1、宝界宝界准入准入产品产品与与360360公司版公司版结合结合 解决方案解决方案 一、需求一、需求背景背景 1.1、360 公司版功能优势与劣势公司版功能优势与劣势 360 单机版已广泛被用户认可,用户量突破 3 亿。360 又发布了一款终身免费、不限点数的 360 公司版(网络版),终端用户量已突破 760 万,它为公司提供一站式安全桌面解决方案、全网木马查杀、内网打补丁、软硬件资产管理、软件分发、流量监控、U 盘管理等功能。优势:优势:1、免费:无装机点数的限制 2、用户基数大:有助于有害域名、病毒库的云收集 3、兼容性好、稳定:公司版与个人版一键切换 4、杀毒与桌面管理结合 5、功能强 劣
2、势:劣势:1、缺少强制全网安装的手段,那台装了 360 客户端,那台没装?2、缺少对能安装但不愿安装 360 公司版客户端的入网终端的监控 3、无法区分员工与访客的入网权限 4、缺少与互换机、路由器的联动,某些非法行为在网络设备上阻断更彻底 5、无法管理不能安装 360 公司版的 LINUX 终端、监控设备、哑终端、医疗设备 6、没有上网行为管理的功能 1.2、宝界终端准入与宝界终端准入与 360 公司公司版版结合可解决那些问题结合可解决那些问题 1、全网安装 360 公司版客户端 2、入网用户统一实名认证 3、区分访客与员工的权限 4、ARP 病毒的防御 5、监控私接路由器、私接随身 WIF
3、I 的行为 6、资产管理的补充与强化(不装客户端的主机)7、流量控制功能的互补 8、全网病毒控制 9、全网 U 盘管理 10、统一入网日记 1.3、什么样的网络环境什么样的网络环境,准入能与准入能与 360 公司版公司版相结合相结合?1、隔离网环境隔离网环境 终端数从几十台到几百台不等,网络管理情况比较严格,不允许终端连接互联网。所有终端都集中在一个局域网内,有专门的网络管理员或者安全管理员。在公司内部部署控制中心和公司版终端,公司版终端根据控制中心制定的安全策略,进行体检、杀毒和修复漏洞等安全操作。使用隔离网工具,定期从 360 相关的服务器下载病毒库、木马库、漏洞补丁文献等,更新到控制中心
4、后,所以公司终端都可以自动升级和修复漏洞。有专人负责控制中心的平常运营,定期查看各终端的安全情况,下发统一杀毒、漏洞修复等策略。在隔离网的网络环境中,可以用终端准入设备旁路方式接在互换机,实现对所有终端主机强制安装 360 客户端。2、联网环境联网环境 公司规模一般,终端数从几十台到几百台不等,网络管理情况不是很严格,允许终端上网。所有终端都集中在一个局域网内,有专门的网络管理员或者安全管理员。在公司内部部署控制中心和公司版终端,公司版终端通过控制中心连接到360的升级服务器进行升级、更新等,控制中心具有缓存功能,同样的数据文献只会下载一次,可以极大的节省公司总出口带宽。公司版终端根据控制中心
5、制定的安全策略,进行体检、杀毒和修复漏洞等安全操作。进行杀毒扫描时,公司终端可以直接连接 360 的云查杀系统,进行云查杀。有专人负责控制中心的平常运营,定期查看各终端的安全情况,下发统一杀毒、漏洞修复等策略。联网环境下,方法一是用应用准入网关设备以网桥方式串接在出口,或放在关键服务器前面,这样所有终端主机流量从准入设备通过时,准入会判断 有没有安装 360 客户端,没有安装的则提醒安装。方法二是采用终端准入控制系统旁路接在互换机上,实现终端主机接入网络时,强制安装 360 客户端。3、无线环境无线环境 现有的无线路由使用共享简朴密码,极易泄漏;无法区分无线用户是外来访客还是内部员工;访客可随
6、意访问公司内部应用服务器;难以保证无线接入用户是否安装 360 客户端。采用无线准入网关,以路由网关或网桥或策略路由方式,来对无线接入终端强制安装 360 客户端。二、二、解决方案解决方案 2.1、全网安装全网安装 360 公司版客户端公司版客户端 通过准入与360服务器的联动,准入系统分析所接入网络的终端主机有没有相应数据包与服务器通讯,有则立即放行,允许接入内网,没有则弹出和谐界面,引导客户端安装。提醒安装客户端 终端主机没有安装 360,限制模式提醒 没有安装 360 客户端 的终端主机,打开 IE 时,弹出网页提醒没有安装客户端,这时可以点击下载安装,只要按默认的提醒下一步,直到安装完
