北信源网络接入控制管理系统
产品白皮书
北信源软件股份
声明
本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明
本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
1. 系统概述 4
2. 系统架构 4
3. 系统组成 6
3.1. 策略服务器 6
3.2. 认证客户端 6
3.3. Radius认证服务器 7
3.4. Radius认证系统 7
3.5. 硬件接入网关(可选配) 8
4. 系统特性 8
4.1. 全面的安全检查 8
4.2. 技术的先进性 8
4.3. 功能的可扩展性 8
4.4. 系统可整合性 9
4.5. 无缝扩展与升级 9
5. 系统功能 9
5.1. 准入身份认证 9
5.2. radius软件完整性检查功能 10
5.3. 安全修复功能 10
5.4. 管理与报表 11
5.5. 终端安全策略设置 12
6. 典型应用 13
6.1. 802.1x环境应用 13
6.2. 非802.1x环境应用 14
6.3. VPN环境应用 15
6.4. 域环境应用 15
1.系统概述
北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源网络接入控制管理系统可以保护整个企业部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端安全接入部网络,保护网络接入的安全性。
2.系统架构
网络准入控制能够勾勒企业终端接入的安全基线,屏蔽一切不安全的设备和人员接入网络,规用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN隔离,并主动对其安全修复。北信源网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。其模型如下图:
网络接入控制安全访问模型
安全检查
根据系统进程、文件、注册表等设置的检查结果来判断:
用户身份是否合法
主机防火墙是否安装并运行
防病毒软件是否安装并运行,病毒特征库是否及时更新
操作系统关键安全补丁是否安装
操作系统安全配置是否妥当
是否感染特定病毒实体
是否安装违规软件
接入认证
根据上述检查结果,通过服务器和网络设备以及终端PC联动来决定:
拒绝终端/用户接入
容许终端/用户接入
隔离终端/用户(单机隔离, VLAN隔离)
限制终端/用户访问权限
安全修复
在隔离或限制接入的情况下,还可以通过自动修复来恢复正常的网络访问权限。修复的容包括:
自动开启IE,连接部安全上相关的提示页面
自动分发病毒专杀工具
自动升级病毒特征库
自动分发操作系统关键补丁
自动纠正错误的系统配置
3.系统组成
北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统,以及硬件接入网关(可选)几部分组成。
3.1.策略服务器
策略服务器是本系统的策略管理中心,提供系统的参数配置和安全策略管理。安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。
3.2.认证客户端
认证客户端安装在终端计算机,根据用户名和密码向认证服务器发起认证,能够根据策略服务器分发的安全策略对终端主机进行安全检查,依据获取的主机的安全状态,配合认证系统,实现工作区、隔离区、修复区的自动切换。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论