360网络安全准入系统
技术白皮书
奇虎360科技##
二O一四年十一月
360网络安全准入系统技术白皮书
目录
第一章前言4
第二章产品概述4
2.1产品构成4
2.2设计依据4
第三章功能简介5
3.1 网络准入5
3.2认证管理5
保护服务器管理5
3.2.2 例外终端管理5
重定向设置5
3.2.3 认证服务器配置5
3.2.4 入网流程管理6
3.2.5 访问控制列表6
3.2.6 ARP准入6
3.2.7 802.1x6
3.2.8 设备管理6
3.3用户管理7
认证用户管理7
注册用户管理7
在线用户管理7
用户终端扫描7
新3.4 策略管理7
3.4.1 策略配置7
3.5系统管理7
系统配置7
接口管理8
3.5.3 路由管理8
3.5.4 服务管理8
3.5.5 软件升级8
3.5.6 天擎联动8
3.6系统日志8
违规访问8
心跳日志9
3.6.3 认证日志9
3.6.4 802.1x认证日志9第四章产品优势与特点9
第五章产品性能指标9
5.1测试简介9
5.2被测设备硬件配置9
5.3 360NAC抓包性能指标10第六章产品应用部署10
6.1 360NAC解决方案10
部署拓扑10
6.2.基本原理11
6.2.1 360NAC工作流程图11
6.2.2 360NAC工作流程图详述11
6.2.2.1 360NAC流程一部署11
6.2.2.2 360NAC流程二部署11
6.2.2.3 360NAC流程三部署11
第一章前言
网络信息化的飞速发展为用户内网管理带来新的问题和挑战,主要体现在以下几方面:
1)外来终端随意地访问网络,不设防;
2)内网中的用户可以随意地访问核心网络,下载核心文件;
3)不合规终端也可以接入到公司核心服务,对整个网络安全带来隐患;
针对以上问题以与诸多安全隐患,360互联网安全中心凭借多年信息安全领域的技术积淀,推出了基于终端应用的准入系统〔简称360NAC〕.
360NAC是一套配合360天擎终端安全管理系统的安全准入解决方案,它基于用户核心服务保护模式,对非法访问用户核心服务的终端进行管控和限制,并对非法用户强推终端管控软件,从而实现了一套从网络到终端的立体准入系统.
第二章产品概述
360NAC是由360互联网安全中心开发的,具有自主知识产权的准入产品.该产品采用旁路部署方式,采用360自有技术,对企业内网数据流进行合法性检查并与时阻断非法连接.
2.1产品构成
360NAC是由硬件准系统配合天擎客户端组成的,硬件准入系统同时提供B/S架构的系统管理平台供用户对系统进行全方位配置与管理.
2.2设计依据
◆《信息安全技术信息系统安全等级保护技术要求》〔GB/T 22239-2008〕
◆《涉与国家秘密的信息系统分级保护技术要求》〔BMB 17-2006〕
◆《信息安全技术终端计算机系统安全等级技术要求》〔GA/T 671-2006〕
◆《信息技术安全技术信息安全管理体系要求》〔GB/T 22080-2008〕
◆《信息技术安全技术信息安全管理实用规则》〔GB/T 22081-2008〕
第三章功能简介
3.1网络准入
360NAC网路准入控制系统通过安装天擎–入网、注册–入网、注册–安装天擎-入网,三种方式灵活实现企业需要的准入方式.
3.2认证管理
保护服务器管理
支持将服务器IP添加至保护服务器管理,该服务器即刻被保护,未安装天擎的终端将不能访问被保护的服务器.
3.2.2 例外终端管理
支持将终端IP添加至例外终端管理,该终端将不受准入策略限制,无论是否安装天擎客户端都可访问被保护的服务器.
重定向设置
支持识别自定义协议端口.
支持终端分发地址配置.
360小说网支持服务器管理地址配置.
3.2.3 认证服务器配置
支持本地LDAP连接.
支持第三方LDAP连接.
支持Windows AD域连接.