360網(wǎng)絡安全準入系統(tǒng)技術(shù)白皮書

1、360網(wǎng)絡安全準入系統(tǒng)技術(shù)白皮書奇虎360科技有限公司O 一四年 一月360網(wǎng)絡安全準入系統(tǒng)技術(shù)白皮書劉光輝2014/11/111.2 補充 802.1X1I1目錄第一章前言7第二章產(chǎn)品概述72.1產(chǎn)品構(gòu)成72.2設計依據(jù)8第三章功能簡介83.1網(wǎng)絡準入83.2認證管理83.2.1保護服務器管理 83.2.2例外終端管理93.2.3重定向設置9324入網(wǎng)流程管理9325訪問控制列表93.2.6 ARF準入10新 3.2.7 802.1X 103.2.8設備管理103.3用戶管理103.3.1認證用戶管理 103.3.2注冊用戶管理113.3.3在線用戶管理113.3.4用戶終端掃描113.4策

2、略管理113.4.1策略配置113.5系統(tǒng)管理113.5.1系統(tǒng)配置 113.5.2接口管理 123.5.3路由管理123.5.5軟件升級123.5.6天擎聯(lián)動123.6系統(tǒng)日志123.6.1違規(guī)訪問123.6.2心跳日志133.6.3認證日志133.6.4 802.1）認證日志 13第四章產(chǎn)品優(yōu)勢與特點13第五章產(chǎn)品性能指標135.1測試簡介135.2被測設備硬件配置 145.3 360NA抓包性能指標14第六章 產(chǎn)品應用部署 156.1 360NA解 決方案 156.1.1部署拓撲156.2.基本原理 1762 2 360NA工作流程圖詳述 186.221 360NA流程一部署 186.2

3、2 2 360NA流程二部署 360NA流程三部署18A/y、廣：、八、.第一早 刖言網(wǎng)絡信息化的飛速發(fā)展為用戶內(nèi)網(wǎng)管理帶來新的問題和挑戰(zhàn)，主要體現(xiàn)在以下幾方面：1）外來終端隨意地訪問網(wǎng)絡，不設防；2）內(nèi)網(wǎng)中的用戶可以隨意地訪問核心網(wǎng)絡，下載核心文件；3）不合規(guī)終端也可以接入到公司核心服務，對整個網(wǎng)絡安全帶來隱 患；針對以上問題以及諸多安全隱患，360互聯(lián)網(wǎng)安全中心憑借多年信息安全領域的技術(shù)積淀，推出了基于終端應用的準入系統(tǒng)（簡稱 360NA）360NA是一套配合360天擎終端安全管理系統(tǒng)的安全準入解決方案，它基于用戶 核心服務保護模式，對非法訪問用戶核心服務的終端進行管控和

4、限制，并對非法用戶強推終端管控軟件，從而實現(xiàn)了一套從網(wǎng)絡到終端的立體準入系統(tǒng)。第二章產(chǎn)品概述360NA（是由360互聯(lián)網(wǎng)安全中心開發(fā)的，具有自主知識產(chǎn)權(quán)的準入產(chǎn)品。 該產(chǎn)品 采用旁路部署方式，采用360自有技術(shù)，對企業(yè)內(nèi)網(wǎng)數(shù)據(jù)流進行合法性檢查并及 時阻斷非法連接。2.1產(chǎn)品構(gòu)成360NA（是由硬件準系統(tǒng)配合天擎客戶端組成的，硬件準入系統(tǒng)同時提供B/S架構(gòu)的系統(tǒng)管理平臺供用戶對系統(tǒng)進行全方位配置與管理。2.2設計依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護技術(shù)要求（GB/T22239-2008涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求（BMB 17-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求（GA/

5、T671-2006信息技術(shù)安全技術(shù)信息安全管理體系要求（GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則（GB/T 22081-2008 第三章功能簡介3.1網(wǎng)絡準入360NA（網(wǎng)路準入控制系統(tǒng)通過安裝天擎 -入網(wǎng)、注冊-入網(wǎng)、注冊-安裝天擎-入網(wǎng)，三種方式靈活實現(xiàn)企業(yè)需要的準入方式。3.2認證管理3.2.1保護服務器管理支持將服務器IP添加至保護服務器管理，該服務器即刻被保護，未安裝天擎的 終端將不能訪問被保護的服務器。322例外終端管理支持將終端IP添加至例外終端管理，該終端將不受準入策略限制，無論是 否安裝天擎客戶端都可訪問被保護的服務器。3.2.3重定向設置支持識別自

6、定義http協(xié)議端口。支持終端分發(fā)地址配置。支持服務器管理地址配置。3.2.3認證服務器配置支持本地LDAP連接。支持第三方LDAP連接。支持Windows A域連接。3.2.4入網(wǎng)流程管理支持安裝天擎客戶端后入網(wǎng)方式。支持注冊、LDAP賬號認證、WindowsA域賬號認證后入網(wǎng)方式。支持注冊、LDAP賬號認證、WindowsA域賬號認證并安裝天擎客戶端后入網(wǎng)方式。3.2.5訪問控制列表支持將網(wǎng)絡劃分為三個區(qū)域（保護區(qū)、可信區(qū)、非法區(qū)）靈活的限制區(qū)域間的數(shù) 據(jù)的流動。326 ARF準入支持ARP欺騙方式實現(xiàn)網(wǎng)絡準入。支持網(wǎng)絡終端掃描功能。新 3.2.7 802.1X支持360自主研發(fā)的PC端

