北信源网络接入管理系统白皮书08

网络接入控制

网络接入控制网络接入控制

网络接入控制系统白皮书

系统白皮书系统白皮书

系统白皮书 1北信源

北信源北信源

北信源网络接入

网络接入网络接入

网络接入管理系统

管理系统管理系统

管理系统概述

概述概述

概述 VRVEDP-NAC网络接入管理系统(v6.6)设备接入控制功能可以保护整个企业 内部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外 部访客、合作伙伴、客户）终端。利用VRVEDP-NAC 企业能够强制提升网络终端 安全的能力，保证企业网络保护机制不被间断，配置正确无误，以及补丁拥有最 新的时效性，以防御网络安全威胁。与此同时基于设备接入控制网关，还可以对 于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过VRVEDP-NAC 网络接入管理系统可以满足企业要求，将设备接入控制扩

展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖 到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络

时，仍能有效的提供VRV 设备接入控制的执行。VRVEDP-NAC 网络接入管理系统

针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。 2

北信源

北信源北信源

北信源网络接入

网络接入网络接入

网络接入管理系统

管理系统管理系统

管理系统功能

功能功能

功能及技术特点

及技术特点及技术特点

及技术特点 2.1设计理念

设计理念设计理念

设计理念 网络准入控制能够勾勒企业终端接入的安全基线，屏蔽一切不安全的设备和 人员接入网络，规范用户接入网络的行为。对于未安装终端代理软件或已安装终 端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统 安全设置、违规软件等) 的终端设备，能够禁止其访问网络，或进行网络VLAN

隔离，并主动对其安全修复。网络准入控制策略可从安全检查、接入认证和安全 修复三个方面实现：

安全检查

安全检查安全检查

安全检查

根据系统进程、文件、注册表等设置的检查结果来判断：

用户身份是否合法 主机防火墙是否安装并运行

防病毒软件是否安装并运行，病毒特征库是否及时更新

操作系统关键安全补丁是否安装

操作系统安全配置是否妥当

是否感染特定病毒实体

是否安装违规软件

接入认证

接入认证接入认证

接入认证

根据上述检查结果，通过服务器和网络设备以及终端PC 联动来决定：

拒绝终端/用户接入

容许终端/用户接入

隔离终端/用户（单机隔离， VLAN隔离）

限制终端/用户访问权限

安全修复

安全修复安全修复

安全修复

在隔离或限制接入的情况下，还可以通过自动修复来恢复正常的网络访问权

限。修复的内容包括：

自动开启IE ，连接内部安全网站上相关的提示页面

自动分发病毒专杀工具

自动升级病毒特征库

自动分发操作系统关键补丁

自动纠正错误的系统配置

兼容性

兼容性兼容性

兼容性

为保证准入系统以后的可扩展能力和兼容性，网络准入控制系统应该提供通

用的网络准入解决方案，使用国际通用标准（IEEE 802.1x）来实现准入控制， 准入控制软件不依赖于任何特定硬件厂商的特定功能。系统能够支持Cisco,

Check Point, Nortel, Intel, Enterasys, Netscreen, Alcatel, Aventail,

SafeNet, Microsoft等主流软硬件供应商的方案，能在多种软硬件混合使用的

环境中正常实现网络准入控制并支持广泛的网络基础架构，同时还能够阻止终端 通过第三方认证程序接入网络。

图2-1 网络接入控制安全访问模型 2.2

网络接入

网络接入网络接入

网络接入管理系统结构

管理系统结构管理系统结构

管理系统结构 策略服务

策略服务策略服务

策略服务器

器器

器（

（（

（VRVEDP server

VRVEDP serverVRVEDP server

VRVEDP server）：

）：）：

）：系统策略管理中心，提供系统的参数配置和

安全策略管理，安全策略管理包括802.1x 协议接入认证、安全检查策略定义的 配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。

认证客户端

认证客户端认证客户端

认证客户端(VRVEDP

(VRVEDP(VRVEDP

(VRVEDP-

--

-Agent)

Agent)Agent)

Agent) ：

：：

：安装在终端计算机，根据用户名和密码向认证

服务器发起认证，Agent 内置主机安全策略中心，能够根据策略服务器分发的安 全策略对终端主机进行安全检查，依据获取的主机的安全状态，配合交换机认证 系统，实现工作区、隔离区、修复区的自动切换。

