,减轻系统负载,提高系统运行效率
PPT文档演模板
PPT文档演模板
产品介绍上网行为管理系统北信源
网页过滤
• 内置36大类超过100万条的中文网页过滤分类数据库,能够实现基于 URL预分类网站列表的访问控制、基于用户和访问时间段的控制管理、 基于URL关键字的URL过滤、支持URL访问记录的查询,以及可以对 访问内容、访问量和访问者的统计排名等功能。
精细化报表
• 中文界面,饼图、柱图、线图、列表以及区域图多元化报表,报表类 型及内容支持自定义,灵活方便。
PPT文档演模板
产品介绍上网行为管理系统北信源
PPT文档演模板
内容
•需求分析 •销售技巧 •产品概述 • 产品优势 •产 品 简 介
产品介绍上网行为管理系统北信源
我们与众不同
• 产品理念
北信源上网行为管理网关VRV BMG对于上网行为的管理更倾向于行为前的避免和 行为中的阻止,而不是行为后的管理,将行为风险因素降至最低。
北信源网络接入控制系统工作原理与功能对比
北信源网络接入控制系统工作原理与功能4 北信asvRV*m B $ 全• a北京北信源软件股份有限公司1. 整体说明2. 核心技术重定向技术.策略路由准入控制技术旁路干扰准入控制技术透明网桥准入控制技术虚拟网关准入控制技术局域网控制技术身份认证技术.安检修复技术.桌面系统联动.3. 产品功能对比目录错误!未定义书签。
错误!未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误! 未定义书签。
错误!未定义书签。
1.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行 WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证, Radius 认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于 tcp 实现的;而虚拟网关则是通过控制交换机 VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示 , 这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对 http 性质的业务访问进行重定向,以往针对 http 的业务区分主要基于业务端口(主要为 80 端口),对于非 80 业务端口的 http 业务不能有效区分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司1目录1.整体说明 (3)2.核心技术 (3)2.1.重定向技术 (3)2.2.策略路由准入控制技术 (4)2.3.旁路干扰准入控制技术 (6)2.4.透明网桥准入控制技术 (7)2.5.虚拟网关准入控制技术 (7)2.6.局域网控制技术 (8)2.7.身份认证技术 (8)2.8.安检修复技术 (9)2.9.桌面系统联动 (9)3.产品功能对比 (10)21.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,3针对非80端口的http业务也能进行有效的识别和重定向。
除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提供人性化帮助提示,主要表现在以下几大方面:●针对未注册终端,提供重定向下载页面供终端进行Agent下载和注册;●针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供用户选择;●提供人性化的安检评分重定向页面,采用Ajax技术,使得安检结果可以在重定向页面自动刷新,自动评分,并在重定向页面提供一键修复策略;●在终端入网的每个重定向环节提供帮助说明,对业务操作提供帮助链接,帮助终端使用者自动解决入网过程的所有问题,减少网络管理人员的参与,提高网络管理的效率,降低人工成本;●重定向页面的提供不基于特定的IE浏览器,只要是http的业务形式,无论是采用IE浏览器访问,还是采用客户端登录(例如QQ登录),或是客户端弹出窗口(例如QQ、飞信弹出内容模式)都可以进行重定向。
2.2. 策略路由准入控制技术在过去,所有的准入控制模式几乎都是基于网络链路节点来进行控制的,从终端PC、网络交换设备、路由器防火墙等,所有的控制节点都放在了网络转发或传输设备本身。
这种模式不仅加重了网络基础设施的压力,同时也更容易形成单点故障,对网络业务本身可能造成不可连续性运营的困扰。
随着近年来准入控制技术的不断发展,越来越多的准入控制技术都采用了OOB(Out Of Band)模式,即所谓旁路部署模式,在准入控制产品的本身出现故障的情况下,并不会影响网络业务本身的可持续性运营,网络准入控制技术的发展也由此迈向了一个新的台阶。
北信源网络接入控制系统的策略路由模式,要求网络基础设施的核心设备4(例如核心交换机)支持策略路由功能,通过将上行业务请求通过策略路由的控制定向到北信源网络接入控制系统,经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的方式,对终端入网进行安全可信的筛选,从而达到准入控制的效果,具体流程可以参考以下流程示意图:图4 策略路由准入控制模式示例流程由于策略路由模式只针对上行业务请求进行处理,不会影响下行业务返回的正常转发,也不影响网络路由和拓扑的更改,其安全性也得到了更多的保障,因而比较适合于大多数网络环境。
另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从安全角度来看,即使准入控制设备失去功效,也不会影响业务的正常转发,从而保证网络业务的可持续运营,因此,相对于以往的准入控制模式,策略路由模式无异于更受欢迎。
