网罟安全网络接入系统

二 为什么要部署安全网络接入系统

1.1 TCP/IP协议开放的先天缺陷
黑客可以控制主机发送和接收任意数据包，这就意味着：
1) 黑客可以通过应用层数据夹带其非法数据。
2) 黑客可以利用会话层特殊字段来夹带非法数据。
3) 黑客可以利用互联层特殊字段来夹带非法数据。
4) 局域网内黑客甚至可以自定义网络接口层（以太网）以上协议来实现数据交换。

1.2传统VPN产品的不足之处
1) 设备对设备的VPN： 只保证设备与设备之间的传输安全，设备之后的接入完全开放，因此传输系统仍然存在缺陷 。
2) 软件VPN：安全的前提是操作系统和原先的传输系统是安全的。

1.3其他安全产品、解决方案的不足之处
现有很多公司的产品不是功能单一，就是有积木拼凑之嫌、功能无法联动，无法实现完美、稳定、可靠的内网（接入、传输与通信）安全的解决方案。

1.4安全网络接入系统的必要性
由以上不足可以看到，现有的内网系统是非常脆弱的、不安全的，随时可能受到非法用户的非法接入，与内网用户（可能不知情）的非法通信，造成政府部门、企事业单位不可预见的损失。

同时由于现有很多防护方案都是基于病毒、木马等的检测、查杀、防护，这些防护都是基于代码特征辅助代码运行行为的检测、查杀、防护，而不是一个完全基于行为的检测与防护。因此，制定与实施一个格、规范、不可仿冒的接入行为安全管理体制，在此基础上制定与实施一个可靠的加密传输（行为）协议，并把这一套机制构建成一个系统就是非常必要的。

三 维信网罟安全网络接入系统

1.1产品概述

针对企业网络中存在的非法接入、网络数据包窃取、伪造等方式造成敏感信息泄露等问题，维信联合科技提供了完善的内网接入安全管理方案。网罟安全网络接入系统是维信联合科技自主知识产权的新一代安全产品，采用全面的、高度混合接入控制技术，采用设备到设备的通信数据加密技术，采用从物理设备到用户的多层次网络访问控制技术，采用高度灵活的部署方式，实现了多层次、多模式共存的内网接入安全管理，达到净化内网网络环境、规范网络行为和确保内网通信安全的目的.

1.2产品架构

网罟安全网络接入系统由服务器、交换板、接入板、带认证终端软件的PC组成：

1. 服务器：完成终端用户接入认证管理、密钥管理、策略管理；
2. 交换板：完成二层网络数据交换；
3. 接入板：完成终端用户的接入管理以及网络访问控制；完成过往网络数据转发；
4. 带认证终端软件的PC：完成PC的接入认证，实现PC的通信加密。

本地服务器、交换板、接入板在一个硬件产品实现。

1.3工作原理

1．部署802.1x接入认证终端软件：在通讯网络中的终端PC上部署专用的802.1x接入认证终端软件（如果用第三方认证软件，需安装我司提供专有驱动）。
2.部署安全交换机（内嵌本地服务器、交换板、接入板）：通过web完成系列配置。
3.部署根服务器：如果需要实施集中管理，部署根服务器。由根服务器统一完成各个安全交换机的配置管理。
4.终端（用户）接入过程：

1. 终端（用户）申请使用网络；
2. 服务器验证有效性，有效则通知接入板开通网络；
3. 接入板申请并实施该终端用户的ACL网络访问控制；
4. 终端（用户）使用网络。

5.终端之间通信过程：不同终端用户发生通信，不同终端分别申请分配通信密钥并按获取到的通信密钥实施通信数据加解密.

1.4主要功能

接入管理
采用当前主流接入认证协议802.1x。能够有效支持以太网
卡、无线网卡。并实现了基于用户的认证。
数据加密
采用当前主流的加密算法，32字节的aes加密算法。
密钥管理
采用端到端的密钥管理，与不同用户通信分配不同的通信
密钥。
网络访问控制
丰富的、多层次的网络访问控制。包括用户、IP、MAC、物
理端口、服务五个不同层面。
防内部攻击
在接入板实施防arp欺骗功能，实现了针对静态IP和动态
IP的防arp欺骗。
设备管理
实现端口灵活控制。自主控制物理端口的物理打开与关闭。
网络审计
实现通用的网络数据审计外，还实现了网络异常数据阻断
功能。

