Solution解决方案
网络优化运维解决方案 移动安全 信息安全防泄密方案 分支互联|应用发布 网络安全准入|应用交付 终端安全 数据中心安全 Web安全 网络边界安全 企业移动EMM管理 态势安全感知解决方案 身份安全 工控安全 云安全

360终端安全管理系统终端准入解决方案

TIME:2023-05-23   click: 137 次
1 产品介绍
1.1 产品概述
360应用准入系统,基于客户端合法性进行识别控制,有效阻断非法终端访问内网业务服务器资源的行为,保障内网资源安全。
1.2 系统组成
360应用准入包含管控中心,准入服务器(NAC)以及准入客户端三部分组成:
管控中心:360终端安全管理系统管控中心,负责下发管理策略给准入服务器和客户端。
准入服务器(NAC):包含准入功能组件的高性能专用服务器,具有多种型号。
准入客户端:向准入服务器发送终端信息。
1.3 实现原理
准入服务器采用旁路镜像部署模式,通过旁路连接到网络核心交换中,通过监控路由交换数据,识别客户端在通讯过程中发送的通讯数据中标识,并判断其是否合法。未安装客户端软件的终端,因为无法发送标识数据,所以无法通过准入校验,未通过验证的终端将被拒绝访问内部业务服务器资源。
1.4 准入功能
1.基础功能
1)部署方式支持旁路部署方式,对现有网络拓扑架构无重大影响。
2)支持多VLAN、多路由器情况,支持NAT形式的地址转换环境。
3)能够通过数据包的IPID方式判断终端合法性。
2.重定向机制
对于未安装客户端软件的终端提供网页重定向机制,显示客户端的安装提示,指示使用者主动安装客户端管理程序。
3.例外终端入网机制
为适应更多用户场景,如外来访客可能不便安装客户端。通过配置例外终端,即使未安装客户端也可以顺利通过准入访问内部业务资源。管理员可将例外终端的相应标识特征,比如IP、MAC等添加到例外策略中,当终端入网时,会校验其是否为例外终端,校验通过后,例外终端则可以访问内部资源。
 
2 部署架构
 
图 准入服务器旁路部署模式
本建设方案,将准入服务器连接到交换机出口的镜像端口上,对流经镜像端口的 TCP 数据包进行过滤,控制其是否可以通过准入服务器。旁路部署模式,对用户的网络架构无重大影响。
 
3 应用场景
3.1 应用场景1:合规终端允许访问保护区服务器资源
场景描述:外来计算机接入到内网网络中,可能会给内网核心业务服务器造成极大的安全风险。
潜在风险:内部重要业务系统信息被非法访问,同时可能会把病毒传染给内网计算机。 
管理需求:禁止非法的外来终端访问内网业务服务器资源。
解决方案:用户可以将内部业务区服务器资源划分保护区。通过应用准入,对未安装客户端软件的计算机,限制其访问业务保护区服务器资源。
 
3.2 应用场景2:特殊终端设备例外入网
场景描述:内网可能存在部分老旧设备、特权终端、特殊硬件设备不能够安装客户端程序,但同时这类终端设备有访问业务保护区服务器资源的需求。
管理需求:希望能够将这些特殊设备例外放行,不影响其正常办公。
解决方案:对于计算机或特殊网络设备,可通过IP、MAC方式例外放行;对于移动设备,通过识别Http包中的关键字进行例外,例外的设备可以正常访问保护区的服务器资源。
 
3.3 应用场景3:复杂网络环境,NAT转换场景
场景描述:内部网络结构较为复杂,存在多层NAT转化。
NAT 有三种实现方式,即静态转换 Static Nat、动态转换 DynamicNAT和端口地址转换OverLoad。
静态地址转换(静态NAT):本地和全局地址之间的一对一地址映射;
动态地址转换(动态NAT):本地和全局地址之间多对多地址的映射;
端口地址转换(NAT Overload;):使用端口在本地和全局地址之间进行多播地址映射。
1、静态转换
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
2、动态转换
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP 地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。动态转换的应用场景一般分为两种:
一是在防火墙设置VPN连接,这样外网的机器都可以访问内网,访问时是以同一个IP地址进行访问。
二是在内网接入小路由,如某个部门中放置一个家用小路由,这样小路由下面的机器就可以通过一个公共的IP地址访问网络。
3、NAT OverLoad(PAT)
使用端口在本地和全局地址之间进行多播地址映射。这种方法也称为NAT Overload,可以将多个地址映射到一个或多个地址,因为每个私有地址也由端口号跟踪。
管理需求:对NAT设备下的终端设备实现访问控制,规避出现漏防终端设备的情况,避免保护区服务器资源受到威胁。
解决方案:通过IPID技术可以识别出NAT设备或小路由下面的终端哪台安装了客户端软件哪台没有安装客户端软件,即使IP地址出现变化,也能实现准入控制,避免漏防终端。