北信源网络接入管理系统白皮书08.doc

网络接入控制系统白皮书 1北信源网络接入管理系统概述 VRVEDP-NAC网络接入管理系统(v6.6)设备接入控制功能可以保护整个企业网络，包括管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。利用企业能够强制提升终端安全的能力，保证保护机制不被间断，配置正确无误，以及补丁拥有最新的时效性以防御网络安全威胁。通满足企业要求，将扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供的执行。针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。 拒绝终端/用户接入 容许终端/用户接入 隔离终端/用户（单机隔离， VLAN隔离） 限制终端/用户访问权限 安全修复 在隔离或限制接入的情况下，还可以通过自动修复来恢复正常的网络访问权限。修复的内容包括： 自动开启IE，连接内部安全网站上相关的提示页面 自动分发病毒专杀工具 自动升级病毒特征库 自动分发操作系统关键补丁 自动纠正错误的系统配置 兼容性 为保证准入系统以后的可扩展能力和兼容性，网络准入控制系统应该提供通用的网络准入解决方案，使用国际通用标准（IEEE 802.1x）来实现准入控制，准入控制软件不依赖于任何特定硬件厂商的特定功能。系统能够支持Cisco, Check Point, Nortel, Intel, Enterasys, Netscreen, Alcatel, Aventail, SafeNet, Microsoft等主流软硬件供应商的方案，能在多种软硬件混合使用的环境中正常实现网络准入控制并支持广泛的网络基础架构，同时还能够阻止终端通过第三方认证程序接入网络。 图2-1 网络接入控制安全访问模型 2.2网络接入管理系统结构 策略服务器（VRVEDP server）：系统策略管理中心，提供系统的参数配置和安全策略管理，安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。 认证客户端(VRVEDP-Agent)：安装在终端计算机，根据用户名和密码向认证服务器发起认证，Agent内置主机安全策略中心，能够根据策略服务器分发的安全策略对终端主机进行安全检查，依据获取的主机的安全状态，配合交换机认证系统，实现工作区、隔离区、修复区的自动切换。 Radius认证服务器：用于接收客户端认证请求信息数据包并进行验证，根据网络环境可使用微软的IAS，CISCO ACS或LINUX FREE RADIUS等系统。 Radius认证系统 (交换机)：认证系统为可网管支持802.1x的网络设备（交换机），由该认证系统接收认证客户端(VRVEDP-Agent)的认证请求数据包与Radius认证服务器完成认证过程。 在不支持802.1x协议的网络中，提供专用硬件网关设备为强制网关服务器。 强制网关服务器（VRVEDP-Autogate）：基于HTTP重定向、DNS重定向、ARP重定向等技术，用于强制网络中每台计算机终端必须安装认证客户端(VRVEDP-Agent)程序的服务器，该服务器根据网络环境不同，部署在不同的位置，确保网络中每台终端能够安全认证客户端(VRVEDP-Agent)程序。 图2-2 网络接入分区访问控制 802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口作为请求者，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。 RADIUS服务器和认证客户端，利用交换LAN架构的物理特性，实现LAN端口的设备认证。.txt/.htm/.doc等格式，同时可根据需要输出柱形图、饼图等。系统报表可根据用户定制模板产生各种形式的定制报告，第三方管理工具集成。802.1x协议交换机的准入控制 北信源VRVEDP-NAC网络接入管理系统提供对各种支持802.1x协议网络交换机以及无线AP交换设备的准入控制，支持在DHCP动态IP环境及静态IP网络环境下的接入认证。 北信源VRVEDP-NAC网络接入管理系统通过对交换机和认证终端的配置，支持单用户、多用户、域用户三种方式的密码认证方式，管理员可以自行设置用户名、用户密码。 1）单用户密码认证：网络中计算机可以通过同一帐户进行网络准入认证，由管理员统一设置认证终端的用户名和密码，终端自动发起认证。 2）多用户密码认证：支持终端计算机用户手工填写用户名和密码。 3）域用户密码认证：支持在没有登陆域的情况下进行网络准入认证。 密码