《北信源-终端准入控制系统.pdf》由会员分享,可在线阅读,更多相关《北信源-终端准入控制系统.pdf(4页珍藏版)》请在三一文库上搜索。
1、北信源 VRV-BMG 终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断, 使网络安全得到更有效提升。 与此同时基于设备接入控制网关, 还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、 专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落, 甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。北信源 VRV-BMG
2、终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。 主要用于解决企业内网、 行业用户接入互联网或外联网可能引发的各种安全问题。 通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P 软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI 技术, 能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协
3、议。深度业务识别 DSI 技术是在 DPI 和 DFI 技术上发展起来的一种新型的7 层应用识别技术。由于深度业务识别检测DSI 技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI 更具备良好的适应性;3)通 过系 统 内置 的网 络应 用业 务特 征 ,综 合运 用继 承式 应用 描述 语 言HADL ,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。继承式应用描述语言HADL 通过业务拓扑级 流特征级 报文特征的继承描述关系精确描述某项业务的特征。并突破了
4、原有单一的报文特征或者流特征所带来的误识别问题,从报文、流和业务拓扑 3 个层次综合描述应用并且精确定位了3 中特征之间的关系, 从而将 DSI技术更好地贯彻在应用识别产品中;4)采用领先的知识发现KDT 技术(该技术是数据挖掘技术与深度业务识别检测 DSI 两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码) ,能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份;5)部署在企业内网与外网的边界处或者不同的可信安全域之间,完成内网用户跨边界安全行为管理的实施。同时,该产品与北信源终端管理软件还可以通过终端准入控制技术、 二次授权访问控制技术、 综合行为
5、审计技术、 统一策略配置与管理等方面, 实现无缝结合与深层联动, 从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系, 为保障内网从终端到边界安全形成了一道绿色的屏障。系统管理构架北信源网络接入控制管理系统由以下几部分组成:1)策略服务器:系统策略管理中心, 提供系统的参数配置和安全策略管理。2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。4)Radius认证系统(交换机 ) :可网管支持 802.1x 的网络设备(交换机) ,接收认证客户端的
6、认证请求数据包与Radius认证服务器完成认证过程。5)可选配强制注册网关 (硬件) :在不完全支持 802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS 重定向或 HTTP 重定向,以达到强制注册目的。系统功能描述1)802.1x接入认证管理;2)虚拟强制隔离接入认证管理;3)未注册终端接入访问区域限制(vlan 限制) ;4)未安装杀毒软件等必备软件自动安装下载管理;5)未打补丁终端接入限制;6)运行不可信进程、服务、注册表终端接入限制;7)未达到预定义安全级别的终端接入访问区域限制;8)自定义终端安全接入必须的桌面运行安全环境。系统功能特点1) 802.1X 接入认证支持市场主流交换机,支持无线AP 的认证接入;2) 可以与用户现有域环境及LDAP 服务器结合,实现身份认证;3) 虚拟强制隔离技术无需硬件支持,即可实现终端的强制接入认证,未注册终端网络隔离及重定向功能;4) 部署方式极其灵活,完美实现内网终端间互访权限的控制;5) 支持终端用户漫游状态下的接入控制管理。