北信源网络接入控制系统管理系统白皮书v3..docx

北信源网络接入掌握治理系统

产品白皮书

北信源软件股份

声明

本手册的全部容，其属于北信源软件股份〔以下简称北信源公司〕全部，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他示意。

商标声明

本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是，其他提到的商标，均属各该商标注册人全部，恕不逐一列明。

产品声明

本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请询问北信源公司技术效劳人员。

免责声明

假设因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不担当任何责任。

名目

系统概述 4

系统架构 4

系统组成 6

\l“_TOC_250021“策略效劳器 6

\l“_TOC_250020“认证客户端 6

\l“_TOC_250019“Radius认证效劳器 7

\l“_TOC_250018“Radius认证系统 7

\l“_TOC_250017“硬件接入网关〔可选配〕 8

\l“_TOC_250016“系统特性 8

\l“_TOC_250015“全面的安全检查 8

\l“_TOC_250014“技术的先进性 8

\l“_TOC_250013“功能的可扩展性 8

\l“_TOC_250012“系统可整合性 9

\l“_TOC_250011“无缝扩展与升级 9

\l“_TOC_250010“系统功能 9

\l“_TOC_250009“准入身份认证 9

\l“_TOC_250008“完整性检查功能 10

\l“_TOC_250007“安全修复功能 10

\l“_TOC_250006“治理与报表 11

\l“_TOC_250005“终端安全策略设置 12

\l“_TOC_250004“典型应用 13

\l“_TOC_250003“6.1.802.1x环境应用 13

\l“_TOC_250002“6.2.非802.1x环境应用 14

\l“_TOC_250001“VPN环境应用 15

\l“_TOC_250000“域环境应用 15

系统概述

北信源网络接入掌握治理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被连续，使网络安全得到更有效提升。与此同时，还可以对于远程接入企业部网络的计算机进展身份、唯一性及安全认证。

通过网络安全准入掌握不仅能够将终端设备接入掌握扩展到超出简洁远程访问及路由器、专有协议和已治理设备的限定之外，还能够掩盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的供给终端设备接入掌握的执行。

北信源网络接入掌握治理系统可以保护整个企业部网络，包括可治理的〔企业台式机、手提电脑、效劳器〕以及不行治理的〔外部访客、合作伙伴、客户〕终端安全接入部网络，保护网络接入的安全性。

系统架构

网络准入掌握能够勾画企业终端接入的安全基线，屏蔽一切担忧全的设备和人员接入网络，规用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备，能够制止其访问网络，或进展网络VLAN隔离，并主动对其安全修复。北信源网络准入掌握治理系统策略架构由安全检查、接入认证和安全修复三个方面实现。其模型如以下图：

网络接入掌握安全访问模型

安全检查

依据系统进程、文件、注册表等设置的检查结果来推断：

用户身份是否合法

主机防火墙是否安装并运行

防病毒软件是否安装并运行，病毒特征库是否准时更

操作系统关键安全补丁是否安装

操作系统安全配置是否妥当

是否感染特定病毒实体

是否安装违规软件接入认证

依据上述检查结果，通过效劳器和网络设备以及终端PC联动来打算：

拒绝终端/用户接入

容许终端/用户接入

隔离终端/用户〔单机隔离，VLAN隔离〕

限制终端/用户访问权限安全修复

在隔离或限制接入的状况下，还可以通过自动修复来恢复正常的网络访问权

限。修复的容包括：

自动开启IE，连接部安全上相关的提示页面

自动分发病毒专杀工具

自动升级病毒特征库

自动分发操作系统关键补丁

自动订正错误的系统配置

系统组成

北信源网络接入掌握治理系统由策略效劳器、认证客户端、Radius认证效劳器、Radius认证系统，以及硬件接入网关〔可选〕几局部组成。

策略效劳器

策略效劳器是本系统的策略治理中心，供给系统的参数配置和安全策略治理。安全策略治理包括802.