【8、终端准入】天擎网络安全准入系统 NACV60_强制合规（NAC）技术白皮书_V10-精品文档整理-精品文档资料.docx

NAC技术白皮书文档编号 密级 内部 版本编号 v3.0日期 2019.5.01目 录1产品详述31.1终端安全准入模块31.1.1终端安全准入模块设计目标/产品价值31.1.2终端安全准入模块原理介绍41.1.3终端安全准入模块组成与架构81.1.4终端安全准入模块数据流程图111.1.5终端安全准入模块性能说明191.1.6终端安全准入模块通信模型说明211.1.7终端安全准入模块特点与优势说明231.1.8终端安全准入模块详细功能介绍241 产品详述1.1 终端安全准入模块360天擎终端准入控制是奇安信研发的新一代准入控制系统（NAC），主要为企事业单位解决入网安全合规性要求，实现用户和设备的网络实名制认证管理、网络边界安全防护管理、设备接入即时发现和定位管理，核心业务访问准入等问题。用于防止企业网络资源不受设备接入所引起的各种威胁，在有效管理用户接入网络行为的同时，也达到了规范化地管理计算机终端的目的。产品具备从接入发现、用户注册、认证授权、安全检查、隔离修复、访问控制 “一站式”的全部准入控制流程。并且支持多种认证技术，多因素认证凭证，多条件绑定机制，支持混合认证模式，多层防护体系，适应各种复杂网络环境。产品具备可扩展多种第三方认证源，保证认证入网的灵活性。系统提出三不原则，即：不升级用户网络、不改变网络结构、不造成单点故障。最大化的支持企业内部网络准入控制需求，从而使内部网络管理变得安全、透明、可控，真在做到了“违规不入网，入网必合规”的信息安全管理要求。1.1.1 终端安全准入模块设计目标/产品价值目前大多数企业构建的还是开放式的网络，过去在Interner接入安全和服务器安全领域投入了大量的资金，虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备，但是网络安全事件依然层出不穷；虽然在终端上安装了杀毒软件，但是病毒感染还是泛滥成灾；为什么？企业内部网络接入层采用开放式的网络架构，这种开放网络给企业业务开展确实能够带来便捷，但也有严重的安全风险，随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全，因此需要构建新一代的内部网络准入安全防御体系。权威调查数据表明“网络堡垒”往往是从内部攻破，开放式的网络使得企业内部任何一个人都能够通过便携设备随意接入企业核心业务网络，能够访问企业的各种网络资源，获取他们感兴趣的数据。开放式的网络犹如企业没有门卫一样，任何人都可以随便进出，不受到任何检查和限制。可以想象这样的开放式网络为恶意访问提供了入侵的便利条件，采用非常简单的攻击技术便可造成巨大的破坏，从而不但给企业带来巨大的经济损失，更有可能对企业造成法律上的风险。还有企业网络内部计算机如果安全状况没有一个标准的基准线，对不安全设备如果不能采取有效的隔离和修复措施，漏洞病毒的防护应对往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，数据安全无法保证，工作也无法正常进行，终端安全状况的不统一，也弄的维护人员筋疲力尽，工作效率得不到提高。1.1.2 终端安全准入模块原理介绍1.1.2.1 应用准入功能应用准入模块是保护网络核心区域不受外部非法访问的准入方案，采用旁路部署到核心交换中，通过监听保护区域的网络数据流，并做连接跟踪，对企业内网数据流进行合法性检查并对非法连接进行阻断和控制。1.1.2.2 核心网络数据跟踪旁路镜像网络核心交换中的流量，根据IP过滤出保护区区域中的访问流量，并跟踪连接，解析应用层协议。本功能模块由抓包引擎、连接跟踪和协议解析三个模块构成。1. 抓包引擎：基于网卡混杂模式，零拷贝抓包。2. 连接跟踪：负责TCP连接跟踪，跟踪TCP三次握手过程。3. 协议解析：解析应用层协议。1.1.2.3 网络行为管控对非法网络连接进行阻断，对http协议进行重定向到预定页面。说明通过连接跟踪，对非法访问核心区域的连接进行会话劫持，如果连接属于http请求则重定向到终端下载页面或portal页面，否则直接断开连接。1.1.2.4 终端代理打点联动终端发送保活信息或服务器终端列表对应关系，以维护合法身份。