天珣产品培训——准入控制功能原理介绍 V1.0

代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则放行该访问 终端未安装客户端或安全状态不要求，则重定向访问 被重定向的客户端访问修复服务器
开启UTM联动的准备工作
• • • • • 1、统计ip电话的ip地址 2、统计网络视频终端的IP地址 3、统计POSS机的IP地址 4、UTM上联设备和下联设备的互联地址 5、统计其他非正常windows操作系统设 备的IP地址 • 6 、IDS/UTM管理地址。 • 7、天珣主/备服务器的IP地址。
Page 11
天珣支持的认证条件类型
• • • • • • • • •
Page 12
Username/Password 可信MAC IP-MAC组合 User-IP-MAC组合 认证有效期 GUID（电脑的物理信息） 数字证书（文件类型或UKEY） 交换机端口 天珣服务器设置的安全状态
天珣支持的局域网和用户类型
1、通用准入 2、DNS准入
应用准入
3、ISA准入 4、IIS准入 5、WEB准入
Page 18
天珣通用准入控制
1
终端访问受网关保护的应用服务器 天珣网关组件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则访问进行 终端未安装客户端或安全状态不要求，则重定向访问 被重定向的客户端访问修复服务器
1
终端访问以任意端口提供服务的IIS应用 天珣IIS API插件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则访问进行 终端未安装客户端或安全状态不要求，则重定向访问 被重定向的客户端访问修复服务器
3
Pass or Deny 并给出修复指引
ARP准入
1
接收到ARP请求
•
2
是否有客户端标识
3
如果没有，发 ARP欺骗包
天珣ARP准入的特点 以应答方式进行ARP欺骗， 发包数量少，没有广播包， 对网络影小 安静地不回应。如果ARP包 被请求者有客户端而请求者 无客户端，则被请求者安静 地不回应，没有ARP欺骗包 发出，进一步降低对网络的 影响。
WEB准入控制流程
通过IE访问第 三方登录页面
嵌入式代码检查IE是 否安装了天珣IE控件
否
是
提示用户安 装IE控件
否
IE控件从服务器端查 询本机是否被准入
能够正常 登录访问
是 否
IE控件检查标准客户 端是否正在运行
是
重定向到标准客 户端安装页面
能够正常 登录访问
终端准入
1、客户端准入
2、ARP准入
Page 4
系统角色
系统角色 定义
验证者（Authenticator） 对接入的网络实体进行验证的实体
请求者（Supplicant） 验证服务器
被所接入的验证者验证的网络实体
对验证者提供验证服务的实体，这种服务决定请 （Authentication Server） 求者是否被允许接入验证者所提供的服务
4
5 6 7 8 9
客户端将被授权/拒绝/访问重定向或者隔离
EOU准入控制过程图示
•
天珣对EOU的支持 用户认证、可信MAC认证、有效期认证 无客户端时重定向到安装客户端的页面
网关联动数据交互
1
终端访问USG保护区域，流量经过USG USG向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
谢 谢！
Page 29
Page 10
802.1x端口受控模式
• Port-Based
– 一个交换机端口只要有一台终端认证通过了，所有 终端都能获得访问授权 – Cisco交换机 – 支持MAC-Based的交换机
• MAC-Based
– 一个交换机端口下接的每台终端都需要分别认证通 过，才能获得访问授权 – H3C – 华为 – 锐捷 – 其他国内交换机
EOU
Si Si
Inernet
网关联动
802.1x
网络层
•
终端层准入控制
– – 客户端准入 ARP 准入
客户端准入 ARP准入 终端层
……
Page 2
1、网络准入
目录
2、应用准入 3、终端准入
Page 3
1、接入层准入——802.1X准入（有线或无线）
网络准入
2、汇聚层准入——EOU准入（思科设备） 3、网关型准入——天珣与天清汉马网关联动
强行授权 （ForceAuthorized） 自动（Auto）
