宝界无线准入网关产的品白皮书20140606.docVIP

宝界无线准入网关 技术白皮书 无锡宝界科技有限公司 2014年6月6日  目 录 第一章 引言 3 1.1、产品研发背景 3 1.2、无线网络的安全需求分析 4 第二章 产品简介 5 2.1、产品部署拓朴方式 5 2.2、无线用户接入流程 7 第三章 产品功能 7 3.1、全网DHCP服务 7 3.2、实名认证 8 3.3、强制安装第三方安全软件 9 3.4、非法终端扫描、阻断、审计 10 3.5、智能流量控制 12 3.6、网络应用协议过滤 13 3.7、VPN远程访问 14 3.8、防火墙功能 14 3.9、日志分析系统 15 第四章 产品优势 16 4.1、无线覆盖工程成本降低50% 16 4.2、兼容所有厂家的无线设备 16 4.3、应用准入、终端准入二合一 16 4.4、强制安装第三方安全软件 17 4.5、强化对无线入网终端的安全设置 17 4.6、安全策略对应到人 17 4.7、面向对象的中文图形化界面 17 4.8、全面日志审计 18 第五章 成功案例 18 第一章 引言 1.1、产品研发背景 随着信息技术快速发展，网络的规模越来越大，接入网络的计算机也越来越多，虽然大多数网络已经在互联网出口部署了防火墙、IPS等安全防护设施，但在内网接入层，依然采用开放式的网络结构，开放式网络犹如企业没有门卫一样，任何人都可以随意进出，不受任何检查和限制。可以想象开放式网络为恶意访问提供了入侵网络的便利条件，采用非常简单的攻击技术便可以进行网络攻击，轻则影响信息系统的正常运行，重则业务数据被窃取、篡改，引发信息安全事件。另一方面，不进行网络准入管理就不能准确掌握终端计算机的IP 等网络信息，不利于网络日常维护工作，并且一旦发生信息安全事件难于追踪审计。 针对开放式网络，如何在内部网络构建起一道安全屏障，积极主动诊断多种网络访问设备的健康性，采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权的以及有“问题”的计算机私自访问网络带来的安全隐患，这已经成为政府、金融、电信、企事业单位迫切需要解决的问题。 针对以上情况，国家相关权威机构也提出如下法令法规，明确对内网接入控制提出了相关要求。 1、《信息安全等级保护GB/T 22239-2008标准》 具备三级以上防护能力的网络对“边界完整性检查”要求： 1、应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效的阻断。 2、应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 2、《ISO27001信息安全管理体系》 ISO27001指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。 安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出接入网络的管理规范和设备要求规范。 3、《萨班斯SOX法案》 IT内控体系 萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面，其中404（内部控制的管理评估） 按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面： 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。 1.2、无线网络的安全需求分析 集中管理内网所有的无线路由器或无线AP 及时发现并阻断员工私接的无线路由器 现有的无线路由使用共享简单密码，极易泄漏 无法区分无线用户是外来访客还是内部员工，不同类型用户设置不同的网络访权限 访客无线用户只可以上互联网，但员工无线用户既能访问互联网，也能访问公司内部网络 确保无线接入用户安全性：强制安装杀毒软件、桌管软件、加密软件客户端 对无线入网终端保留入网日志 无集中管控的无线路由的危害 第二章 产品简介 宝界科技无线准入网关是一种针对企业无线网络环境的一种准入控制网关，它融合了DHCP准入控制技术，提出一套完整的网规范，实现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求同时，也有效地解决了目前各大企事业单位普遍存在的、、等一系列问题。 无线AP连接分散在多台交换机 无线AP连接集中到一台交换机 支持路由网关、透明桥接、策略路由三种方式部署 无线准入网关有一个外网口，多个有独立的具备三层管理功能的内网口 支持连接三层交换机的TRUNK口，支持在各VLAN设置独立内网子接口 所有的无线路由或AP转换成无线交换模式（不接WAN口）、设置成相同的SSID、并关闭DHCP服务； 在各内网口对应网段启用双地址池的DHCP服务，为外来访客分配隔离网段DHCP地址，网关指向准入设备；为内部员工分配