Radius

RadiusRadius

Radius 认证服务器

认证服务器认证服务器

认证服务器：

：：

：用于接收客户端认证请求信息数据包并进行验证，根

据网络环境可使用微软的IAS ，CISCO ACS或LINUX FREE RADIUS等系统。

Radius

RadiusRadius

Radius 认证系统

认证系统认证系统

认证系统

(

((

(交换机

交换机交换机

交换机)

))

) ：

：：

：认证系统为可网管支持802.1x 的网络设备（交

换机），由该认证系统接收认证客户端(VRVEDP-Agent)的认证请求数据包与

Radius 认证服务器完成认证过程。

在不支持802.1x 协议的网络中，提供专用硬件网关设备为强制网关服务器。

强制网关服务器

强制网关服务器强制网关服务器

强制网关服务器（

（（

（VRVEDP

VRVEDPVRVEDP

VRVEDP-

--

-Autogate

AutogateAutogate

Autogate ）：

）：）：

）：基于HTTP 重定向、DNS 重定向、ARP

重定向等技术，用于强制网络中每台计算机终端必须安装认证客户端

(VRVEDP-Agent)程序的服务器，该服务器根据网络环境不同，部署在不同的位置， 确保网络中每台终端能够安全认证客户端(VRVEDP-Agent)程序。

图2-2 网络接入分区访问控制

802.1x 协议与LAN 是无缝融合的。802.1x 利用了交换LAN 架构的物理特性，

实现了LAN 端口上的设备认证。在认证过程中，LAN 端口作为请求者，LAN 端

口则负责向认证服务器提交接入服务申请。基于端口的MACW 锁定只允许信任

的MAC 地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢 弃，从而确保最大限度的安全性。 2.3

技术特点

技术特点技术特点

技术特点

1)

1)1)

1) 安全检查的全面性

安全检查的全面性安全检查的全面性

安全检查的全面性：

：：

：全面支持对客户端主机的各种安全检查，除基本的安全

检查项外（补丁、杀毒软件、注册表、进程等），可以有管理员自定义制订

检查安全检测任务。 2)

2)2)

2) 技术的先进性

技术的先进性技术的先进性

技术的先进性：系统基于国际化的工业标准，结合北信源桌面安全管理技术，

在构架上从管理、安全、运维等多个方面进行全方位的网络安全保障，功能

先进、完善、细致，其中流量分析、统一主机防火墙、统一杀毒软件监控、

进程和注册表监控保护等多项桌面安全管理技术均领先业界，部分技术代表

了行业的发展方向。 3)

3)3)

3) 功能的可扩展性

功能的可扩展性功能的可扩展性

功能的可扩展性：

：：

：准入安全检查技术上除了满足客户端安全监控、客户端安

全加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。由于策略结构采用的是XML 解释性语言，功能扩展十分迅速方便，可根据实际

需要快速进行功能定制，也可根据需要与相关的系统（如网管系统、安全管

理平台SOC 等）进行联动和数据交换。 4)

4)4)