Page 7
工作原理
请求者系统
验证者系统
验证服务器系统
请求者PAE
验证者系统 提供的服务 未被授权 的端口
验证者PAE 承载在高层协议 中的EAP报文
验证服务器
LAN/WLAN
Page 8
802.1x的协议流程
Page 9
天珣802.1X 准入控制
DNS指向互联网 上的DNS服务器
天珣DNS准入数据交互
1 2 3
终端向DNS服务器发送解析请求，请求包中包含了终端的状态标识 安装了客户端并且安全状态符合要求则得到正确的响应 未安装客户端的终端得到的响应为修复服务器地址 不合规终端访问修复服务器
4
ISA准入控制
ISA准入数据交互
1
终端通过ISA代理进行HTTP访问 天珣ISA过滤器插件向天珣策略网关代理请求终端状态
天珣内网安全风险管理与审计系统 准入控制原理
启明星辰 2013.9
天珣—准入控制最佳实践
• 网络层准入控制
– – – 接入层—802.1x 汇聚层— EOU 网络边界—网关联动
Web准入 IIS准入 ISA准入 DNS准入 通用准入
应用层
•
应பைடு நூலகம்层准入控制
– – – – – 通用准入 DNS准入 ISA准入 IIS准入 Web准入
DNS准入部署示意
旁路式DNS准入
互联网上的DNS服务器
在线式DNS准入
内网应用服务器 DNS服务器 DNS策略网关
互联网
企业内网
互联网
出口交换机 DNS策略网关
DNS指向内部 DNS服务器
企业内网
•
天珣DNS准入
同时支持旁路式和在线式两种模式 对于未安装客户端的终端，任何DNS请求都 解析为下载服务器的IP地址 对于已安装客户端的终端，由客户端准入实 施进一步的控制
Page 5
受控端口和非受控端口
验证者系统 受控端口 非受控端口 受控端口
验证者系统 非受控端口
未被授权 的端口
授权的端口
LAN
LAN
Page 6
端口控制模式
模式 强行未授权
行为 受控端口被无条件设置为未授权状态 受控端口被无条件设置为已授权状态 允许协议控制受控端口的授权状态
（ForceUnauthorized）
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC，并等待终端响应
终端响应代理的检查请求或未响应，后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则访问进行 终端未安装客户端或安全状态不要求，则重定向访问 被重定向的客户端访问修复服务器
IIS准入数据交互
Page 26
客户端准入
终端被访问
1
终端访问网络
1
接收到访问包
应用程序访问网络
2
自身安全状态检查 Pass or Deny 补丁？ 病毒码？ 运行软件？ ……
2
Pass or Deny 自身安全状态检查
补丁？ 病毒码？ 运行软件？ ……
3
检查对方是否运 行了客户端软件
4
Pass or Deny 并给出修复指引
• 局域网类型
– 有线局域网 – 无线局域网
• 用户认证类型
– AD域 – OpenLDAP – 天珣本地用户
Page 13
EOU准入控制数据交互
企业网络 天珣客户端
1 2 3 8
Cisco汇聚层 网络设备 9
认证服务器
4 5
目录服务器
7
6
1 2 3
客户端发送IP数据包至Cisco汇聚层设备 Cisco汇聚层设备通过EAPoUDP要求客户端发送认证信息 客户端通过EOU将认证信息发送给Cisco汇聚层设备 Cisco设备将客户端认证信息通过Radius协议转发给认证服务器 认证服务器收到信息开始验证工作，与目录服务器交互，确认用户权限 目录服务器将用户身份认证的结果反馈给认证服务器 认证服务器根据认证结果发送允许或拒绝接入的ACLs/URL redirect Cisco设备反馈认证结果给客户端
1 2 3
6
5
4
天珣客户端
支持802.1x的交 换机或无线AP
天珣Radius服 务器
目录服务器
1 2 3 4 5 6
天珣客户端发送身份认证信息给交换机（借助802.1x协议） 交换机将认证信息转发给Radius服务器 Radius服务器收到信息开始验证工作，与目录服务器交互，确认用户权限 目录服务器将用户身份认证的结果反馈给Radius服务器 Radius服务器根据验证的结果通知交换机是否打开端口 将认证结果告知EPOS客户端