中华箭网络接入控制系统白皮书参照.pdfVIP

中华箭网络接入控制系统 产品白皮书 北京水木同正网络技术有限公司 2008.4 SMTZ 1 目录 一、 概述 3 二、 系统简介 3 三、 系统主要功能 4 四、 系统组成结构 5 五、 系统运行环境 7 六、 系统工作流程简介 7 七、 系统特点 8 八、 系统部属应用示意图 9 SMTZ 2 一、 概 述 现今病毒与蠕虫不断的影响着网络的安全， 而系统安全更新 (patch) 远跟不上 脆弱的系统被攻击的速度， 系统经常在更新码 (patch 、病毒特征 )发布之前就已经 遭受了攻击。每当终端登录到网络时，它就具有影响该网络安全的潜在的危险， 未遵循网络安全政策 （病毒特征过期、 系统漏洞未修补等） 的服务器及终端普遍 存在于企业网络中并难以发现， 且无法有 效控制 。每当它 们连接 网络时， 就 增加 了对 网络 环境 安全的 威胁 。 网络 接入控制技术 NAC （Network Access Control ）是新 一代 的安全 接入技术 ， 是保证 网络安全的 重要手段 ，相比传 统的被 动防御来说 ，增加 了主动性 ，从 以前 的默认允许走向 更加严格 的默认拒绝 。NAC 机制可 以提供保证 端 点设备 在存 取 网 络前 是完 全遵循已 建立 的安全策 略 ，可保证 不 符合 安全策 略 的 设备 无法 访问 网 络，并 设置可 补 救 的 隔离区供 终端修 正其 安全 问题 ，或者限制其可 存 取 的资源 。 二、 系 统简介 中华箭 网络 接入控制 系统 是公司产品 中华箭 5 号－“综合 网络安全 管理 系 统 ”的一个子 系统，该系统 是利用 NAC 技术实 现的 一套适合 于 国内用 户 的系统。 系统 基 于 IEEE 802.1X 标准协议 设 计开 发， 可广泛 的支持目 前网络中 使 用 的网络 设备 类型 （设备 支持 802.1x 协议 ），同时适 应 国 内网络 建设 现 状 ，众多 的网络中 存在不 支持 802.1x 协议 的交换 机 的情况 ，系统 采 用 集成 个 人 防 火墙 的方式 ，可 实现在具 备 802.1x 环境 、无 802.1x 环境 以及 混 合 情况下 的终端 准入控制 。 网络 接入控制 除 了采 用 802.1x 协议 控制 计算 机 的网络 接入 外 ，还 提供 了丰 富 的扩展 安全策 略 ，可 根据 用 户 实 际 的安全 管理 需求 制 定 终端的安全 接入 标准 ， 保证 终端 接入 的安全 性 ，实现 对 终端 接入 网络的 细粒 度的 控制管理 。 系统与中 华箭 5 号－“综合 网络安全 管理 系统 ”的无 缝结 合 ，配 合 中华箭 5 号 系统的网络 管理 、终端 管理 等 多方面 的 功能 ，实现了 从计算 机接入 网络之前的 安全 控制 、接入 网络之 后 管理 维护 以及发 生 安全 问题 时的 快速响 应 机制 ，从 而 建 S