您的位置:360文档中心› 北信源-终端准入控制系统

北信源-终端准入控制系统

合集下载

北信源网络接入控制系统工作原理与功能对比

北信源网络接入控制系统工作原理与功能对比

北信源⽹络接⼊控制系统⼯作原理与功能对⽐北信源⽹络接⼊控制系统⼯作原理与功能北京北信源软件股份有限公司⽬录1.整体说明 (3)2.核⼼技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准⼊控制技术 (4)2.3. 旁路⼲扰准⼊控制技术 (6)2.4. 透明⽹桥准⼊控制技术 (7)2.5. 虚拟⽹关准⼊控制技术 (7)2.6. 局域⽹控制技术 (8)2.7. ⾝份认证技术 (8)2.8. 安检修复技术 (9)2.9. 桌⾯系统联动 (9)3.产品功能对⽐ (9)1.整体说明准⼊⽹关对接⼊设备进⾏访问控制,对于未注册⽤户进⾏WEB重定向进⾏注册;注册后的⽤户进⾏认证或安检后可以访问⽹络;管理员可以配置采取何种准⼊控制⽅式,如策略路由,旁路监听,透明⽹桥,虚拟⽹关等;同时可以选择使⽤不同的认证类型,如本地认证,Radius认证,AD域认证等,⽽认证途径采取⽹关强制重定向;准⼊⽹关整体上对准⼊的控制可分为两类,⼀类是⽹关⾃⼰控制数据的流通,另⼀类则是通过配置交换机,让交换机来控制数据包的流通。

⽬前准⼊⽹关实现的策略路由和旁路监听,透明⽹桥等准⼊控制均属于前者,也就是⽹关⾃⼰通过放⾏或丢弃、阻断数据包,来达到准⼊控制,对于数据包的阻断是基于tcp 实现的;⽽虚拟⽹关则是通过控制交换机VLAN来达到准⼊控制;2.核⼼技术为了适应不同业务环境下的统⼀⼊⽹控制,北信源⽹络接⼊控制系统采⽤多种核⼼技术设计,⽀持多种准⼊控制模式,实现从多⾓度多维度的终端⼊⽹安全控制。

2.1.重定向技术接⼊控制的⽬的是为了阻⽌不可信终端随意接⼊⽹络,对于不可信终端的判定需要⼀个过程,如何在判定过程中进⾏良好的提⽰,这就对产品的⼈机界⾯设计提出了较⾼的要求。

业界通常的做法是针对http性质的业务访问进⾏重定向,以往针对http的业务区分主要基于业务端⼝(主要为80端⼝),对于⾮80业务端⼝的http业务不能有效区分。

针对以上情况,北信源⽹络接⼊控制系统对http业务进⾏了深度识别,除80端⼝的http业务可以进⾏有效重定向之外,针对⾮80端⼝的http业务也能进⾏有效的识别和重定向。

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password 和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。

如果成功,携带协商参数,以及用户的相关业务属性给用户授权。

如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。

北信源网络接入控制系统用户使用手册

北信源网络接入控制系统用户使用手册
北信源网络接入控制系统
用户使用手册
北京北信源软件股份有限公司 2012 年 10 月
北信源网络接入控制系统用户使用手册
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北
信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。 本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明
2.1 丰富的部署模式,适应性强------------------------------------------------------------------------- 7 2.2 流程化入网规范,统一性强------------------------------------------------------------------------- 7 2.3 人性化入网提醒,可用性强------------------------------------------------------------------------- 7 2.4 基于角色的访问控制,控制力强 ------------------------------------------- 8 2.5 访客自助入网,操作性强 ---------------------------------------------------------------------------- 8 3 产品安装 ........................................................................................................................... 8 3.1 硬件安装 --------------------------------------------------------------------------------------------------- 8 3.2 产品实施 --------------------------------------------------------------------------------------------------- 8 3.3 工作模式 --------------------------------------------------------------------------------------------------- 8 3.4 系统登录 --------------------------------------------------------------------------------------------------- 9 4 系统监控 ......................................................................................................................... 10 4.1 整个系统 ------------------------------------------------------------------------------------------------- 10

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。

如果成功,携带协商参数,以及用户的相关业务属性给用户授权。

如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。

北信源桌面终端标准化管理系统基于8021x协议的准入控

北信源桌面终端标准化管理系统基于8021x协议的准入控

北信源桌面终端标准化治理系统的准进操纵方案一、〔基于局域网的扩展认证协议〕数据通过设备连接的交换机端口;认证通过以后,正常的数据能够顺利地通过以太网端口。

网络访咨询技术的核心局部是PAE〔端口访咨询实体〕。

在访咨询操纵流程中,端口访咨询实体包含3局部:认证者--对接进的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证效劳器--依据认证者的信息,对请求访咨询网络资源的用户/设备进行实际认证功能的设备。

二、基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,能够有效落低建网本钞票;借用了在RAS系统中常用的EAP〔扩展认证协议〕,能够提供良好的扩展性和习惯性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采纳了"可控端口"和"不可控端口"的逻辑功能,从而能够实现业务与认证的不离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与操纵,报文直截了当承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;能够使用现有的后台认证系统落低部署的本钞票,并有丰富的支持;能够映射不同的用户认证等级到不同的VLAN;能够使交换端口和无线LAN具有平安的认证接进功能。

三、a.一台安装IAS或者ACS的RADIUS认证效劳器;b.一台安装VRVEDP效劳器;c.一个应用可网管交换机的网络环境;效劳器配置如下:进进添加/删除程序中的添加/删除Windows组件,选择网络效劳中的Internet 验证效劳2.安装IAS后,进进IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。