说明安装了代理的终端通过开放端口，发送心跳包给服务器，并上报终端相关信息，包括MAC、IP、主机名等，服务器以此信息作为合法性验证条件，当安装了天擎客户端的终端直接信任不阻断。1.1.2.5 终端漫游打点支持Client天擎打点决策调度中心NAC-AA工作地子网打点漫游决策表ClientNAC-BB工作地子网获取当前打点配置向NAC-A打点网络位置发生变化重新向控制中心请求新的目标NAC服务器配置计算并确认新的打点配置向NAC-B打点1.1.2.6 网络准入功能网络准入模块是通过标准802.1x协议，在网络接入层做准入认证、根据认证授权情况确定是否能访问网络，802.1X认证可提供端口级的准入认证方案。 802.1X的认证的最终目的就是确定交换机端口是否可用，对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过1.1.2.7 基本原理 工作流程图IEEE 802.1x定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。为了在点到点链路上建立通信，在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后，在进入网络层协议之前，PPP提供一个可选的认证阶段。而EAPOL就是PPP的一个可扩展的认证协议。1.1.2.8 通讯组成802.1x接入认证系统主要由用户认证客户端，接入交换机NAS和radius服务器3个部分组成，其中用户客户端与NAS之间使用802.1x协议进行通讯，NAS与radius认证服务器之间采用Radius协议进行通讯，如下图所示：1.1.2.9 安全检查准入控制系统可持续监视终端安全，能快速发现接入网络计算机终端的安全状况，并利用其本地防火墙隔离管控技术立即将这个终端与网络上的其它设备隔离起来，只能访问修复区地址，并引导进行修复，及时提供安全检查日志信息和报表。安全检查模板配置中心，管理者可定义多种安全检查策略，并提供入网检查和定时检查多种检查机制，确保接入企业内部网络的终端是安全可信的。可支持的安全检查项：1、防火墙是否启用检查、2、系统空密码检查、3、U盘自启动是否启用检查、4、5、远程桌面是否开启检查、6、是否开启文件共享检查、7、Guest账号是否开启检查、8、是否设置了IE代理检查9、IP获取方式检查、10、是否登录域检查、11、服务黑白名单检查、12、进程黑白名单检查、13、软件黑白名单检查、14、杀毒软件检查、15、外联能力检查、16、补丁检查、17、注册表检查、18、关键位置文件检查、19、操作系统版本检查、20、是否加入域、21、账号活跃检查1.1.3 终端安全准入模块组成与架构1.1.3.1 产品整体架构集中管控中心数据反馈中心NACNAC感知与合规强制节点组NACNAC感知与合规强制节点组边界状态感知合规策略ClientClient认证与合规客户端架构图1.1.3.2 服务器端架构SecureOS+Kernel策略同步认证源适配中心数据上报流量捕捉组件配置接口应用准入逻辑控制中心应用准入执行认证逻辑处理中心Web/portal认证请求处理服务802.1x认证请求处理服务可用性管理消息队列、数据持久化基础支撑服务架构图1.1.3.3 认证服务架构1x认证服务Web认证请求认证与授权控制中心localLdapEmailhttpother802.1Xhttp认证Webportal认证认证请求者SwitchAP网络接入点应用服务控制点资源控制点认证服务外部认证源认证源网络网络网络架构图1.1.3.4 组件说明组件组件功能描述硬件平台X86架构服务器/支持虚拟机平台Linux osCentos6.5 centos7 ubuntu等要求内核支持docker容器流量捕捉组件接收交换机旁路镜像流量，识别访问保护区的会话应用准入逻辑控制中心检查访问端ip范围是否在控制范围，检查流程符合程度是否为例外放行设备，根据状态决策出处理措施：放行、阻断、重定向到客户端安装界面/认证界面应用准入执行执行阻断、重定向，向远端和目标端发送协议阻断或者冲定性指令Web/portal认证请求处理服务接收web浏览器发起的portal认证请求，接收来自认证客户端的http应用认证请求802.1x认证请求处理接收交换机无线ap的认证和记账请求，完成eap-md5 eap-nac认证，可以分配vlan。