宝界准入产品与360企业版结合解决方案20140603.doc

宝界准入与 360 企业版结合解决方案1宝界准入产品与360企业版结合解决方案一、需求背景1.1、360 企业版功能优势与劣势360 单机版已广泛被用户认可，用户量突破 3 亿360 又发布了一款终身免费、不限点数的 360 企业版（网络版） ，终端用户量已突破 760 万，它为企业提供一站式安全桌面解决方案、全网木马查杀、内网打补丁、软硬件资产管理、软件分发、流量监控、U 盘管理等功能优势：1、 免费：无装机点数的限制2、 用户基数大：有利于有害域名、病毒库的云收集3、 兼容性好、稳定：企业版与个人版一键切换4、 杀毒与桌面管理结合5、 功能强劣势：1、 缺乏强制全网安装的手段，那台装了 360 客户端，那台没装？2、 缺乏对能安装但不愿安装 360 企业版客户端的入网终端的监控3、 无法区分员工与访客的入网权限4、 缺少与交换机、路由器的联动，某些非法行为在网络设备上阻断更彻底5、 无法管理不能安装 360 企业版的 LINUX 终端、监控设备、哑终端、医疗设备6、 没有上网行为管理的功能1.2、宝界终端准入与 360 企业版结合可解决那些问题1、 全网安装 360 企业版客户端 宝界准入与 360 企业版结合解决方案22、 入网用户统一实名认证3、 区分访客与员工的权限4、 ARP 病毒的防御5、 监控私接路由器、私接随身 WIFI 的行为6、 资产管理的补充与强化（不装客户端的主机）7、 流量控制功能的互补8、 全网病毒控制9、 全网 U 盘管理10、 统一入网日志1.3、什么样的网络环境, 准入能与 360 企业版相结合？1、 隔离网环境终端数从几十台到几百台不等，网络管理情况比较严格，不允许终端连接互联网。

所有终端都集中在一个局域网内，有专门的网络管理员或者安全管理员在企业内部部署控制中心和企业版终端，企业版终端根据控制中心制定的安全策略，进行体检、杀毒和修复漏洞等安全操作使用隔离网工具，定期从 360 相关的服务器下载病毒库、木马库、漏洞补丁 宝界准入与 360 企业版结合解决方案3文件等，更新到控制中心后，所以企业终端都可以自动升级和修复漏洞有专人负责控制中心的日常运行，定时查看各终端的安全情况，下发统一杀毒、漏洞修复等策略在隔离网的网络环境中，可以用终端准入设备旁路方式接在交换机，实现对所有终端主机强制安装 360 客户端2、 联网环境企业规模一般，终端数从几十台到几百台不等，网络管理情况不是很严格，允许终端上网所有终端都集中在一个局域网内，有专门的网络管理员或者安全管理员在企业内部部署控制中心和企业版终端，企业版终端通过控制中心连接到 360 的升级服务器进行升级、更新等，控制中心具有缓存功能，同样的数据文件只会下载一次，可以极大的节省企业总出口带宽企业版终端根据控制中心制定的安全策略，进行体检、杀毒和修复漏洞等安全操作。

进行杀毒扫描时，企业终端可以直接连接 360 的云查杀系统，进行云查杀有专人负责控制中心的日常运行，定时查看各终端的安全情况，下发统一杀毒、漏洞修复等策略联网环境下，方法一是用应用准入网关设备以网桥方式串接在出口，或放在关键服务器前面，这样所有终端主机流量从准入设备通过时，准入会判断 有没有安装 360 客户端，没有安装的则提示安装方法二是采用终端准入控制系统旁路接在交换机上，实现终端主机接入网络时，强制安装 360 客户端3、 无线环境 宝界准入与 360 企业版结合解决方案4现有的无线路由使用共享简单密码，极易泄漏；无法区分无线用户是外来访客还是内部员工；访客可随意访问公司内部应用服务器； 难以保证无线接入用户是否安装 360 客户端采用无线准入网关，以路由网关或网桥或策略路由方式，来对无线接入终端强制安装 360 客户端二、解决方案2.1、全网安装 360 企业版客户端通过准入与 360 服务器的联动，准入系统分析所接入网络的终端主机有没有相应数据包与服务器通讯，有则立即放行，允许接入内网，没有则弹出友好界面，引导客户端安装。

宝界准入与 360 企业版结合解决方案5提示安装客户端终端主机没有安装 360, 限制模式提示没有安装 360 客户端 的终端主机，打开 IE 时，弹出网页提示没有安装客户端，这时可以点击下载安装，只要按默认的提示下一步，直到安装完成，无需网管现场安装，大大减轻网管工作量同时又确保了所有主机都全部安装客户端 宝界准入与 360 企业版结合解决方案62.2、入网用户统一实名认证不管网络中各终端 IP 是 DHCP 自动获取，还是手动设置 IP，对入网的主机要求做到对应到人，准入系统要求入网主机，只有实名认证通过后才能接入内网实名认证 宝界准入与 360 企业版结合解决方案7终端主机没有实名认证, 限制模式提示终端主机点实名认证，输入用户名和口令，认证通过后，才能接入内网显示已实名验证成功的用户列表 宝界准入与 360 企业版结合解决方案82.3、区分访客与员工的权限，访客在隔离网段可以不装1、准入系统, 分两个 DHCP 地址池，一个是访客的 DHCP 地址池，即隔离网段，一个是员工的 DHCP 地址池，即工作网段；2、对于外来访客，允许在隔离网段，不安装 360 客户端软件，通过准入系统做安全策略，允许访问指定的服务器或访问互联网，3、内部员工则要求必须安装 360 客户端才能接入工作网段。