北信源网络接入控制系统完美的利用了核心设备策略路由的特性,结合北信源公司安全接入控制理念,并和北信源内网安全管理系统有效结合起来,为客户的内网终端安全管理提供有效的安全保障。
5在OOB准入控制模式的发展趋势下,北信源公司研发了基于旁路干扰模式的准入控制方法,该准入控制方法采用和策略路由模式一致的旁路部署方法,是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术,相对于策略路由准入控制模式,旁路干扰准入控制模式有着更为突出的安全特性。
策略路由准入控制模式虽然采用旁路部署模式,但是从技术原理上来说,采用的是流量劫持的方式对上行业务流进行筛选。
而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,就像在快速运行的高速公路旁边部署了一台监控摄像头,当发现违规车辆时通过点对点的对话方式,让违规车辆自动接受处罚。
由于旁路干扰准入控制模式真正的旁路部署特性,其对现行业务流没有任何影响,因此相对于所有准入控制模式来说,有着得天独厚、无法比拟的安全性,其具体的业务流程参考下图:图5 旁路干扰准入控制模式示例流程旁路干扰准入控制模式要求核心设备(通常是核心或者汇聚层交换机)具备流量镜像的功能,相对与策略路由来说,有更多的交换机都支持流量镜像功能,因此对于不同网络环境的适应性更加强大。
除此之外,即使核心设备不支持流量镜像功能,也可以采用TAP分流的方式对流量进行复制分流,而这仅仅只需要增加一台分流/分光设备即可。
6在不支持策略路由或者旁路镜像的环境下,为了满足客户网络环境下的准入控制需求,采用串接的方式实现准入控制便显得尤为重要了。
透明网桥技术已经被大多数网络安全设备接受和认可,也是目前为止在网络关口层面控制最为严格的部署技术,北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中,采用ACL的方式对流量IP进行过滤,对不可信不安全的终端进行隔离修复。
图6 透明网桥准入控制模式示例流程2.5. 虚拟网关准入控制技术虚拟网关是基于VLAN(Virtual Local Area Network)和SNMP(Simple Network Management Protocol )两种技术,在VLAN环境中,把设备接入的VLAN 分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:未通过,则通过SNMP Write,将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所7处VLAN, 切换为可信VLAN,正常上网。
2.6. 局域网控制技术无论是策略路由、旁路干扰还是透明网桥准入控制技术,都是基于网络核心节点的网络接入控制技术,并不能真正对局域网终端节点之间的互访进行授信控制。
在以往的所有准入控制技术当中,对于局域网之间互访的授信控制是基于接入交换机端口的控制(802.1X)、IP地址获取控制(DHCP Enforcer)或者通过VLAN技术进行隔离。
北信源网络接入控制系统授予了终端可信判断的能力,对于安装有北信源网络接入控制系统Agent的终端,可以自动判断来访者的可信程度,如果发现来访者是不安全不可信的终端,Agent会丢弃来访的数据包请求,阻止不可信终端对自身的访问。
采用终端自判断的方式将局域网访问控制从网络节点设备下放到终端自身,不仅可以降低网络节点设备自身的压力,还可以规避其它局域网访问控制技术的缺陷,例如802.1x对hub、傻瓜式交换机下终端互访无法控制的问题以及采用手动设置IP规避DHCP自动获取的IP控制等。
而由于安装Agent进行注册是入网授信必须经历的一个环节,因此采用终端自判断的局域网控制技术,可以完全有效的控制局域网终端之间的授信访问过程。
2.7. 身份认证技术身份认证是终端可信认证的一个重要环节,随着信息安全技术的不断发展,针对身份认证安全可靠的特性也提出了更高的要求。
身份认证最重要的部分是防伪造、防抵赖,因此身份认证技术也从最初简单的用户名/口令,逐渐发展到证书、生物技术、动态密码以及多因素认证,防止一切可能伪造和抵赖的因素。
为了满足不同安全程度的身份认证需求,也为了适应客户网络环境中可能已经存在的身份存储和认证方式,北信源网络接入控制系统针对各种主流身份认证技术进行了符合性开发,为各种主流身份认证技术提供了认证接口,典型的诸如和Radius、LDAP、AD域、CA系统、邮箱系统相结合的认证,可以满足当前技8术下大部分认证系统的需求。
2.8. 安检修复技术除身份认证外,安检修复也是针对终端可信认证的重要环节,据权威机构研究证明,80%的信息泄密来自于企业或机构的内部计算机终端。
由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员,对于计算机的自主安全防护能力存在一定欠缺,因此造成了很大的泄密隐患。
针对内部终端被动泄密的问题,归根结底是因为终端的安全策略配置不够严谨(例如guest账户开启、弱口令设置以及不正常的注册表键值等)或者计算机本身存在安全漏洞(例如关键补丁未安装、杀毒软件未安装或者病毒库过期等原因)造成的。
针对此类情况,北信源网络接入控制系统采用主动探测和一键修复的技术设计,对入网计算机终端的安全测试进行检查和评分,对存在安全隐患的计算机终端强制禁止入网,并提供一键策略修复技术,解决终端可能存在的不安全隐患,从而达到全网终端的统一安全管理。
2.9. 桌面系统联动北信源准入控制系统支持与桌面系统联动,在已经部署桌面系统的环境下,支持注册客户端透明准入,不需要二次认证注册,由桌面管理平台下发安全策略,客户端安全信息实时上报到准入网关,实时更新终端安全策略状况,风险控制严格,客户端上报安全信息不合规时,立即被隔离到隔离区,此时客户端仅能访问隔离区中的服务器,直到修复完全直到满足安全策略要求。