1.5产品特性

网罟安全网络接入系统主要特点如下：
全面接入管理
采用多种接入控制方式，全面接管所有终端用户的接入控制，规范了网络用户的接入行为；
网络通信加密
采用端到端加密方式，保障了用户通信数据的安全性，确保只有同样完成完全接入认证的终端用户才能够识别网络数据包真实内容，确保非法第三方用户（即使已经完成安全接入认证的终端用户）无法监听其他用户之间的通信；
网络访问控制
从用户、IP、MAC、物理端口、服务五个不同层面提供了丰富的、多层次的网络访问控制方式供用户选择；
有效设备管理
采用集中设备管理与控制方式，全面接管所有终端用户的设备状态管理与控制。

四 产品优势

网罟安全网络接入系统能够有效控制终端用户接入，防止非法用户非法接入，确保网络通信数据不外泄是安全网络接入系统的基本标准。

• 提供全面、可靠的接入管理控制手段；
• 满足高性能要求，保证正常网络通信的质量；
• 具备高可靠的自身安全性，保证网络、自身设备的高可用性；
• 提供方便灵活的部署方式，丰富的系统管理能力。
  1.12点对网络加密通信（静态密钥+单边网络加密模式）
  采用一块安全网卡与管理服务器（安全交换机）形成点对网络加密通信隧道，远端安全网卡向管理服务器（安全交换机）申请接入权限及密钥，接收端管理服务器（安全交换机）与接收端其他安全网卡组成安全局域网。从而将远端调度设备安全网卡通过互联网将加密过的数据传送到管理服务器（安全交换机），再由管理服务器（安全交换机）发送给指定的安全局域网内终端，从而完成网络加密通信。适用于较偏远地区或小型设备网络与调度中心调度使用。
  
  1.13网络对网络加密通信（动态密钥模式）
  采用管理服务器（安全网交换机）与管理服务器（安全交换机）形成网络对网络加密通信隧道，两端管理服务器（安全交换机）互相交换接入权限及密钥，从而使管理服务器（安全交换机）与其他安全网卡组成安全局域网，远端调度设备安全局域网通过接入的管理服务器（安全交换机）将加密数据发送到互联网，并通过互联网将加密过的数据传送到对端管理服务器（安全交换机），再由对端管理服务器（安全交换机）发送给指定的安全局域网内调度终端，从而完成网络加密通信。适用于各种类型的网络与调度中心调度使用。
  
  1.2混合加密通信方案
  以上几种加密通信模式的组合。
  
  以下服务器区中，根据实际情况，可以合并为一个区，也就是说一个服务器区可以管辖多个密算区。
  
  
  

  五 典型应用

说明：
上图例示部署两个加密子网、一个非加密子网的网络拓扑图。
G0到G5均为千兆口。G0为内联口。G5为管理口。G1到G4为可配置口。

1. 同一加密子网互联为直联，如图中加密子网A中两个系统的GE1口直联；
2. 系统访问外网通过G3口；
3. G2口实现不同加密网网间通信；
4. GE5为管理系统的管理口，如图中所有系统的管理口通过交换机互联，交换管理数据。
   

六 结论

　　目前，网络安全已成为各企业组织所面临的共同问题，各种病毒感染、黑客攻击、内部攻击和系统漏洞频繁出现，网络变得非常脆弱，系统容易瘫痪，重要信息泄密，给企业带来了巨大损失。而传统的安全技术和解决方案无法对网络进行全方位的防护，如终端设备随意接入、防火墙和边界设备容易穿透等，传统的方案已经无法解决这些存在的问题。

　　网罟安全网络接入系统从终端接入认证加密管理、网络通讯加密、网络准入控制等多个层次构建一个简单有效的网络安全保障体系，确保企业网络安全

七 重点行业用户与应用范围

• 电力：电力系统内部办公管理网络；
• 煤炭与冶金：煤炭与冶金系统内部办公管理网络；
• 石油：石油化工办公管理网络；
• 交通：铁路调度与办公网络；城市交通控制与办公管理网络；
• 煤气与自来水供应：（天然气）煤气、自来水供应与调度网络、管理办公网络；
• 各类大中型具有保密要求的企业、行业的内部网络；
• 政府及特殊部门内部安全网络。