联创科技终端安全准入控制解决方案

　　一、网络准入控制

　　对于电信运营商、银行、电力等企业的内部业务支撑网络而言，存在着大量的办公终端和业务终端，为了保障内网应用系统的安全和相应的终端访问权限控制和审计，必须 对这些数量众多的终端实现安全、有效的准入控制和访问控制。

　　网络准入控制的目的是检查用户的身份及终端信息，根据预先的设定控制终端用户的访问权限，有效阻止不符合身份认证或安全条件的设备接入及访问网络。通过在网络中部署相应的安全接入控制设备，提供网络准入控制功能，使得用户必须满足身份认证的要求，同时用户的终端设备必须达到一定的安全和策略条件，才可以通过网关设备接入到网络中并获得相应的访问权限。这样一方面验证了用户的身份，避免了非法用户接入到网络中，限定了用户的访问权限；另一方面也避免了存在安全隐患的终端系统的接入，可以大大消除蠕虫和病毒对网络系统以及承载的业务越来越严重的威胁和影响，从而帮助客户发现、预防和消除安全威胁。

　　二、T-GATE应用介绍

　　联创终端安全准入控制方案从网络接入端点的安全接入控制入手，通过T-GATE准入控制网关，对接入网络的用户终端强制实施相应的安全策略，加强网络用户终端的主动防御能力，并严格控制终端用户的网络使用行为，保护网络安全。从而实现真正意义上的“可信”业务支撑网络，提供完善的网络接入控制和访问行为控制以及终端设备的完整性保护功能。

　　目前用户内部的业务支撑网络一般都已经建设完成并承载了各类应用，对于这样的业务承载网络，应该避免进行大规模的改造和割接，减少对业务和应用的影响。因此，在部署T-GATE安全接入网关设备时，应该充分考虑这一点，在不改动整体网络结构的基础上，实现相应的终端准入控制功能。针对用户网络，T-GATE安全接入控制网关有两种应用方式：

　　局域网络准入控制

　　这种方式是对局域网络环境（如办公环境）中的终端实现网络准入控制。我们建议在局域网络的汇聚交换机旁部署联创T-GATE安全接入网关，通过TRUNK链路与汇聚交换机相连；各接入交换机的VLAN改变原有三层终结在汇聚交换机上的方式，均通过TRUNK链路二层透传到安全接入网关设备上；终端用户通过客户端认证（如802.1X、PPPoE或WEB认证）后在安全接入网关设备上获得相应的IP地址和访问权限，实现受控的接入和访问。

　　边界网络准入控制

　　这种方式是对远程终端接入网络时的准入控制。我们建议采用如下方式，即在网络核心部署联创T-GATE安全接入网关。终端用户安装联创安全认证客户端软件，由客户端向安全接入网关发起连接请求（如L2TP隧道），通过身份和安全信息检查后在安全接入网关设备上获得相应的IP地址和访问权限，实现受控的接入和访问。

　　三、终端准入控制流程

　　通过在网络中部署安全接入网关，可以实现对用户的身份信息进行认证，对用户终端的完整性进行确认（如系统补丁、Windows版本、防病毒软件病毒库版本等），只有通过检查的终端才能够获得网络的访问权限。 用户接入控制的流程如下：

　　在部署了安全接入网关的业务承载网络中，在未通过认证的情况下，用户不能获得访问中心应用系统的权限；

　　用户使用安全代理客户端，进行身份的验证和完整性检查。用户在客户端软件中输入用户名、静态口令（或者动态口令）进行认证，安全代理客户端同时会检查用户终端系统的完整性信息；

　　客户端将用户的身份认证信息和终端完整性信息发送到安全认证网关中；

　　安全认证网关设备通过标准的Radius协议，将用户的身份认证信息和终端完整性信息提交到全网统一的准入策略管理系统，对用户身份和终端完整性进行认证和管理；

　　身份认证不通过的用户将被拒绝接入或置于隔离区；

　　身份认证通过而且终端完整性信息符合要求的用户，安全接入网关将根据用户的服务类别，为不同类型的用户分配对应的IP地址，并实现对应的访问控制策略，确保用户只能访问某些特定的应用；

　　对于身份认证通过而终端完整性信息不符合要求的用户，安全接入网关将为这些用户分配相应的IP地址和特定的访问控制策略，用户将只能获得访问安全中心服务器的权限，进行补丁的升级或漏洞的防护，避免这样的用户接入网络后对应用系统、承载网络以及其他用户造成影响；

　　用户的补丁升级或漏洞防护完成后，重新进行认证，将获得正常的访问权限。

　　用户的登录信息将被记录,提供日后的查询和审计。

　　四、方案相关组件

　　在联创终端准入控制解决方案中，除了应用T-GATE安全接入网关外，还有客户端安全代理、策略管理服务器以及桌面安全管理服务器等几个组件。这几个组件既是相互独立的产品模块，又能有机融合；通过选择相应的模块组合使用，可以提供灵活的、可升级的、完善的终端准入控制解决方案。

　　T-GATE安全接入网关：接入控制网关，具有强大的硬件转发能力和灵活的协议处理能力，主要负责提供用户接入控制、分配IP、访问控制以及数据报文路由和转发等功能；

　　客户端安全代理TA：安装在PC桌面终端的可信Agent程序，主要负责用户认证、终端安全检查、客户端修复，并且可以接受桌面安全管理中心的集中管理和监控；

　　安全策略管理系统：集强身份认证（支持双因素认证）、安全信息鉴别、统一授权、集中审计为一体，可以为终端的网络准入等应用提供集中的身份认证、安全验证、权限控制和网络接入审计等功能；

