北信源网络接入控制系统工作原理与功能对比..docVIP

北信源网络接入控制系统 工作原理 目 录 1. 整体说明 4 2. 核心技术 4 2.1. 重定向技术 4 2.2. 策略路由准入控制技术 5 2.3. 旁路干扰准入控制技术 7 2.4. 透明网桥准入控制技术 8 2.5. 虚拟网关准入控制技术 8 2.6. 局域网控制技术 9 2.7. 身份认证技术 9 2.8. 安检修复技术 10 2.9. 桌面系统联动 10 3. 产品功能对比 11  整体说明 准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流通，另一类则是通过配置交换机，让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听，透明网桥等准入控制均属于前者，也就是网关自己通过放行或丢弃、阻断对于数据包的阻断是tcp实现的 图4 策略路由准入控制模式示例流程 由于策略路由模式只针对上行业务请求进行处理，不会影响下行业务返回的正常转发，也不影响网络路由和拓扑的更改，其安全性也得到了更多的保障，因而比较适合于大多数网络环境。 另外，大多数支持策略路由的核心设备同时也支持逃生模式，核心设备在确认策略路由的下一跳不可达的情况下，可以按照策略配置自动选择原有默认路由，从安全角度来看，即使准入控制设备失去功效，也不会影响业务的正常转发，从而保证网络业务的可持续运营，因此，相对于以往的准入控制模式，策略路由模式无异于更受欢迎。 北信源网络接入控制系统完美的利用了核心设备策略路由的特性，结合北信源公司安全接入控制理念，并和北信源内网安全管理系统有效结合起来，为客户的内网终端安全管理提供有效的安全保障。 旁路干扰准入控制技术 在OOB准入控制模式的发展趋势下，北信源公司研发了基于旁路干扰模式的准入控制方法，该准入控制方法采用和策略路由模式一致的旁路部署方法，是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术，相对于策略路由准入控制模式，旁路干扰准入控制模式有着更为突出的安全特性。 策略路由准入控制模式虽然采用旁路部署模式，但是从技术原理上来说，采用的是流量劫持的方式对上行业务流进行筛选。而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选，在筛选过后再采用旁路干扰的方式中断现行业务流，是真正的旁路部署模式，不需要对现行业务流的走向进行任何改动，就像在快速运行的高速公路旁边部署了一台监控摄像头，当发现违规车辆时通过点对点的对话方式，让违规车辆自动接受处罚。由于旁路干扰准入控制模式真正的旁路部署特性，其对现行业务流没有任何影响，因此相对于所有准入控制模式来说，有着得天独厚、无法比拟的安全性，其具体的业务流程参考下图： 图5 旁路干扰准入控制模式示例流程 旁路干扰准入控制模式要求核心设备（通常是核心或者汇聚层交换机）具备流量镜像的功能，相对与策略路由来说，有更多的交换机都支持流量镜像功能，因此对于不同网络环境的适应性更加强大。除此之外，即使核心设备不支持流量镜像功能，也可以采用TAP分流的方式对流量进行复制分流，而这仅仅只需要增加一台分流/分光设备即可。 透明网桥准入控制技术 在不支持策略路由或者旁路镜像的环境下，为了满足客户网络环境下的准入控制需求，采用串接的方式实现准入控制便显得尤为重要了。透明网桥技术已经被大多数网络安全设备接受和认可，也是目前为止在网络关口层面控制最为严格的部署技术，北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中，采用ACL的方式对流量IP进行过滤，对不可信不安全的终端进行隔离修复。 图6 透明网桥准入控制模式示例流程 虚拟网关准入控制技术 虚拟网关是基于VLAN（Virtual Local Area NetworkSimple Network Management Protocol?）两种技术，在VLAN环境中，把设备接入的VLAN分为可信VLAN和不可信VLAN，判断对应设备是否通过认证：未通过，则通过SNMP Write，将对应设备所接交换机端口所处VLAN，切为不可信VLAN，以后，该设备再访问网络，将会被重定向，直至认证通过后，虚拟网关才将其所处VLAN, 切换为可信VLAN，正常上网。 局域网控制技术 无论是策略路由、旁路干扰还是透明网桥准入控制技术，都是基于网络核心节点的网络接入控制技术，并不能真正对局域网终端节点之间的互访进行授信控制。在以往的所有准入控制技术当中，对于局域网之间互访的授信控制是基于接入交换机端口的控制（802.1X）、IP地址获取控制（DHCP Enforcer）或者通过VLAN技术进行隔离。 北信源网络接入控制系统授予了终端可信判断的能力，对于安装有北信源网络接入控制系统Agent的终端，可以自动判断来访者的可信程度，如果发现来访者是不安全不可信的终端，Agent会丢弃来访的数据包请求，