支持用户名和主机模式认证，支持主机快速认证，支持无客户端代理认证消息队列、数据持久化基础支撑服务内部组件的异步消息处理服务，并完成队列数据和应用数据的持久化服务可用性管理管理两个设备的可用性，支持基于应用状态的可用性检测策略同步从天擎管控中心同步用户、设备配置、应用配置、交换机配置、设备配置、网路配置数据上报向天擎管控中心汇报设备状态数据、性能数据、应用业务数据例如认证日志、认证会话配置接口接收天擎控制中心的实时查询和控制指令，执行控制命令认证源适配中心根据设定的认证源类型进行认证源的适配和热备管理。接收来自web方式和radius的认证请求，支持本地和多认证源，例如：ldap服务器 email服务器 http认证服务器，支持例外放行和会话缓存1.1.3.5 客户端架构天擎小助手基础框架配置同步插件认证小助手服务组件认证客户端交互界面合规检查自助界面合规检查服务与修复组件网络驱动操作系统集成组件应用准入打点联动插件架构图1.1.3.5.1 组件说明组件组件功能描述天擎客户端小助手客户端基础服务，完成客户端模块的加载/升级/卸载等服务，提供实时消息推送服务，配置同步与转发，数据上传认证小助手服务组件完成802.1x认证和http web认证，支持界面定制和隐藏，支持立刻下线，支持客户端认证失败详细消息展示。支持静默认证认证客户端界面接收用户的认证信息输入、界面定制、显示进度、结果和错误提示、查看并调整认证参数配置联动插件完成认证后联动任务例如执行定义的程序，向第三方同步状态信息集成组件集成windows登录认证配置同步插件向客户端小助手订阅配置消息，接收其推送过来的配置更新信息应用准人打点插件根据管理员的打点配置信息定期向nac控制器同步客户端活动信息合规检查自助界面显示合规检查的进度与结果信息，查看合规检查报告，完成自助违规项的修复合规检查服务与修复组件完成合规检查项目的检查与自动修复，将检查结果信息同步给用户端界面和管理员控制台1.1.4 终端安全准入模块数据流程图1.1.4.1 应用准入部署及数据流采用旁路部署到核心交换中，通过监听保护区域的网络数据流，并做连接跟踪，对企业内网数据流进行合法性检查并对非法连接进行阻断和控制。 部署数据流程图1.1.4.1.1 准入过程未安装代理的客户端或未认证的终端PC，访问核心网络中受保护区域时，TCP连接会被直接阻断，http请求被重定向到终端代理下载页面或portal认证页面。 终端认证通过或下载并安装了终端代理后，可以正常访问相关页面和服务。下次登录时只要不卸载终端代理，就可以一直访问相关服务。1.1.4.1.2 工作流程成功否有效流程选择否认证+强制无处置应用流量捕获用户认证安装天擎主机强制失败用户认证访问保护区需要控制打点在线Tcp连接Http连接否否重置重定向1.1.4.1.2.1 流程一功能：只有安装天擎客户端的PC才有权限访问受保护服务器。1. 用户访问受保护服务器打开终端分发页面。2. 点击链接，下载并安装天擎客户端，之后用户PC可正常访问受保护服务器。1.1.4.1.2.2 流程二功能：合法用户经过portal认证或用户注册，下载并安装天擎客户端后才能访问受保护服务器（注册用户需经管理员审批确认或自动审批确认）1客户PC访问受保护服务器，打开认证/注册页面。2. 注册用户填写用户真实信息并提交管理员确认身份合法。3. 经管理员确认后，用户再次访问受保护服务器，打开下载天擎客户端页面，下载并安装，之后用户可正常访问受保护服务器。1.1.4.1.2.3 流程三功能：合法用户经过portal认证或用户注册，可直接访问受保护服务器（注册用户需经管理员审批确认或自动审批确认）1. 客户PC访问受保护服务器，重定向到认证页面，具有合法身份用户认证成功后可以直接访问受保护服务器。2. 注册用户填写用户真实信息并提交，管理员确认后并认证可以访问受保护服务器。1.1.4.2 网络准入部署及数据流网络准入模块是通过标准802.1x协议，在网络接入层做准入认证、根据认证授权情况确定是否能访问网络，并进行合规性检查，根据检查结果下发网络访问权限，802.1X认证可提供端口级的强准入认证方案，并支持认证授权、安全检查、隔离修复、访问控制 “一站式”的流程全路程的入网控制。 