客户端地址为验证交换机的治理地址,点击下一步。

4.选择RADIUSStandard,共享机密为交换机中所配置的key。

点击完成。

注:接进层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写进往。

宝界终端准入与北信源桌管软件结合解决措施V

宝界终端准入与北信源桌管软件结合解决措施V

宝界终端准入与北信源桌管软件结合解决方案一、需求背景1.1、为什么要与北信源桌面管理软件结合?已经花重金购买了北信源桌面管理软件, 制定了详细的安全规范和标准,要求未安装北信源的客户端软件的主机不能入网、入网的主机要对应到人,但这些安全管理规范落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。

私自卸载北信源源客户端,或北信源客户端不正常,造成服务端无法控制,要求能提示重新安装客户端,让该终端主机再次接入网络时重新认证。

1.2、什么样的网络环境, 准入能与北信源桌面管理软件相结合?1.DHCP网络环境。

2.核心交换机是思科交换机,支持EOU协议。

3.对固定IP地址网络环境,而且核心交换机不支持EOU协议的网络,允许使用ARP重定向技术。

二、解决方案2.1、方案部署拓朴图宝界终端准入网关……产品部署拓朴结构网络拓朴说明:1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的,对于网段数不多的网络,可以一个接口管理一个VLAN,各网段分别接入准入设备的不同接口,各自进行准入控制。

2、对于多VLAN的,可以采用核心交换机的TRUNK口接准入设备的一个接口,这样可以一个准入接口可以管理多个VLAN。

实现每个VLAN的准入控制。

3、准入与核心交换机通过TELNET/SSH方式联动。

4、汇聚层或接入层交换机启用DHCP Snooping +IP SOURCE GURARD或DAI,DHCP Snooping有效防止网络中的非法DHCP服务。

IP SOURCE GURARD或DAI功能有效解决终端主机私自设置IP,同时解决了内网中固定IP的服务器, 直接在交换机上建立合法的绑定表。

2.2采用DHCP准入与北信源结合宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口,原有的三层核心提供的DHCP服务由宝界终端准入控制系统提供,由宝界终端准入控制系统对内网的所有终端做扫描检查,采用DHCP准入控制技术,所有主机先获取到隔离网段的IP地址,只有通过实名/CA认证检查,以及北信源客户端安装检查,通过后才能分配到内网的工作VLAN的IP。

北信源产品体系简介

北信源产品体系简介

产品简介一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。

同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。

通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。

同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。

北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。

●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访问限制;3)外部终端接入身份认证;4)杀毒软件检测及访问限制;5)补丁自动检测及访问限制;6)进程、服务、注册表信息检测及访问限制;7)未达到预定义安全级不接入访问限制。

●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。

●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。

2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。

3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。

4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。

北信源桌面终端标准化系统内网端口使用说明

北信源桌面终端标准化系统内网端口使用说明
UDP
双向
双向
22105
区域扫描器和客户端通信使用,包括策略下发,文件、补丁分发,客户端上报信息等,均要通过该端口实现
TCP
双向
22106
捕获数据的侦听端口。网络拓扑功能和Snmp扫描功能通过该端口实现
TCP
双向
22108
使用点对点控制中的数据包分析支持工具时使用,数据包分析使用需先与被控端建立通讯后,接受相关的数据包
TCP
双向
2388
区域管理器数据接收端口,一般接收注册率、操作系统信息等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
TCP
双向(一级管理器只流入)
2399
区域管理器数据接收端口,一般接收报警等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
桌面终端标准化管数据方向
80
标准的http协议端口,Web管理界面使用,几乎所有的网页浏览通过此端口
TCP
双向
88
区域管理器使用
TCP
双向
161
SNMP扫描使用
TCP
双向
188
当88端口被占用时,区域管理器启用188端口
TCP
双向
288
报告区域管理器存活端口
TCP
TCP
双向(一级管理器只流入)
8889
报警中心和区域管理器通信通过该端口实现
TCP
双向
8900
使用点对点控制中,屏幕支持工具使用
TCP
双向
8901
使用点对点控制中,屏幕支持中的文件传输功能使用。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

北信源VRV-BMG终端准入控制系统
产品背景
网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。

网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。

北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。

有如下具体特点:
1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。

主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。

通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;
2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其
变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。

深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。

由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;
3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。

继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。

并突破了原有单一的报文特征或者流特征所带来的误识别问题,从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系,从而将DSI 技术更好地贯彻在应用识别产品中;
4)采用领先的知识发现KDT技术(该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份;
5)部署在企业内网与外网的边界处或者不同的可信安全域之间,完成内网用户跨边界安全行为管理的实施。

同时,该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面,实现无缝结合与深层联动,从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系,为保障内网从终端到边界安全形成了一道绿色的屏障。

系统管理构架北信源网络接入控制管理系统由以下几部分组成:
1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。

2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起
认证,实现正常工作区、访客隔离区、安全修复区的自动切换。

3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。

4)Radius认证系统(交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。

系统功能描述
1)802.1x接入认证管理;
2)虚拟强制隔离接入认证管理;
3)未注册终端接入访问区域限制(vlan限制);
4)未安装杀毒软件等必备软件自动安装下载管理;
5)未打补丁终端接入限制;
6)运行不可信进程、服务、注册表终端接入限制;
7)未达到预定义安全级别的终端接入访问区域限制;
8)自定义终端安全接入必须的桌面运行安全环境。

系统功能特点
1)802.1X接入认证支持市场主流交换机,支持无线AP的认证接入;
2)可以与用户现有域环境及LDAP服务器结合,实现身份认证;
3)虚拟强制隔离技术无需硬件支持,即可实现终端的强制接入认证,未注册
终端网络隔离及重定向功能;
4)部署方式极其灵活,完美实现内网终端间互访权限的控制;
5)支持终端用户漫游状态下的接入控制管理。

相关文档
最新文档