7、毕,无需网管现场安装,大大减轻网管工作量。同时又保证了所有主机都所有安装客户端。2.2、入网用户统一实名认证入网用户统一实名认证 不管网络中各终端 IP 是 DHCP 自动获取,还是手动设立 IP,对入网的主机规定做到相应到人,准入系统规定入网主机,只有实名认证通过后才干接入内网。实名认证 终端主机没有实名认证,限制模式提醒 终端主机点实名认证,输入用户名和口令,认证通过后,才干接入内网。显示已实名验证成功的用户列表 2.3、区分访客与员工的权限区分访客与员工的权限,访客在隔离网段可以不装访客在隔离网段可以不装 1、准入系统,分两个 DHCP 地址池,一个是访客的 DHCP 地址池,即隔离网段
8、,一个是员工的 DHCP 地址池,即工作网段;2、对于外来访客,允许在隔离网段,不安装 360 客户端软件,通过准入系统做安全策略,允许访问指定的服务器或访问互联网,3、内部员工则规定必须安装 360 客户端才干接入工作网段。一些服务器可以不安装 360 客户端也能接入内网。访客网段、工作网段两个 DHCP 地址池 隔离网段访问控制 2.4、ARP 病毒的防御病毒的防御(双方绑定(双方绑定 IP/MAC,DHCP SNOOPING)袭击的基本原理就是强制被袭击的主机更新 ARP 缓存表,将目的 IP 与袭击者的 MAC 联系起来,这样,当被袭击者与目的 IP 通信时,报文都被发送到了袭击者上。
9、常见的一种 ARP 袭击是中间人袭击。袭击者向被袭击的主机和目的主机同时单播发送积极 ARP 报文更新通信双方分 ARP 缓存表(由于主机上的解决程序不区分单播、多播,因此发送单播消息可以增长隐蔽性)。当收到通信双方的报文后,除了上送到袭击程序解决外,还充当软网关,向通信的另一方转发这个报文,因此通信双方无法发现窃听者。当目的 IP 在其它网段或是公网时,袭击者仿冒的是网关。ARP 病毒。它事实上是自动化的中间人袭击,它通过被感染主机来仿冒网关,进而来监听网络中的所有报文从中获取所需的用户私密信息。解决 ARP 病毒方法是运用准入控制系统,一是与互换机智能联动,直接绑定合法主机的 IP,MAC
10、以及所在端口,二是针对DHCP的终端主机,由准入设备提供DHCP服务,启用互换机的DHCP SNOOPING功能,防止非法的 DHCP 服务。此外在360 内网管理功能上启用 IPMAC 绑定 IPMAC 绑定 2.5、监控私接路由器、私接随身监控私接路由器、私接随身 WIFI 的行为的行为 准入系统通过辨认网卡制造商,能辨认非法接入的终端是否无线路由,再由网管对其阻止入网。判断非法路由的接入 随着无线网络的普及,随身 WIFI 可以任意插到主机 USB 口,从而手机等智能终端随意上网,导致了这些终端的接入没法有效管理,准入系统强制所有终端主机安装 360 客户端,然后在 360 控制台可以对
11、全网的主机进行外接设备管控,限制 USB 无线网卡与热点。私接随身 WIFI 2.6、资产管理的补充与强化(不装客户端的主机)资产管理的补充与强化(不装客户端的主机)准入系统对没有安装 360 客户端的终端主机,作为限制主机。由于没有安装客户端的主机,360 服务器是管理不到的,所以准入系统可以通过对限制主机强制安装相应 360 客户端,从而纳入 360 服务器的统一管理。2.7、全网病毒控制(注意是全网)全网病毒控制(注意是全网)由于准入系统可以在全网范围内强制 360 客户端的安装,解决了少数主机不安装 360 客户端,或恶意卸载,或重安装系统带来的客户端丢失。这样全网所有主机安装了 36
12、0 客户端,在 360 控制台就可以对终端主机所有启用 360 防病毒。2.8、全网全网 U 盘管理(注意是全网)盘管理(注意是全网)由于准入系统可以在全网范围内强制 360 客户端的安装,解决了少数主机不安装 360 客户端,或恶意卸载,或重安装系统带来的客户端丢失。这样全网所有主机安装了 360 客户端,在 360 控制台就可以对所有终端主机所有启用 U 盘管理。2.9、统一入网日记统一入网日记 主界面系统状态栏事件日记,可显示客户端上下线日记及主机相应的 MAC 地址、IP 地址、用户/部门、互换机、时间信息。三三、终端准入与终端准入与 360 结合的结合的技术实现技术实现 3.1、终端