部署数据流程图1.1.4.2.1 准入过程当终端安装了360认证小助手后，入网前会弹出认证界面，输入用户名口令后，如果认证成功，可以正常网络访问，如果设置了合规性检查策略，则进行合规性检查。如果检查通过，就进入正常业务网络；否则进入修复区，在修复中，终端只可以访问修复服务器。处在修复区的终端，如果修复完成后，可以正常访问工作区网络。1.1.4.2.2 工作流程在用户接入层交换机中配置802.1x，把认证服务器指向NAC，NAC接收来自终端的认证请求，并将认证结果下发给交换机，确定是否放行。本模块包括用户鉴定、认证服务和决策模块三个部分。802.1xhttp认证认证请求者认证服务/认证中心用户鉴定Switch资源控制点用户认证与授权中心用户与令牌透明转发合规鉴权主机合规信息结果反馈授权结果1.认证服务/认证中心：负责监听终端发送过来的认证请求，并将认证信息转发用户鉴定模块。2.用户鉴定：负责对用户有效性进行鉴别，并将鉴别结果转发决策模块3.合规鉴权：负责决策出最终用户的网络行为、权限等。1.1.4.3 终端安全合规检查对终端做合规性安全检查，根据检查策略模板，对不合规的终端进行ACL本地防火墙策略隔离，并提供修复或修复向导，修复成功后进入正常工作区。Skylar Client天擎安全管控中心安检策略插件合规安检服务安检用户端界面修复处置部署数据流程图 向客户端下发合规检查项目 客户端转发给安检策略插件 安检策略插件通知合规检查服务进行合规项目的检查 向用户端界面展示合规检查的进度和结果 将检查结果转发给客户端 客户端将安检结果上传至控制中心向管理员展示合规检查结果 根据合规处置定义进行自动修复和网络隔离处置1.1.4.3.1 终端合规检查过程服务器下发检查策略，策略包括检查项和对应的参数，终端解析服务下发策略，并根据策略中的检查项收集相关信息，把最终结果上报给服务器，服务器通过决策模块来判断该终端是否合规从而分配相应的网络访问权限。1.1.4.3.2 认证和合规检查整体工作流程开机入网输入信息身份认证安全检查检查结果进度提示失败提示成功失败1.1.4.3.3 隔离和修复工作流程开机/认证安全检查修复区隔离修复进入工作区违规合规复检说明：定期检查在后台执行，成功无界面提示，失败隔离后弹出安全结果界面提供入网检查和定时检查机制。提供多修复区定义。提供关键项隔离配置。部分检查项客户端提供一键修复功能，其他检查项会提示修复向导。1.1.5 终端安全准入模块性能说明1、802.1X压力性能说明测试环境：Nac： Xeon E5-2630 2.30GHz *4核心/8G mem/1GE NIC 软件版本:radiusd/auth_center20150108调优版压测客户机：（Xeon E5-2630 *24核心/8G mem/1GE NIC）*4台 压测软件：基于freeradius-radeapclient软件修改，支持多机多线程分布式测试测试方法：使用多个测试机模拟并发100个NAS循环无间隔发送radius eap-md5请求，每隔3秒统计请求速率及请求成功率，Access-Request timeout设置为10s,测试时长30分钟。 测试结果：NAC 30分钟平均处理请求能力250qps,请求失败率11%，失败原因分两类，一是明确收到NAC的EAP-Code = Failure应答，二是Access-Request timeout。NAC压测过程中，cpu平均利用率60%,在NAC的4个核心占用较平均。2、portal压力性能说明测试环境：portal_http_monitor物理机有3个虚拟网卡，eth0用来管理，eth1做监听口，eth2用于抓包验证portal发出的redirect报文portal_send_packet物理机有发包测试程序使用2个口，eth0用来管理，eth1用于发包；环境描述：portal_http_monitor物理机安装centos6.5； portal_send_packet物理机安装centos6.5； portal_http_monitor物理机中有http_monitor程序; portal_send_packet物理机有发包测试程序.