4) 系统可整合性

系统可整合性系统可整合性

系统可整合性：

：：

：尤其是对于本系统，类似在终端计算机安装Agent 的软件非

常多，如防病毒软件、桌面管理软件、远程维护软件、主机审计软件等，如

何使这些软件在一台计算机上充分发挥效用，不是简单的功能叠加问题，而

是一个软件二次代码扩展开发的问题，必须选择在国内具有强大的本地化研

发实力的安全软件厂商。 5) 无缝功能扩展与升级

无缝功能扩展与升级无缝功能扩展与升级

无缝功能扩展与升级：

：：

：北信源VRVEDP-NAC 网络接入管理系统采用C/S与B/S

混合模式设计，支持集中式和分布式部署，确保部署构架的通用性，并具有

模块化软件定制的特点，支持标准API ，具有无缝功能扩展与平滑稳定升级

等优点。同时，系统具有良好的兼容性，能够同现有各种防病毒等终端主机

类软件兼容运行。 2.4

系统详细功能

系统详细功能系统详细功能

系统详细功能

2.4.1网络准入身份认证

网络准入身份认证网络准入身份认证

网络准入身份认证

支持802.1X 协议接入认证：通过对支持此协议的交换机进行管理，配合

RADIUS 服务器和认证客户端，利用交换LAN 架构的物理特性，实现LAN 端口

的设备认证。

专用硬件接入控制网关支持HUB 接入认证：对于通过非网管交换机、集线器 等不支持802.1X 协议的网络设备接入的终端，支持设备入网认证。

系统认证方式支持单用户、多用户、域用户等模式：单用户模式可以保证终 端设备必须安装认证客户端才能接入网络；多用户模式除了保证终端设备必

须安装认证客户端外，还要求用户拥有正确的用户名及口令方可以接入网

络；域用户模式支持系统自动采用域登陆用户密码进行身份认证，将网络接

入认证同域认证有效结成一体。

系统认证协议支持：支持MD5等多种标准加密认证方式，并可使用自定义扩 展的通讯协议，提供对第三方终端发起的非法认证过滤。

绑定认证控制：Radius 认证支持交换机端口同计算机MAC/IP、用户名绑定

接入控制，可以指定人员及计算机只能在指定交换机的特定端口登陆接入网

络。

802.1X协议接入认证支持无线网络设备认证，支持远程VPN 接入身份认证， 用户通过VPN 或者RAS 拨号方式远程拨入网络时，必须经过身份认证方可以

接入网络。

VRVEDP-NAC支持DHCP 动态IP 环境及静态IP 网络环境认证。 2.4.2完整性安全检查 完整性安全检查完整性安全检查

完整性安全检查

支持操作系统（操作系统、IE 、应用程序、反病毒升级库等）补丁完整性检 测。

支持防病毒软件/主机防火墙（业界主流厂家）的安全检测，并能进行新软

件动态增加，必要时可以远程开关/管理主机安全软件。

支持自定义安全项检测（如进程、服务、软件、文件等）。

支持安全状态检测（如口令强度、权限、注册表安全等）。

支持多种安检失败处理方式，如直接进入正常工作区，或者进入正常工作区 后间隔提示用户安全失败。支持当安检失败时直接进入修复VLAN ，或者安全

失败后隔离出网络。

支持自定义周期完整性安全检查，确保工作区域终端的实时安全性。

支持完整性安全检查黑白名单用户管理：包括超级用户和黑名单用户，超级

用户允许存在特殊计算机不接受安全检查策略管理，超级用户名单中的计算

机认证始终会通过系统认证；黑名单用户计算机发起的认证始终不会通过。

2.4.3安全修复

安全修复安全修复

安全修复

VLAN隔离修复:系统对于未通过安全检查的终端，自动将其隔离到修复VLAN ， 进行安全修复，修复完成后自动进入正常工作VLAN 。

在线隔离修复:系统对于未通过安全检查的终端，可在正常工作VLAN 中进行 安全修复，修复过程中只能与特定服务器通讯，访问资源受限。

修复内容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升级、

安全状态修复（如口令强度、权限、注册表安全、流量异常等）。

当终端安全检查未通过时，管理员可以自定义提示信息或者打开指定URL 地 址进行安全修复。

2.4.4

管理与报表

管理与报表管理与报表

管理与报表

安全策略配置管理：完整性安全策略由管理员统一制订，自动分发至认证客 户端执行，策略分发可以灵活设置，根据网络环境和管理进行制订/执行。

网络分组管理：支持网络终端主机IP 自定义分组，按部门、区域、业务类

型等方式进行划分管理范围，为策略分发和客户端管理提供依据。

认证客户端配置管理：认证客户端运行参数配置可以在策略服务器配置，管 理员可控制认证客户端注册密码、注册人、注册部门等信息填写。

