北信源终端安全管理系统802.1x准入流程

快速阅读指南1.本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节）。

2.详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。

3.安装准备软件环境：Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。

SQL安装注意事项请参照第二章2-3-1所示。

建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。

4.按步骤安装各组件后，通过http://*.*.*.*/vrveis登录Web管理平台，首先对Web管理平台进行如下配置：添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。

5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。

6.在\VRV\VRVEIS\download目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。

7.系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。

8.如果本说明书中的插图与实际应用的产品有出入，以实际产品为主。

特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。

前言目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的网络都具有相当的规模，网络中大量使用计算机及其它网络设备。

1公司简介北京北信源软件股份有限公司创立于1996年，注册资金5000万，是中国第一批自主品牌的信息安全产品及整体解决方案供应商，中国终端安全管理领域的市场领导者。

北信源总部位于北京，下设多个全资子公司及北京、南京两个研发中心。

拥有近500名信息安全专业研发、咨询与服务人员，构建了全国七大区、近三十个省市的营销与服务网络，为用户提供业界领先的产品与服务。

十几年来，北信源致力于信息安全技术的研究与开发，在业内屡创佳绩，成果斐然。

曾革命性推出中国首款桌面安全管理产品，开启“桌面安全管理”技术革新之先河，并迅速做到国内销量第一；前瞻性推出了面向个人用户的数据安全产品—数据装甲，引领进入“全民数据安全”新时代；证券安全监控系统在国内券商使用率中也曾排行第一。

作为公司的产品核心：面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。

体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念，并首次将受控云技术运用于终端安全体系和产品中，完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。

作为中国终端安全管理领域的市场领导者，北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一（数据来源：CCID）。

产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业，用户涉及各行业数千家单位，连续多年入围中央政府采购，成功部署数千万终端。

北信源公司在业界屡获殊荣，荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。

在标准制定、重大专项等方面积极配合政府行动，同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系，公司现已成功打造信息安全知名品牌“北信源”、“VRV”。

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容，其属于北信源软件股份（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关（可选配） (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时，还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。

与北信源网络准入控制系统的对比分析：1、管理服务器部署：北信源管理服务器部署时，需要分别安装多个服务器部件，并需严格按顺序安装。

操作比较繁琐，部署效率较低。

联软科技Leagview管理服务器部署时，仅一个安装包+一个SP补丁包即可，操作简便，简单易懂，部署效率高。

2、Radius认证服务器部署北信源安全准入管理中并无自己的Radius服务器，启用802.1x准入控制需安装第三方免费的Radius服务器（如IAS或者ACS的RADIUS认证服务器）才能实现802.1x准入控制。

北信源完全没有对Radius认证服务器的任何开发、维护能力，借助第三方Radius认证服务器，一旦出现网络准入故障，较难排查故障原因，而且对于终端接入的状态检查能力也较弱。

第三方Radius服务器单独部署配置，操作较为繁琐。

联软科技LeagView网络准入控制系统，采用独立自主研发的Radius认证服务器，能够支持802.1x、EoU等多种方式的网络准入控制检查认证，除了能够检查终端接入网络的用户帐号身份，还能够进一步检查终端自身的安全状态是否合规，能够检查接入终端硬件信息，对终端接入检查进行更为严格的绑定检查。

单台Radius最大能够支持2万终端用户认证，能够与管理服务器整合在一个平台下集中部署，也能够独立部署，安装和配置都十分简单。

3、网络准入控制接入方式北信源仅支持基于802.1x协议的准入控制方式，结合北信源自己的硬件VRV-BMG，还能够实现基于强制注册网关：在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向，以达到强制注册目的。

联软科技LeagView网络准入控制系统能支持基于802.1x协议的网络准入控制，还支持Cisco NAC架构中的EoU协议网络准入控制方式，同时联软科技还提供LeagView® UniAccess TM NAC Controller准入控制器（简称“NACC”），是一种基于Cisco EAP over UDP协议技术的硬件网关型设备，专为解决非802.1X 网络环境下（接入层交换机不支持802.1X ）的网络准入控制问题而设计。

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络接入控制管理系统可以满足企业要求，将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供设备接入控制的执行。

网络接入控制管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。

北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。

有如下具体特点：1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。

主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。

通过对内网用户的网络行为管理和控制，从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用，以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制，并实现对上述各种网络行为的管理和审计功能；2)采用先进的深度业务识别DSI技术，能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。

深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。

由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节，对于检测加密或加扰应用协议具有更高的识别率，特别是对于新增和变种的网络应用和业务类型，DSI更具备良好的适应性；3)通过系统内置的网络应用业务特征，综合运用继承式应用描述语言HADL，从而允许网络管理者针对不同的内网用户、不同时段，综合企业的实际需求制定适合本企业的网络行为管理规范。

继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。