测试方法：发送request命令tcpreplay -K -p 14000 -l 1400000 -i eth1 /root/http.pcap测试时按需修改几个参数-p是pps发送速度，-l是发包总数，-i是发包接口测试环境是在portal_http_monitor物理机的eth2口通过tcpdump -nni eth2 src host 172.27.31.33 and dst host 172.27.31.61 and tcp port 80 > /dev/null 抓包来统计redirect包数量的，判断是否丢包的条件是在一轮测试中，tcpdump抓到了与tcpreplay发送的相同数量的报文。多监听口测试环境，可以配置portal_http_monitor物理机增加4块网卡，这些网卡都配置在一个交换网络内，4个portal_send_packet物理机中的发包口也在这个交换网络内，所以portal_send_packet物理机发的包对应的portal_http_monitor物理机监听口能收到测试结果（研发测试）单监听口测试可以达到14000pps（包转发率）多监听口测试可以达到4000pps （包转发率）1.1.6 终端安全准入模块通信模型说明1.1.6.1 网络准入通信流程1.1.6.2 应用准入通信流程1.1.6.3 接入发现通信流程1.1.6.4 安检通信流程Client API天擎控制台数据库消息队列消息处理策略数据S认证安检修复隔离C1.1.7 终端安全准入模块特点与优势说明1.1.7.1.1 应用准入方案特点(1) 基于标准旁路部署，对用户网络没有任何影响(2) 基于自有旁路重定向技术，方便自动分发客户端(3) 准入过程不会对用户网络造成任何影响(4) 服务器宕机后，不影响用户正常业务访问(5) 部署简单，满足多种场景，维护方便。(6) 支持第三方LDAP、AD和EMAIL服务器认证(7) 支持无客户端准入方式1.1.7.1.2 网络准入方案特点(1) 采用标准802.1x，对网络设备兼容性比较好，保护了客户的既有投资。(2) 提供端口级的网络准入方案，入网安全性高。(3) 提供多种第三方服务器联动认证能力，适应多种网络。(4) 本方案提供逃生机制，确保非正常情况下有效逃生措施。1.1.8 终端安全准入模块详细功能介绍1.1.1 应用准入应用准入是一种网关准入防护技术，目的是防止非法终端访问企业核心区域资源，规范终端入网流程，保障入网终端的安全可信，结合终端的合规检查，可满足企业入网的合规性管理要求。强制合规（NAC）设备引擎采用旁路部署，通过流监听来发现和评估哪些终端入网是否符合遵从条件，判断哪些终端是否允许安全访问企业核心资源，不符合会被自动拦截要求认证或安装客户端才能进行访问，并可配置入网安全检查策略，不符合进行隔离和修复，达到合规入网的管理规范要求，这种方式的优点在于无需和交换机进行联动，避免交换机管理和配置的复杂性，终端私拉乱接带来的绕过可能性。此轻量级的准入方案，部署简单，上线快，对环境依赖较小，风险和故障点相对较小。终端的安全防护的一切要素在于安全监测客户端的存在，如果没有安全客户端等于脱离管理，存在重大的安全隐患，终端变成裸奔状态，非可信状态。强制合规（NAC）另一方案，是和天擎终端协同联动，检测入网访问的终端是否安装终端防护点，达到入网遵从条件，可提高客户端的部署效率，防止天擎的卸载和去化率过高，保障入网终端是在安全可控范围内，防止无保护，存在安全隐患的终端访问企业的核心资源，配置合规检查策略也可实现更加细粒度的入网合规要求。优势特点：Ø 客户端部署方便简单，提供自动式客户端引导部署流程，使大面积部署天擎变的高效和快速Ø 保证天擎的安装覆盖率和去化率，保障入网终端是在安全可控范围内，规范终端安全Ø 保护核心服务器的访问安全，需认证和安检才能访问Ø 规范终端入网流程，入网安全可信，满足企业入网的合规性管理要求Ø 旁路部署简单，轻量级的准入方案，部署简单，上线快，对环境依赖较小，风险和故障点相对较小。1.1.2 Web Portal认证Web Portal认证方案是保护网络核心区域不受外部非法访问的认证技术方案，采用旁路部署，通过监听保护区域的网络数据流，并做连接跟踪，对企业内网数据流进行合法性检测并对非法连接进行阻断和控制，保护核心区域访问的安全。它基于用户核心业务保护概念，对非法访问用户核心资源进行访问限制，确认身份的合法后才能正常访问。 