一些服务器可以不安装 360 客户端也能接入内网访客网段、工作网段两个 DHCP 地址池 宝界准入与 360 企业版结合解决方案9隔离网段访问控制2.4、 ARP 病毒的防御（双方绑定 IP/MAC,DHCP SNOOPING）攻击的基本原理就是强制被攻击的主机更新 ARP 缓存表，将目的 IP 与攻击者的 MAC 联系起来，这样，当被攻击者与目的 IP 通信时，报文都被发送到了攻击者上常见的一种 ARP 攻击是中间人攻击攻击者向被攻击的主机和目的主机同时单播发送主动 ARP 报文更新通信双方分 ARP 缓存表（由于主机上的处理程序不区分单播、多播，因此发送单播消息可以增加隐蔽性） 当收到通信双方的报文后，除了上送到攻击程序处理外，还充当软网关，向通信的另一方转发这个报文，因此通信双方无法发现窃听者当目的 IP 在其它网段或是公网时，攻击者仿冒的是网关ARP 病毒它实际上是自动化的中间人攻击，它通过被感染主机来仿冒网关，进而来监听网络中的所有报文从中获取所需的用户私密信息解决 ARP 病毒方法是利用准入控制系统，一是与交换机智能联动，直接绑定合法主机的 IP，MAC以及所在端口，二是针对 DHCP 的终端主机， ，由准入设备提供 DHCP 服务，启用交换机的 DHCP SNOOPING 功能，防止非法的 DHCP 服务。

另外在 360 内网管理功能上启用 IPMAC 绑定 宝界准入与 360 企业版结合解决方案10IPMAC 绑定2.5、监控私接路由器、私接随身 WIFI 的行为准入系统通过识别网卡制造商，能识别非法接入的终端是否无线路由，再由网管对其阻止入网判断非法路由的接入 宝界准入与 360 企业版结合解决方案11随着无线网络的普及，随身 WIFI 可以任意插到主机 USB 口，从而等智能终端随意上网，造成了这些终端的接入没法有效管理，准入系统强制所有终端主机安装 360 客户端，然后在 360 控制台可以对全网的主机进行外接设备管控，限制 USB 无线网卡与热点私接随身 WIFI2.6、资产管理的补充与强化（不装客户端的主机）准入系统对没有安装 360 客户端的终端主机，作为限制主机由于没有安装客户端的主机，360 服务器是管理不到的，所以准入系统可以通过对限制主机强制安装相应 360 客户端，从而纳入 360 服务器的统一管理。

宝界准入与 360 企业版结合解决方案122.7、全网病毒控制（注意是全网）由于准入系统可以在全网范围内强制 360 客户端的安装，解决了少数主机不安装 360 客户端，或恶意卸载，或重安装系统带来的客户端丢失这样全网所有主机安装了 360 客户端，在 360 控制台就可以对终端主机全部启用 360 防病毒 宝界准入与 360 企业版结合解决方案132.8、全网 U 盘管理（注意是全网）由于准入系统可以在全网范围内强制 360 客户端的安装，解决了少数主机不安装 360 客户端，或恶意卸载，或重安装系统带来的客户端丢失这样全网所有主机安装了 360 客户端，在 360 控制台就可以对所有终端主机全部启用 U 盘管理 宝界准入与 360 企业版结合解决方案142.9、统一入网日志主界面系统状态栏事件日志，可显示客户端上下线日志及主机对应的 MAC 地址、IP 地址、用户/部门、交换机、时间信息。

宝界准入与 360 企业版结合解决方案15三、终端准入与 360 结合的技术实现3.1、终端准入与 360 企业版网络拓扑产品部署拓朴结构网络拓朴说明：1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的，对于网段数不多的网络，可以一个接口管理一个 VLAN，各网段分别接入准入设备的不同接口，各自进行准入控制2、对于多 VLAN 的，可以采用核心交换机的 TRUNK 口接准入设备的一个接口，这样可以一个准入接口可以管理多个 VLAN实现每个 VLAN 的准入控制3、准入与核心交换机通过 TELNET/SSH 方式联动4、汇聚层或接入层交换机启用 DHCP Snooping +IP SOURCE GURARD 或 DAI，DHCP Snooping 有效防止网络中的非法 DHCP 服务IP SOURCE GURARD 或 DAI 功能有效解决终端主机私自设置 IP， 同时解决 宝界准入与 360 企业版结合解决方案16了内网中固定 IP 的服务器, 直接在交换机上建立合法的绑定表。

3.2 采用 DHCP 准入与 360 结合宝界终端准入控制。