13、准入与终端准入与 360 公司版公司版网络拓扑网络拓扑 INTERNET Cisco 3560hub二层交换 Cisco 3560Cisco 6509 宝界终端准入网关宝界终端准入网关核心业务服务器无线AP正式用户正式用户,安检通过安检通过,允许访问允许访问访客访客,可以访可以访问外网问外网,禁止禁止访问内网访问内网例外设备例外设备,直接放行直接放行正式用户正式用户,存在安全漏存在安全漏洞洞,被隔离被隔离到修复区到修复区 产品部署拓朴结构 网络拓朴说明:网络拓朴说明:1、终端准入设备是旁路方式接在核心互换机上,由于准入设备是多接口的,对于网段数不多的网络,可以一个接口管理一个 VLAN,各网段
14、分别接入准入设备的不同接口,各自进行准入控制。2、对于多 VLAN 的,可以采用核心互换机的 TRUNK 口接准入设备的一个接口,这样可以一个准入接口可以管理多个 VLAN。实现每个 VLAN 的准入控制。3、准入与核心互换机通过 TELNET/SSH 方式联动。4、汇聚层或接入层互换机启用 DHCP Snooping+IP SOURCE GURARD 或 DAI,DHCP Snooping 有效防止网络中的非法 DHCP 服务。IP SOURCE GURARD 或 DAI 功能有效解决终端主机私自设立 IP,同时解决了内网中固定 IP 的服务器,直接在互换机上建立合法的绑定表。3.2 采用采
15、用 DHCP 准入准入与与 360 结合结合 宝界终端准入控制系统旁路接在三层核心互换机的一个 TRUNK 口,原有的三层核心提供的 DHCP 服务由宝界终端准入控制系统提供,由宝界终端准入控制系统对内网的所有终端做扫描检查,采用 DHCP 准入控制技术,所有主机先获取到隔离网段的 IP 地址,只有通过实名/CA 认证检查,以及 360 客户端安装检查,通过后才干分派到内网的工作 VLAN 的 IP。3.3 采用采用 IPMAC 准入准入+ARP 重定向重定向实现实现与与 360 结合结合 宝界终端准入控制系统旁路接在三层核心互换机的一个 TRUNK 口,原有三层核心提供的 DHCP 服务仍不
16、变,或原有的专门 DHCP 服务器仍正常提供 DHCP 服务,由宝界终端准入控制系统与三层核心互换机做联动,对内网的所有终端做扫描检查,可以对现有的合法主机建立白名单体系,针对不同的主机可以做灵活的检查规则,如只需要实名/CA 认证检查,或360客户端是否安装检查,也可以两者都规定符合才干接入内网。外来的非法主机,打开 IE 自动跳转到认证页面,进行实名认证以及360客户端安装,符合这二个条件才干接入内网。针对固定 IP 的网络环境,由宝界终端准入控制系统与三层核心互换机做联动,对内网的所有终端做扫描检查,可以对现有的合法主机建立白名单体系,准入设备采用 IPMAC 准入+arp 重定向实现,
17、针对不同的主机可以做灵活的检查规则,如只需要实名/CA 认证检查,或 360 客户端是否安装检查,也可以两者都规定符合才干接入内网。外来的非法主机,打开 IE 自动跳转到认证页面,进行实名认证以及 360 客户端安装,符合这二个条件才干接入内网。3.4、终端准入与、终端准入与 360 公司版公司版结合结合入网入网流程流程 DHCP 准入与准入与 360 结合的准入流程结合的准入流程 通过宝界终端准入管理系统,与现有的 360 内网管理服务器的有效联动,接入的主机,一方面动态分派到宝界指定的隔离网段 IP 地址,其网关指向到宝界准入设备,打开 IE,自动跳转到实名认证、CA 证书验证页面,输入网
18、管人员分派的实名帐号或 USB 接口插上分派的 CA 证书,认证通过后,假如该主机已安装了 360 客户端,就可以分派到合法的工作网段的 IP 地址,网关指向到三层互换机 VLAN 接口地址。假如该主机没有安装 360客户端,则跳转到客户端安装页面,安装好后才干分派到工作 IP。1、启用、启用 DHCP 准入方式准入方式 2、设立隔离网段与工作网段,以及检测条件、设立隔离网段与工作网段,以及检测条件 3、接入主机先分派到宝界准入控制系统、接入主机先分派到宝界准入控制系统指定的隔离网段:指定的隔离网段:4、打开、打开 IE 会跳转到实名认证、会跳转到实名认证、CA 证书验证页面:证书验证页面:假
19、如需要实名认证的,选择实名登录,输入网管分派的实名用户帐号登录 假如需要 CA 证书验证,选择相应的证书验证菜单选项,USB 口插上分派到的 CA 证书。如该主机是第一次使用 CA,需要安装相应的 CA 证书驱动,已安装过驱动的主机可以直接验证。至此,实名认证或 CA 证书验证通过后,该主机如已安装过 360 客户端,就能分派到工作网段,可以正常访问内网。如没有安装 360 客户端,会接下面环节安装 360 客户端。5、没有安装、没有安装 360 客户端的自动跳转到提醒安装界面客户端的自动跳转到提醒安装界面 360 客户端安装注册认证 实名/证书认证通过,360 客户端安装过的终端主机,至此可