支持多种入网流程，用户可以根据需求灵活选择Ø 用户经过portal认证/用户注册，可直接访问受保护服务器，注册用户需经管理员审批确认或自动审批确认Ø 用户经过portal认证/用户注册，下载并安装天擎客户端后才能访问受保护服务器，注册用户需经管理员审批确认或自动审批确认1.1.3 802.1x接入认证强制合规(NAC)的802.1接入认证是通过标准802.1x协议，在网络接入层做准入认证、根据认证授权情况确定是否能访问网络，支持动态VLAN的下发，可绑定多种认证因素实现强认证管理，结合入网合规性检查策略，根据合规性下发网络访问权限，802.1x认证可提供端口级的强准入认证方案，并支持认证授权、合规检查、隔离修复、访问控制 “一站式”的全流程接入管理。802.1x是联动交换机进行EAP认证，最终目的就是确定交换机端口是否可以通讯，对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”状态，此时只允许802.1X的认证报文EAPOL通过，此认证技术方案兼容国内外大多数常用交换机，支持有线和无线网络环境下的接入认证。优势特点：Ø 支持多种认证源联动认证，AD、LDAP、Email、HTTP第三认证源无缝联动认证Ø 端口级的入网控制强度，适应强入网控制需求Ø 支持复杂网络环境的认证，支持有线、无线、手持终端、HUB环境的入网认证Ø 支持多种认证绑定控制策略，多条件、多角色绑定认证、账号有限期、在线数量限制Ø 支持多种认证方式，账号、主机、MAC认证、快速认证Ø 支持多种逃生方式，双机热备HA、冷备、一键逃生、第三方服务器异常自动放行、认证源缓存机制1.1.4 MAB Mac认证企业用户网络中存在大量的哑终端设备，如：网络打印机、视频会议系统、IP网络电话等设备，如何保证接入是否合法？如何进行接入的有效控制？对于此类不能安装客户端的哑终端设备需要合法入网时可采用此方案部署。适应企业大量分散哑终端设备的入网控制，VIP终端的放行等，如：网络打印机、网络电话等，防止非法设备接入企业网络，造成安全隐患。其采用联动交换机的MAC认证转发特性，将哑终端的MAC地址通过交换机转发至NAC服务器进行认证，NAC判断设备是否在白名单库中，如在白名单中进行自动放行，否则禁止接入网络，可支持同类型哑终端设备的快速批量添加，减少添加和运维工作量。1.1.5 入网合规检查天擎合规检查策略会检测终端入网安全状态，能快速定位发现入网计算机终端的安全合规情况，并利用其终端ACL防火墙隔离机制立即将这个设备与网络上的其它设备隔离起来，只能够访问自定义的隔离修复区或修复服务器，同时依照策略进行引导式修复或一键修复。对于已确认合规终端，也可调用周期监测或定时监测引擎，对该终端的安全状态进行多次评估，如发现运行阶段又不符合安全检查策略，进行再次隔离或提示，这种具有安全隐患的终端禁止其访问企业核心资源，保证入网终端的安全基线是标准的、可控制的，可修复的，并提供一系列入网安全状况统计和终端合规性详情等报告。入网合规策略支持多种灵活的处置方式，可只提示不隔离，提示并隔离，手动隔离等多种违规处置手段，适应不同入网强度需求。在天擎安全检查策略配置中心，管理者可轻松定义安全检查策略，确保入网访问的终端是安全可信的，天擎安全检查策略中心提供多种安全检查机制，并不断进行安检库的维护和更新。 支持多种入网合规检查策略，全面隔离“危险”终端1、 防火墙是否启用检查2、 系统空密码检查3、 U盘是否开自动启动检查4、 远程桌面是否开启检查5、 文件共享是否开启检查6、 Guest账号是否开启检查7、 IE代理是否开启检查8、 IP获取方式检查9、 是否登录域检查10、 服务黑白名单检查 11、 进程黑白名单检查12、 软件黑白名单检查13、 杀毒软件检查 14、 外联访问能力检查15、 补丁检查，检查补丁完整性16、 注册表检查，检查注册表关键值是否存在17、 关键位置文件检查，检查指定路径文件存在性18、 操作系统检查19、是否加入域检查20、文件共享使用权限检查21、账号活跃检查 支持入网合规检查全流程管理，支持认证检查、入网检查、周期检查、定时检查、失败提示/隔离、手动隔离、修复区定义、一键修复、引导修复等入网合规检查流程，灵活满足多种强度入网合规性策略。1.1.6 访客注册申请企业有很多外包人员或访客，如何确保这些人的接入是否合法呢？资源的访问权限如何控制？