【8、终端准入】网神网络安全准入系统 NACV7.0_强制合规（NAC）技术白皮书_V1.0.docx

NAC技术白皮书 █文档编号 █密级 内部 █版本编号 v3.0 █日期 2019.05.01  - PAGE 1 - 目 录 TOC \o 1-3 \h \z \u 1 产品详述 3 1.1 终端安全准入模块 3 1.1.1 终端安全准入模块设计目标/产品价值 3 1.1.2 终端安全准入模块原理介绍 4 1.1.3 终端安全准入模块组成与架构 8 1.1.4 终端安全准入模块数据流程图 11 1.1.5 终端安全准入模块性能说明 19 1.1.6 终端安全准入模块通信模型说明 21 1.1.7 终端安全准入模块特点与优势说明 23 1.1.8 终端安全准入模块详细功能介绍 24  产品详述 终端安全准入模块 360网神终端网络准入系统是360企业安全研发的新一代准入控制系统（NAC），主要为企事业单位解决入网安全合规性要求，实现用户和设备的网络实名制认证管理、网络边界安全防护管理、设备接入即时发现和定位管理，核心业务访问准入等问题。用于防止企业网络资源不受设备接入所引起的各种威胁，在有效管理用户接入网络行为的同时，也达到了规范化地管理计算机终端的目的。 产品具备从接入发现、用户注册、认证授权、安全检查、隔离修复、访问控制 “一站式”的全部准入控制流程。并且支持多种认证技术，多因素认证凭证，多条件绑定机制，支持混合认证模式，多层防护体系，适应各种复杂网络环境。产品具备可扩展多种第三方认证源，保证认证入网的灵活性。系统提出三不原则，即：不升级用户网络、不改变网络结构、不造成单点故障。最大化的支持企业内部网络准入控制需求，从而使内部网络管理变得安全、透明、可控，真在做到了“违规不入网，入网必合规”的信息安全管理要求。 终端安全准入模块设计目标/产品价值 目前大多数企业构建的还是开放式的网络，过去在Interner接入安全和服务器安全领域投入了大量的资金，虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备，但是网络安全事件依然层出不穷；虽然在终端上安装了杀毒软件，但是病毒感染还是泛滥成灾；为什么？企业内部网络接入层采用开放式的网络架构，这种开放网络给企业业务开展确实能够带来便捷，但也有严重的安全风险，随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全，因此需要构建新一代的内部网络准入安全防御体系。 权威调查数据表明“网络堡垒”往往是从内部攻破，开放式的网络使得企业内部任何一个人都能够通过便携设备随意接入企业核心业务网络，能够访问企业的各种网络资源，获取他们感兴趣的数据。开放式的网络犹如企业没有门卫一样，任何人都可以随便进出，不受到任何检查和限制。可以想象这样的开放式网络为恶意访问提供了入侵的便利条件，采用非常简单的攻击技术便可造成巨大的破坏，从而不但给企业带来巨大的经济损失，更有可能对企业造成法律上的风险。还有企业网络内部计算机如果安全状况没有一个标准的基准线，对不安全设备如果不能采取有效的隔离和修复措施，漏洞病毒的防护应对往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，数据安全无法保证，工作也无法正常进行，终端安全状况的不统一，也弄的维护人员筋疲力尽，工作效率得不到提高。 终端安全准入模块原理介绍 应用准入功能 应用准入模块是保护网络核心区域不受外部非法访问的准入方案，采用旁路部署到核心交换中，通过监听保护区域的网络数据流，并做连接跟踪，对企业内网数据流进行合法性检查并对非法连接进行阻断和控制。 核心网络数据跟踪 旁路镜像网络核心交换中的流量，根据IP过滤出保护区区域中的访问流量，并跟踪连接，解析应用层协议。 本功能模块由抓包引擎、连接跟踪和协议解析三个模块构成。 1. 抓包引擎：基于网卡混杂模式，零拷贝抓包。 2. 连接跟踪：负责TCP连接跟踪，跟踪TCP三次握手过程。 3. 协议解析：解析应用层协议。 网络行为管控 对非法网络连接进行阻断，对http协议进行重定向到预定页面。 说明 通过连接跟踪，对非法访问核心区域的连接进行会话劫持，如果连接属于http请求则重定向到终端下载页面或portal页面，否则直接断开连接。 终端代理打点联动 终端发送保活信息或服务器终端列表对应关系，以维护合法身份。 说明 安装了代理的终端通过开放端口，发送心跳包给服务器，并上报终端相关信息，包括MAC、IP、主机名等，服务器以此信息作为合法性验证条件，当安装了网神客户端的终端直接信任不阻断。 终端漫游打点支持 C Client