系统维护管理：支持对系统管理员的分权管理（超级用户、普通用户和审计 用户），为不同级别管理员提供角色权限定义，具有安全性高、可靠性强，

适合集中授权、多角色参与监控的特点。

报表管理：支持各类数据(认证信息、安全策略、设备状态等) 统计，并能生

成多种分析报表，提供丰富的报表模板，按不同部门、不同操作系统提供报

表；报表输出支持以网页的方式展现，提供链接可在各项查询功能中跳转，

报表输出支持.txt/.htm/.doc等格式，同时可根据需要输出柱形图、饼图等。

系统报表可根据用户定制模板产生各种形式的定制报告，并支持第三方管理工具集成。

报警处置管理：当系统发生安全事件时候，如非法认证、安检未通过等事件 时候，系统提供声音、图形、短信等报警方式，支持SNMP 协议，在必要时

提供相应的MIB 库文件、通信规程和编码，能够与其它安全系统协同工作。

系统遵循TCP 协议/IP、SNMP 、HTTP 、FTP 等相关的国际标准或工业标准，支

持对网络设备厂商管理工具的集成，具有开放的API 接口。 2.4.5

终端安全策略

终端安全策略终端安全策略

终端安全策略 北信源VRVEDP-NAC 网络接入管理系统提供强大的终端主机完整性安全检查 功能，系统通过准入控制与终端主机安全策略的联动，实现风险主机的自动隔离 与修复，从而确保网络的安全运行。

管理员在系统服务器控制台配置的各种终端安全策略，下发到网络合法终端

主机执行，终端代理程序自动根据策略检查系统的完整性安全，一旦发现主机存 在安全威胁和漏洞，准入注册终端代理程序自动执行隔离/修复操作，将风险终 端主机跳转到网络隔离区域或者修复区域。

北信源VRVEDP-NAC 网络接入管理系统终端主机完整性安全检查策略：

主机系统安全：操作系统补丁漏洞、用户名权限变化/弱口令、目录共享、

注册表安全、IP/MAC绑定、防火墙/防病毒软件检测、系统文件/目录保护等。

主机应用安全：软件进程/服务监测、黑白名单软件安装、流量异常等。

主机行为安全：非法外联监测、非法资源访问控制、资源输入输出控制等。

主机安全修复：补丁自动修补、杀毒软件/个人防火墙强制安装、病毒库自

动升级、系统应用程序修补、系统应用配置修改等。

硬件资产状态合规：资产变化、违规设备启用等。

北信源VRVEDP-NAC 网络接入管理系统采用统一策略管理中心实现对内部网

络终端完整性安全检查的统一管理。策略管理中心内置终端安全防护需要的所有 完整性安全检查策略库，提供对计算机终端的安全规则配置，安全功能策略开启

/关闭，安全策略执行范围/周期设定等一系列安全措施的管理，同时能够很方便的进行策略导入导出。

策略的属性设置是由管理员在策略管理中心中设定，通过设置策略的开启、

关闭，执行范围、时间周期以及策略级联等参数项实现。 2.5 VRVEDP-NAC

在不同网络环境

在不同网络环境在不同网络环境

在不同网络环境中

中中

中的应用

的应用的应用

的应用

2.5.1基于

基于基于

基于802.1x 协议交换机的准入控制

协议交换机的准入控制协议交换机的准入控制

协议交换机的准入控制 北信源VRVEDP-NAC 网络接入管理系统提供对各种支持802.1x 协议网络交换

机以及无线AP 交换设备的准入控制，支持在DHCP 动态IP 环境及静态IP 网络环 境下的接入认证。

北信源VRVEDP-NAC 网络接入管理系统通过对交换机和认证终端的配置，支

持单用户、多用户、域用户三种方式的密码认证方式，管理员可以自行设置用户 名、用户密码。

1）单用户密码认证：网络中计算机可以通过同一帐户进行网络准入认证，

由管理员统一设置认证终端的用户名和密码，终端自动发起认证。

2）多用户密码认证：支持终端计算机用户手工填写用户名和密码。

3）域用户密码认证：支持在没有登陆域的情况下进行网络准入认证。

密码认证协议支持MD5等标准加密认证方式。系统支持对超级用户、黑名单

用户的自定义认证方式，超级用户终端始终可以通过系统的认证，而黑名单用户 始终无法通过认证。系统还提供对第三方终端认证的过滤，防止通过非法终端的 认证接入。 图2-3 VRVEDP-NAC网络接入管理802.1X 协议认证

注：802.1x 协议是基于Client/Server的访问控制和认证协议，能够实现

交换机主动认证接入的PC ，它可以限制未经授权的用户/设备通过接入端口访问 LAN/WLAN。在获得交换机或LAN 提供的各种业务之前，802.1x 对连接到交换机

