360网络安全准入系统技术白皮书-V13.docx

360网络安全准入系统技术白皮书奇虎360科技有限公司二O一 四年 十一 月 360网络安全准入系统技术白皮书更新历史编写人日期版本号备注刘光辉2014/11/111.2补充802.1x目录第一章前言5第二章 产品概述52.1产品构成52.2设计依据5第三章 功能简介63.1 网络准入63.2认证管理63.2.1保护服务器管理63.2.2 例外终端管理63.2.3重定向设置63.2.3 认证服务器配置63.2.4 入网流程管理73.2.5 访问控制列表73.2.6 ARP准入73.2.7 802.1x73.2.8 设备管理73.3用户管理83.3.1认证用户管理83.3.2注册用户管理83.3.3在线用户管理83.3.4用户终端扫描8新3.4 策略管理83.4.1 策略配置83.5系统管理93.5.1系统配置93.5.2接口管理93.5.3 路由管理93.5.4 服务管理93.5.5 软件升级93.5.6 天擎联动93.6系统日志93.6.1违规访问103.6.2心跳日志103.6.3 认证日志103.6.4 802.1x认证日志10第四章 产品优势与特点10第五章 产品性能指标105.1测试简介105.2被测设备硬件配置115.3 360NAC抓包性能指标11第六章 产品应用部署126.1 360NAC解决方案126.1.1部署拓扑126.2.基本原理136.2.1 360NAC工作流程图136.2.2 360NAC工作流程图详述 360NAC流程一部署 360NAC流程二部署 360NAC流程三部署14前言网络信息化的飞速发展为用户内网管理带来新的问题和挑战，主要体现在以下几方面：外来终端随意地访问网络，不设防；内网中的用户可以随意地访问核心网络，下载核心文件；不合规终端也可以接入到公司核心服务，对整个网络安全带来隐患；针对以上问题以及诸多安全隐患，360互联网安全中心凭借多年信息安全领域的技术积淀，推出了基于终端应用的准入系统（简称360NAC）。360NAC是一套配合360天擎终端安全管理系统的安全准入解决方案，它基于用户核心服务保护模式，对非法访问用户核心服务的终端进行管控和限制，并对非法用户强推终端管控软件，从而实现了一套从网络到终端的立体准入系统。 第二章 产品概述360NAC是由360互联网安全中心开发的，具有自主知识产权的准入产品。该产品采用旁路部署方式，采用360自有技术，对企业内网数据流进行合法性检查并及时阻断非法连接。2.1产品构成360NAC是由硬件准系统配合天擎客户端组成的，硬件准入系统同时提供B/S架构的系统管理平台供用户对系统进行全方位配置与管理。2.2设计依据《信息安全技术 信息系统安全等级保护技术要求》（GB/T 22239-2008）《涉及国家秘密的信息系统分级保护技术要求》（BMB 17-2006）《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）《信息技术 安全技术 信息安全管理体系要求》（GB/T 22080-2008）《信息技术 安全技术 信息安全管理实用规则》（GB/T 22081-2008）第三章 功能简介3.1 网络准入 360NAC网路准入控制系统通过安装天擎 – 入网、注册 – 入网、注册 – 安装天擎 - 入网，三种方式灵活实现企业需要的准入方式。3.2认证管理3.2.1保护服务器管理支持将服务器IP添加至保护服务器管理，该服务器即刻被保护，未安装天擎的终端将不能访问被保护的服务器。3.2.2 例外终端管理支持将终端IP添加至例外终端管理，该终端将不受准入策略限制，无论是否安装天擎客户端都可访问被保护的服务器。3.2.3重定向设置支持识别自定义http协议端口。支持终端分发地址配置。支持服务器管理地址配置。3.2.3 认证服务器配置支持本地LDAP连接。支持第三方LDAP连接。支持Windows AD域连接。3.2.4 入网流程管理支持安装天擎客户端后入网方式。支持注册、LDAP账号认证、WindowsAD域账号认证后入网方式。支持注册、LDAP账号认证、WindowsAD域账号认证并安装天擎客户端后入网方式。3.2.5 访问控制列表支持将网络划分为三个区域（保护区、可信区、非法区）灵活的限制区域间的数据的流动。3.2.6 ARP准入支持ARP欺骗方式实现网络准入。支持网络终端扫描功能。新3.2.7 802.1x支持360自主研发的PC端802.1x客户端。支持针对PC终端进行802.1x认证入网合规性检查。支持合规性检查的策略自定义（普通检查项、关键检查项）。支持根据管理员的策略自定义给予用户认证成功后的打分功能。支持PC端802.1X认证后的日志记录功能，同时记录通过认证的交换机端口。支持用户进行802.1X认证账户自主注册。3.2.8