20、以正常分派到工作网段的 IP。IPMAC 准入准入+ARP 重定向实现与重定向实现与 360 结合的工作流程:结合的工作流程:测试网段用的 VLAN 46 (10.76.46.0 255.255.255.128)网段做测试,46 网段的网关 10.76.46.126,46 网段的 DHCP 服务仍由本来的 DHCP 服务器提供,准入管理系统 eth0.46 接口地址设立为 10.76.46.119 255.255.255.128.启用 IPMAC 准入方式 测试过程测试过程:找一台笔记本,网线接到 46 网段的互换机接口,一方面 DHCP 获取到 10.76.46.x 地址,此时该主机打开IE
21、,由于内网没有域名解析服务器,只能输入 IP,如,就会跳出实名/CA 认证的网页,规定实名/CA 证书认证。实名/CA 认证 输入已设立好的实名用户帐号,或插入 CA 证书,认证通过后,如这台笔记本已安装 360 客户端,就可以直接访问内网,如没有安装 360,则再次打开 IE,会跳出 360 客户端认证网页。360 客户端安装注册认证 至此,实名/CA,以及 360 客户端都认证成功后,该主机就可以正常访问内网的资源。四、宝界四、宝界应用准入与应用准入与 360 公司版结合公司版结合技术实现技术实现 4.1、应用准入与应用准入与 360 公司版结合网络拓扑公司版结合网络拓扑 交换机二层交换
22、交换机核心交换机 INTERNET核心业务服务器群无线AP数据库服务器WEB服务器路由器路由器EMAIL服务器宝界宝界360安全网关安全网关远程远程SSL VPN1实名认证实名认证360企业版企业版服务器服务器阻断视频阻断视频、P2P下载下载禁止浏览非法网站禁止浏览非法网站QQ,MSN管理管理保护服务器群保护服务器群全网安装全网安装360客户端客户端 1、宝界应用准入网关以透明桥接方式部署在核心互换机与路由器之间,它支持 BYPASS,断电可直通。2、360 网络版服务器接在宝界应用准入网关第三个网口。3、内网无线路由器转换为无线 AP 模式后,同样可控无线接入终端。4、应用准入网关假如启用
23、SSL VPN 模块,外网用户可通 SSL VPN 加密访问内网服务器。4.2、应用应用准入与准入与 360 公司版公司版结合结合终端入网终端入网工作流程工作流程 1、宝界应用准入网关对指定的内网网段启用准入功能,设立 360 公司版服务器的 IP 地址。对某些特权主机可排除在准入之外。2、电脑连入内网,打开浏览器访问互联网网站或访问关键服务器(OA、ERP、CRM 等)时,假如接入电脑未安装 360 公司版客户端,网页会跳转至 360 公司版服务器下载界面,规定安装。初次上网引导安装360客户端 4、当用户下载并安装完 360 公司版客户端后,访问网页不再跳转,并正常显示。网络管理员可通浏览
24、器登陆 360 公司版控制中心,对内网接入主机,进行集中的安全策略定制。5、宝界应用准入网关假如启动了实名认证模块,接入内网电脑打开浏览器访问外网时,系统会自动推送实名认证网页,规定其输入管理员分派的用户名及密码,假如身份认证未通过,系统将拒绝其上网,或拒绝其访问内网关键服务器资源。5、宝界应用准入网关假如启动了行为流控模块,对内网电脑进行上网域名做控制、封堵有害的网络协议(P2P 协议、游戏、等)五五、常见问题、常见问题 5.1 没有安装过没有安装过 360 客户端的主机客户端的主机,直接能接入内网直接能接入内网?没有启用桌管认证,或桌管设立不对的。本网段没有启用桌管认证,就是说下图中的需要桌管软件的选项前面没有打钩。5.2 安装过安装过 360 客户端的主机客户端的主机,卸载了卸载了,大约多久还会提醒要重新安装大约多久还会提醒要重新安装?桌管客户端卸载后,要下线 300s 后,准入会判断该主机是限制主机,限制方式为没有安装桌管,打开 IE后会提醒安装客户端.6.3 接入终端在隔离网段打开浏览器不能弹出接入终端在隔离网段打开浏览器不能弹出 360 认证网页?认证网页?检查如下设立 1、DHCP 参数中 DNS 有无配置 2、准入设备的缺省网关有无配置 3、隔离策略,是否允许隔离网段访问浏览器打开的主机相应的 IP 地址。