端口上的用户/设备进行认证。在认证通过之前，802.1x 只允许EAPoL （基于局

域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的 数据可以顺利地通过以太网端口。 2.5.2

基于专用设备的网关接入认证

基于专用设备的网关接入认证基于专用设备的网关接入认证

基于专用设备的网关接入认证 对于很多网络来说，接入层网络设备（如：HUB ）不支持802.1X 协议，无法

对网络终端进行准入控制，如果将网络中所有不支持802.1X 协议的交换机淘汰 掉，或者对所有交换机进行升级的话，将会带来更多的成本支持和维护工作，为 此，北信源VRVEDP-NAC 网络接入管理系统提供了专门的硬件接入控制网关，支 持非网管交换机、集线器等不支持802.1X 协议的网络设备的终端接入认证。

硬件接入控制网关放置在网络出口路由（或者重要WEB 应用服务器）的后面，利用网络终端进行HTTP 方式访问外网，或者WEB 服务器的同时，对内网的终端

进行HTTP 重定向强制认证，并进行安全检查，根据检查情况，将内网终端访问 强制定向到信任区域、修复区域、隔离区域。 2.5.3

基于

基于基于

基于VPN 的远程访问控制扩展

的远程访问控制扩展的远程访问控制扩展

的远程访问控制扩展 对于使用VPN 和RAS 拨号方式的远程接入企业内网的终端，如果没有安装认

证客户端，容易成为整个网络管理的遗漏点，这些终端存在很大安全隐患，给安 全平静的网络带来病毒、蠕虫、木马等攻击的威胁。

VRVEDP-NAC 网络接入管理系统能够控制远程接入终端对内网的访问范围，

检测远程终端主机是否运行了认证客户端，并进行安全认证；还能通过策略控制 对终端进行定期进行认证（如：每N 分钟），防止终端合法用户离开后，非授权 用户随意访问内部资源。

对于使用VPN 和RAS 拨号方式的远程接入企业内网的同样可以进行安全检

查；对于没有通过的终端进行修复；同时限定终端对网络资源的访问范围，修复 后可以进行相应的访问。 2.5.4

结合域用户管理模式的网络准入控制

结合域用户管理模式的网络准入控制结合域用户管理模式的网络准入控制

结合域用户管理模式的网络准入控制 很多单位网络使用域来进行用户身份认证，在域用户身份认证通过后，才能

够接入到网络，因此，支持同域服务器的结合，才能实现满足用户的真实身分认 证需求。域用户模式支持系统自动采用域登陆用户密码进行身份认证，将网络接 入认证同域认证有效结成一体。

终端在没有登陆域的情况下进行网络准入认证，准入客户端程序先行获取终

端用户输入的域用户名和密码进行自动认证，802.1X 身份认证成功后网络联通， 再实现域的身份认证。 2.5.5

身份认证系统与

身份认证系统与身份认证系统与

身份认证系统与EDP Agent双重认证管理扩展

双重认证管理扩展双重认证管理扩展

双重认证管理扩展

身份认证系统的key 与EDP Agent绑定能够控制使用人与被使用设备两者合

法性进行双重认证。利用EDP Agent安全代理程序保障设备的唯一性，利用身份认证系统的key 保障使用人的唯一性。

利用身份认证系统限定使用人的访问权限，利用EDP Agent扩展限定使用人 的访问地址范围。

利用EDP Agent实现可控制策略的终端安全，审计及访问控制（限定包括允 许访问的地址和网站等）。

利用EDP Agent限制用户违规使用计算机。

将EDP Agent的用户信息和安全策略绑定在key 中，未使用key 的用户无法 登陆计算机。

EDP Agent可以阻止其它用户通过信任终端作为代理服务器访问网络资源。

3产品资质

产品资质产品资质

产品资质 3.1北信源

北信源北信源

北信源网络接入

网络接入网络接入

网络接入管理系统

管理系统管理系统

管理系统公安部认证证书

公安部认证证书公安部认证证书

公安部认证证书

3.2北信源

北信源北信源

北信源网络接入

网络接入网络接入

网络接入管理系统

管理系统管理系统

管理系统公安部信息安全产品检测中心

公安部信息安全产品检测中心公安部信息安全产品检测中心 公安部信息安全产品检测中心

认证

认证认证

认证