中华箭网络接入控制系统白皮书.pdfVIP

华箭网络接入控制系统 产品白皮书 北京水木同正网络技术有限公司 2008.4 MTZ 1 目录 一、 概述 3 二、 系统简介 3 三、 系统主要功能 4 四、 系统组成结构 5 五、 系统运行环境 7 六、 系统工作流程简介 7 七、 系统特点 8 八、 系统部属应用示意图 9 MTZ 2 一、概述 现今病毒与蠕虫不断的影响着网络的安全，而系统安全更新(patch)远跟不上 脆弱的系统被攻击的速度，系统经常在更新码(patch、病毒特征)发布之前就已经 遭受了攻击。每当终端登录到网络时，它就具有影响该网络安全的潜在的危险， 未遵循网络安全政策 （病毒特征过期、系统漏洞未修补等）的服务器及终端普遍 存在于企业网络中并难以发 ，且无法有效控制。每当它们连接网络时，就增加 了对网络环境安全的威胁。 网络接入控制技术NAC （Network Access Control ）是新一代的安全接入技术， 是保证网络安全的重要手段，相比传统的被动防御来说，增加了主动性，从以前 的默认允许走向更加严格的默认拒绝。NAC 机制可以提供保证端点设备在存取网 络前是完全遵循已建立的安全策略，可保证不符合安全策略的设备无法访问网 络，并设置可补救的隔离区供终端修正其安全问题，或者限制其可存取的资源。 二、系统简介 中华箭网络接入控制系统是公司产品中华箭 5 号－“综合网络安全管理系 统”的一个子系统，该系统是利用NAC 技术实现的一套适合于国 用户的系统。 系统基于IEEE 802.1X 标准协议设计开发，可广泛的支持目前网络中使用的网络 设备类型 （设备支持802.1x 协议），同时适应国 网络建设 状，众多的网络中 存在不支持 802.1x 协议的交换机的情况，系统采用集成个人防火墙的方式，可 实现在具备802.1x 环境、无802.1x 环境以及混合情况下的终端准入控制。 网络接入控制除了采用 802.1x 协议控制计算机的网络接入外，还提供了丰 富的扩展安全策略，可根据用户实际的安全管理需求制定终端的安全接入标准， 保证终端接入的安全性，实 对终端接入网络的细粒度的控制管理。 系统与中华箭5 号－“综合网络安全管理系统”的无缝结合，配合中华箭5 号系统的网络管理、终端管理等多方面的功能，实现了从计算机接入网络之前的 安全控制、接入网络之后管理维护以及发生安全问题时的快速响应机制，从而建 MTZ 3 立一套完善的内部网络综合管理解决方案。 三、系统主要功能 中华箭网络接入控制系统主要控制管理终端接入网络的行为，对终端的合法 性进行严格的认证管理，系统的主要功能包括： 1、802.1x 接入认证管理 系统基于 802.1x 标准协议流程，可以对接入网络的所有终端进行严格的控 制管理。终端系统接入网络之前，必须首先安装接入认证客户端系统，通过客户 端系统发起接入申请，经过服务器系统的审核后方可连通网络。未安装客户端的 终端将无法正确的发起接入请求，也就无法接入到网络中。 安装接入认证客户端后，通过合法的授权帐号方可接入到网络中。同时为适 应不同用户的需求，终端接入的授权帐号也可以是数 证书、USB key 等方式的 数据信息，也可根据需要省略，接入控制按照扩展的安全标准进行验证。 2、集成软件防火墙 为实现更为全面的管理，同时也能够更好的支持国 网络环境中部分不支持 802.1x 协议的交换机情况，系统集成了软件防火墙，对计算机接入过