7、802.1X客戶端。支持針對PC終端進行802.1X認證入網(wǎng)合規(guī)性檢查。支持合規(guī)性檢查的策略自定義（普通檢查項、關(guān)鍵檢查項）。支持根據(jù)管理員的策略自定義給予用戶認證成功后的打分功能。支持PC端 802.1X認證后的日志記錄功能，同時記錄通過認證的交換機端口。 支持用戶進行802.1X認證賬戶自主注冊。3.2.8設備管理支持展示交換機的基本狀態(tài)信息，如接口列表、端口狀態(tài)、端口類型、端口所屬VLAN 端口 dotlx狀態(tài)。3.3用戶管理3.3.1認證用戶管理支持本地LDAP用戶的添加刪除修改。支持第三方LDAP用戶數(shù)據(jù)的查看。332注冊用戶管理支持手動確認用戶注冊。支持自動確認用戶注冊。支持取消用

8、戶注冊。3.3.3在線用戶管理支持在線用戶名、用戶IP、用戶MA（地址與用戶最近檢測時間查看。3.3.4用戶終端掃描支持跨路由器掃描在線PC3.4策略管理3.4.1策略配置支持針對PC終端的遠程桌面、文件共享、特定軟件、特定進程等功能的狀態(tài)（啟 用或禁用）進行準入控制。3.5系統(tǒng)管理3.5.1系統(tǒng)配置支持密碼修改。支持系統(tǒng)時間查看修改。3.5.2接口管理支持接口 IP、MAC類型、啟用狀態(tài)、連接狀態(tài)查看。支持接口 IP地址修改。支持接口狀態(tài)、類型修改。3.5.3路由管理支持路由信息的添加與刪除。3.5.4服務管理支持系統(tǒng)服務器的停止、啟動與重啟3.5.5軟件升級支持頁面操作方式升級360網(wǎng)絡安

9、全準入內(nèi)核。3.5.6天擎聯(lián)動支持針對天擎聯(lián)動，完成對用戶終端的全方位保護。3.6系統(tǒng)日志系統(tǒng)日志包括違規(guī)訪問日志、心跳日志、認證日志三大類。3.6.1違規(guī)訪問支持違規(guī)訪問的四元組信息、訪問時間的查看、查詢與刪除。362心跳日志支持心跳日志記錄查詢與刪除3.6.3認證日志支持本地LDAP第三方LDAP Windows A域認證記錄查詢與刪除。36 4 802.1x認證日志支持802.1X成功或失敗認證記錄的查詢與刪除。第四章產(chǎn)品優(yōu)勢與特點基于標準旁路部署，對用戶網(wǎng)絡沒有任何影響基于自有旁路重定向技術(shù)，方便自動分發(fā)支持第三方LDAPffi AD域認證。和360天擎無縫融合，提供天擎網(wǎng)絡準入功能。

10、阻斷策略配置靈活，可以滿足多種場景。支持無客戶端準入方式。第五章產(chǎn)品性能指標5.1測試簡介測試目的在于對360NA進行壓力性能測試結(jié)果分析，評估出360NA（的整體性能主要測試360NA鏡像接口的抓包能力，分別測試單接口以及整機的抓包性能5.2被測設備硬件配置型號360NAC-5130360NAC-3130360NAC-113C主板NSA5130()NSA3130()NSA113低()CPU17 2600*1G850*1D525內(nèi)存8G(DDR3 4G*2)4G(DDR3 2G*2)2G(DDR3 2G*1CF卡1G*11G*11G*1硬盤500GB500GB500GB接口4光6電2光6電5電

11、5.3 360NA抓包性能指標交換機圖1性能測試拓撲圖平臺抓包能力(bps)51305G31302G1130600M第六章 產(chǎn)品應用部署6.1 360NA解決方案6.1.1部署拓撲來達當前解決方案是著眼于國稅項目， 使用阻斷方式來干擾終端正常網(wǎng)絡訪問, 到準入功能。其網(wǎng)絡部署及數(shù)據(jù)流如下圖：I0流E換機非保護網(wǎng)絡受保護區(qū)域360NACreset/http-302心跳心跳心跳安裝客戶端安裝客戶端安裝客戶端未安裝客戶端62基本原理6.2.1 360NA工作流程圖62 2 360NA工作流程圖詳述6.221 360NA流 程一部署只有安裝天擎客戶端的PC才有權(quán)限訪問受保護服務器。1. 用戶訪問受保護服務器打開終端分發(fā)頁面。2. 點擊鏈接，下載并安裝天擎客戶端，之后用戶PC可正常訪問受保護服務器。 360NA流 程二部署用戶經(jīng)過注冊、管理員確認、下載并安裝天擎客戶端后才能訪問受保護服務器。1.2.3.客戶PC訪問受保護服務器，打開注冊頁面，填寫用