提供访客入网的管理，访客可自注册账号通过管理员授权后，才可访问企业资源，支持访客用户注册申请、访客认证、用户审批流程，经管理员审批或系统自动审批后才能入网访问，审批结果可邮件通知用户。1.1.7 第三方认证源联动当前企业网络结构复杂，账号服务器多样化，如何保证和这些服务器实现联动，统一认证管理？产品在网络适应性上提出兼容多种认证源的认证方式，支持本地用户、AD认证、LDAP认证、Email认证、Http认证适应用户不同网络环境，满足用户实名制认证、集中统一管理的入网需求。1.1.8 安全管理与接入访问控制利用天擎强制合规组件的认证授权、入网动态检测和合规检查策略管理，可针对接入用户和终端进行网络访问控制功能，可实现轻、中、高级别的准入控制效果。u 不符合入网合规策略的计算机终端进行隔离，并友好提示，提供向导式的安全修复指引。u 拦截可疑的计算机终端或设备、恶意进入用户，支持强制下线和账号锁定。u 核心区域的访问隔离，接入层边界的访问隔离、终端层面的访问隔离，可实现轻、中、高级别的准入控制。u 对接入用户进行动态VLAN的分配管理，有效的对网络访问权限进行控制。u 终端防火墙ACL控制策略可对不同安全级别的终端进行细粒度的隔离访问控制，根据安全检查策略进行修复区隔离。1.1.9 认证绑定管理支持多种条件绑定认证，即用户和终端、交换机、VLAN、交换机端口等进行绑定认证、提高入网安全强度，此绑定机制适应于安装客户端的802.1x认证方式。并可设置用户账号的入网有限期控制和账号在线认证数量限制等，达到入网认证的强管理。当认证的同时需要关联某个执行程序，也可配置关联路径进行认证后的联动执行。1.1.10 动态在线连接及强制下线支持认证用户在线状态详情查看，在线时长，让管理员实时掌握用户接入网络情况，并支持用户违规强制下线和账号锁定，确保具有安全隐患的接入终端对网络不造成影响。强制合规（NAC）对用户访问网络资源可使用的时间进行动态计算，实时查看用户在线时长和剩余时间，对用户的入网情况进行跟踪和审计。 1.1.11 用户管理系统除具有和多种第三方认证源联动认证外，还具有本地用户管理库系统，支持账号的有效期管理、可在线用户数量限制、用户认证后VLAN的动态切换、用户自注册和审批流程、密码重置等管理功能，并支持LDAP/AD服务器的组织架构和用户的导入和更新、用户和组织映射关系导入等。1.1.12 设备例外管理企业用户网络中存在大量的哑终端设备，如：网络打印机、视频会议系统等设备，并分散在各地，而企业网络在透明状态，如何保证这些哑终端接入网络是安全可控的呢？系统提供设备的白名单管理或特殊通讯端口放行，当添加到白名单的合法设备或特殊通讯端口可以直接接入网络，反之非法设备不允许接入，此方式可适应于多种认证技术方式，如：Portal和802.1X认证方式都可支持。1.1.13 强制隔离用户正常的802.1x认证成功后，如果认证会话没有过期网络会持续可用，产品专有的认证客户端可以实时接收认证服务器的控制指令，管理员可以在任何时候强制在线的用户和终端下线、注销当前登录的网络，确保非正常情况下可对终端入网进行控制和强制隔离处理。1.1.14 主机身份识别系统支持主机快速认证方式，提供开机即入网，认证过程后台执行，在不影响用户日常习惯体验上又达到了安全入网的目的，天擎准入的主机身份主要是根据终端的MID唯一标识符、作为产生主机身份算法的因子，安全强度大于传统的MAC方式认证，可避免用户更改mac地址来伪造其他主机身份绕过准入控制的缺陷。主机方式认证在确保安全性的同时又达到了快速接入网络的需求，此方案主要适用于没有统一认证源的大型企业用户。1.1.15 接入和安检日志报表系统支持详尽的接入认证和安全检查日志报表功能，可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计，并可形成报表查询和导出，管理员一目了然，管理员可通过数据全方位的追溯和分析终端接入和安全状态。系统提供对接入认证终端的认证时间、 用户名、 接入计算机名、 IP、 MAC、 组织、 接入交换机、 端口、 认证状态、 用户类型、 认证详情等接入日志信息。安全检查支持计算机名、 IP、 组织、 检查时间、 模板名称、 检查项、 违规项、 入网隔离、 详情等安全检查信息，提供可按日志详情、按分组统计、按违规项统计、违规次数统计等多种安全检查统计分析。