　　桌面安全管理系统：对终端的安全配置和安全运行状态进行持续的监视、统计和分析，评估PC面临的安全风险；能自动对PC的软件进行漏洞修补和安全加固，并向管理人员提供集中的查询和监控界面，对终端的状况进行及时的监视和控制；

　　客户端虚拟桌面：在结束对终端完整性检查后，替换终端进入网络前的桌面。虚拟桌面完全采用Windows桌面的机制，维持了终端用户使用习惯。通过它限制用户可操作应用程序的范围，同时它使得任何计算机都能安全地访问网络，任何敏感数据都不能泄露到会话外。从而最大程度保障了用户的工作效率和网络的安全性。

　　五、 T-GATE设备简介

　　联创终端安全接入网关T-GATE2000是基于NP（网络处理器）技术的硬件设备，既具有类似ASIC的强大性能，又能提供类似通用处理器的灵活性，实现用户的安全接入控制、认证以及相应的访问控制功能。整机提供4G双向交换能力以及6Mpps的包转发能力，提供16个FE端口及2个GBIC插槽。T-GATE2000支持的接入方式包括：WEB认证、PPPoE、802.1X以及L2TP、即插即用等。

　　另外，T-GATE2000支持双机热备功能，通过在高可靠要求的环境中部署双机，可以实现两台设备之间的流量分担和互为备份功能，提供极高的可靠性和可用性。

　　另外，T-GATE2000支持双机热备功能，通过在高可靠要求的环境中部署双机，可以实现两台设备之间的流量分担和互为备份功能，提供极高的可靠性和可用性。

　　六、案例

　　局域网安全准入控制

　　在办公等局域网环境中，为了实现终端的网络接入控制功能，可以采用T-GATE局域网安全准入控制的方案。

　　实施时可以在局域网络的汇聚交换机旁增加一台或多台T-GATE网关（可实现相互备份），通过TRUNK链路与汇聚交换机相连；各接入交换机的VLAN改变原有三层终结在汇聚交换机上的方式，均通过TRUNK链路二层透传到T-GATE上；终端用户通过客户端认证和安全检查后在安全接入网关设备上获得相应的IP地址和访问权限，实现受控的接入和访问。

　　同时，在网络中心部署一套集中的准入控制策略管理系统（提供准入策略检查）和补丁管理系统（提供补丁下载），实现全网统一的用户认证、安全策略检查和授权的功能。另外也可同时部署桌面安全管理系统实现全面持续的终端管理功能。

　　通过T-GATE的实施，可以实现连接到局域网内部的终端必须通过身份/安全的检查，满足相应要求后才能接入到网络中并按照权限访问相应的应用。

　　适用场合：移动、电信等运营商的业务支撑网络中重要的局域网，以满足萨班斯法案的对于局域网接入认证的相关控制和审计的要求。电力等企业的内部网络以及军队内部网络，满足对内部终端以及外来人员终端的准入控制。

　　应用案例：山东省移动公司的系统应用测试、解放军总参的系统应用演示；

　　广域网安全准入控制

　　针对广域网中大量的终端（如移动等运营商各个地市的终端）的安全准入控制，可以考虑采用广域网安全准入控制的方案。

　　如下所示，为了实现各个地市终端的广域准入控制，可以在各个地市网络核心增加一台或多台T-GATE安全接入网关（可实现相互备份），地市的终端用户安装联创安全认证客户端软件，由客户端向安全接入网关发起L2TP隧道的建立，通过身份和安全信息检查后在安全接入网关设备上获得相应的IP地址和访问权限，实现到省中心应用系统的受控访问。

　　同样，在全网中心部署一套集中的准入控制策略管理系统（提供准入策略检查）和补丁管理系统（提供补丁下载），实现全网统一的用户认证、安全策略检查和授权的功能。另外也可同时部署桌面安全管理系统实现全面持续的终端管理功能。

　　通过T-GATE的实施，可以实现终端在访问广域网中心的应用服务时必须通过身份/安全的检查，满足相应要求后才能通过广域认证接入并按照权限访问相应的应用。

　　适用场合：移动、电信等运营商的业务支撑网络，以满足萨班斯法案的对于终端数据操作的相关控制和审计的要求。

　　应用案例：新疆省移动公司的系统应用测试；

　　远程维护准入控制

　　针对远程的出差用户、办公用户以及维护人员的终端接入到内部业务网络，建议采用T-GATE的远程维护准入控制方案。

　　如图所示，远程的终端希望通过Internet接入到内部业务网络并拥有访问内部应用系统的权限。可以在业务网络中增加一台或多台T-GATE安全接入网关（可实现相互备份），并提供到Internet的连接。远程的终端用户安装联创安全认证客户端软件，由客户端向安全接入网关发起L2TP隧道的建立，通过身份和安全信息检查后在安全接入网关设备上获得相应的IP地址和访问权限，实现到内部网络应用系统的受控访问。

　　同样，在内网中心部署一套集中的准入控制策略管理系统（提供准入策略检查）和补丁管理系统（提供补丁下载），实现全网统一的用户认证、安全策略检查和授权的功能。

　　通过T-GATE的实施，可以实现远程终端必须通过身份/安全的检查，满足相应要求后才能接入到内部业务网络并按照权限访问相应的应用。

　　适用场合：移动、电信等运营商的业务支撑网络的远程维护/远程办公接入，以满足萨班斯法案的对于终端数据操作的相关控制和审计的要求。企业内部业务网络的远程出差人员办公接入；

　　应用案例：电信集团总公司互联星空全国中心机房，提供各厂家维护人员远程接入控制。