山东省图网络接入控制系统..docVIP

项目 产品型号 中文描述 单位 数量 报价 备注 主系统 金惠网络准入接入控制管理系统VRV-BMG 2U机架式,1个10/100M管理口,1个10/100M扩展口,4个1000BASE-T电口,单交流电源，支持双链路认证，适应200-500个认证用户 台 1 218000 　 金惠网络接入控制管理系统描述： 金惠网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。与此同时，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。 金惠网络接入控制管理系统可以保护整个企业内部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端安全接入内部网络，保护网络接入的安全性。 网络准入控制能够勾勒企业终端接入的安全基线，屏蔽一切不安全的设备和人员接入网络，规范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备，能够禁止其访问网络，或进行网络VLAN隔离，并主动对其安全修复。金惠网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。其模型如下图： 网络接入控制安全访问模型 安全检查 根据系统进程、文件、注册表等设置的检查结果来判断： 用户身份是否合法 主机防火墙是否安装并运行 防病毒软件是否安装并运行，病毒特征库是否及时更新 操作系统关键安全补丁是否安装 操作系统安全配置是否妥当 是否感染特定病毒实体 是否安装违规软件 接入认证 根据上述检查结果，通过服务器和网络设备以及终端PC联动来决定： 拒绝终端/用户接入 容许终端/用户接入 隔离终端/用户（单机隔离， VLAN隔离） 限制终端/用户访问权限 安全修复 在隔离或限制接入的情况下，还可以通过自动修复来恢复正常的网络访问权限。修复的内容包括： 自动开启IE，连接内部安全网站上相关的提示页面 自动分发病毒专杀工具 自动升级病毒特征库 自动分发操作系统关键补丁 自动纠正错误的系统配置 系统组成 金惠网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统，以及硬件接入网关（可选）几部分组成。 策略服务器 策略服务器是本系统的策略管理中心，提供系统的参数配置和安全策略管理。安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。 认证客户端 认证客户端安装在终端计算机，根据用户名和密码向认证服务器发起认证，能够根据策略服务器分发的安全策略对终端主机进行安全检查，依据获取的主机的安全状态，配合认证系统，实现工作区、隔离区、修复区的自动切换。 网络接入认证控制示意图 Radius认证服务器 Radius认证服务器用于接收客户端认证请求信息数据包并进行验证，根据网络环境可使用微软的IAS，CISCO ACS或LINUX FREE RADIUS等系统。 Radius认证系统 Radius认证系统为可网管支持802.1x的网络设备（交换机），由该认证系统接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。 802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口作为请求者，LAN端口则负责向认证服务器提交接入服务申请。基于端口的锁定只允许信任的MAC地址向网络中发送数据，而来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。 在不支持802.1x协议的网络中，看选配专用硬件设备为强制注册网关。 准入身份认证 支持802.1X协议接入认证：通过对支持此协议的交换机进行管理，配合RADIUS服务器和认证客户端，利用交换LAN架构的物理特性，实现LAN端口的设备认证。 结合金惠接入认证网关，可以支持非网管交换机、集线器等不支持802.1X协议的网络设备接入的终端，支持设备入网认证。 系统认证方式支持单用户、多用户、域用户等模式：单用户模式可以保证终端设备必须安装认证客户端才能接入网络；多用户模式除了保证终端设备必须安装认证客户端外，还要求用户拥有正确的用户名及口令方可以接入网络；域用户模式支持系统自动采用域登陆用户密码进行身份认证，将网络接入认证同域认证有效结成一体。 系统认证协议支持：支持MD5等多种标准加密认证方式，并可使用自定义扩展的通讯协议，提供对第