主動式網(wǎng)絡(luò)安全防御體系研究

摘要：本文在分析當前信息安全現(xiàn)狀的基礎(chǔ)上，結(jié)合各種傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)優(yōu)點，構(gòu)建主動式網(wǎng)絡(luò)安全體系，通過在網(wǎng)絡(luò)中部署端點準入防御系統(tǒng)，從網(wǎng)絡(luò)接入端點的安全控制入手，實現(xiàn)客戶端、接入設(shè)備、策略服務(wù)器和第三方服務(wù)器的安全聯(lián)動，有效地屏蔽病毒和非法入侵，增強網(wǎng)絡(luò)系統(tǒng)的健壯性，提高網(wǎng)絡(luò)系統(tǒng)的主動防御能力

關(guān)鍵詞：網(wǎng)絡(luò)安全；端點準入；專家系

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 23-0000-02

主動防御技術(shù)是一種新的對抗網(wǎng)絡(luò)攻擊的技術(shù)。主動防御的技術(shù)優(yōu)點在于能夠檢測未知的攻擊，并具有自學(xué)習(xí)功能，能夠適時地對網(wǎng)絡(luò)安全體系進行維護和加固，使防御技術(shù)能夠適應(yīng)攻擊技術(shù)的快速變化。主動防御技術(shù)以傳統(tǒng)的網(wǎng)絡(luò)安全保護為前提，除了包含傳統(tǒng)的防護技術(shù)與檢測技術(shù)，還包括人侵檢測技術(shù)和人侵響應(yīng)技術(shù)。

增強網(wǎng)絡(luò)自身的健壯性，能夠有效提高網(wǎng)絡(luò)抗風險能力。在有效利用防火墻、防毒墻、身份認證等防護技術(shù)的基礎(chǔ)仁，構(gòu)建端點準人防御（也稱網(wǎng)絡(luò)準入控制）系統(tǒng)，從網(wǎng)絡(luò)終端接人控制人手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全策略服務(wù)器、安全客戶端、接入設(shè)備以及第三方服務(wù)器的聯(lián)動，確保網(wǎng)絡(luò)中的每一個成員“健康”、“強壯”，對非法人侵具有很強的抵御能力、對病毒具有一定的免疫力，從而增強網(wǎng)絡(luò)系統(tǒng)的整體網(wǎng)絡(luò)安全防御能力。事”

1 構(gòu)建端點準入防御系統(tǒng)

端點準人防御是指用戶終端在接人網(wǎng)絡(luò)時，強制依據(jù)組織制定的安全策略對其安全狀態(tài)進行評估，確保只有符合安全標方能接人網(wǎng)絡(luò)并訪問相應(yīng)的應(yīng)用系統(tǒng)。安全策略能夠包括任何的系統(tǒng)或第三方軟件配置，完全視企業(yè)的需要而定，具有很強的包容性，使用端點準人控制可以有效屏蔽蠕蟲、本馬等病毒程序。華為公司提出了EDAJ解決方案，在此方案中，安全網(wǎng)絡(luò)首先對接入用戶進行身份認證，通過身份認證后對終端進行安全認證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進行安全檢查。根據(jù)檢查的結(jié)果，對用戶網(wǎng)絡(luò)進行授權(quán)和控制。

2 端點準入防御系統(tǒng)安全部件

（1）安全客戶端。安全客戶端是安裝在用戶終端上的軟件，該軟件使客戶端通過安全聯(lián)動設(shè)備與安全策略服務(wù)器相連。用于進行身份認證和安全評估，只有符合安全標準的終端才能正常訪問資源

（2）安全聯(lián)動設(shè)備。是用戶準人控制的關(guān)鍵設(shè)備，可以是交換機、路由器、無線接入點、VPN網(wǎng)關(guān)等。安全聯(lián)動設(shè)備通過標準協(xié)議與安全策略服務(wù)器聯(lián)動，并依據(jù)安全策略隔離不合法用戶，為合法用戶提供權(quán)限范圍內(nèi)的服務(wù)。

（3）安全策略服務(wù)器。是端點準人控制系統(tǒng)的核心部件，用于創(chuàng)建安全策略并將策略下發(fā)到準人控制設(shè)備。安全策略服務(wù)器具有用戶管理、安全狀態(tài)評估、安全策略管理和安全事件審汁等功能。

（4）第三方服務(wù)器。位于隔離區(qū)，用于終端進行自我修復(fù)的相關(guān)服務(wù)器，如防病毒服務(wù)器、補丁服務(wù)器、DHCP服務(wù)器，DNS服務(wù)器以及安個代理等

3 端點準入防御體系結(jié)構(gòu)

端點準入防御體系組網(wǎng)結(jié)構(gòu)匯集了多種網(wǎng)絡(luò)安全技術(shù)，如身份認證、策略管理和安全市計等技術(shù)，并 能夠結(jié)合DHCP，VLAN等常規(guī)網(wǎng)絡(luò)管理技術(shù)。在終端接人時進行身份一認證和安全檢查，根據(jù)安全策略服務(wù)器檢查結(jié)果隔離不合格終端，對接人用戶強制實施安全策略，實時監(jiān)控用戶在線行為，審計終端及網(wǎng)絡(luò)運行情況，強制違規(guī)或不合規(guī)用戶下線

3.1 準人控制

安全策略是EAD系統(tǒng)的安全基線，也是對接人終端進行安全評估的準繩。為了保證網(wǎng)絡(luò)安全，接入終端無論采用什么樣的方式接人網(wǎng)絡(luò)，都必然進行基線評估。因此，接人設(shè)備應(yīng)當具有準人控制的作用。

為了全方位地實施接人控制，必須對終端進行身份驗證。企業(yè)內(nèi)網(wǎng)接人一般選用802.1 X認證方式，通過Internet接入的駐外機構(gòu)和移動辦公用戶則使用VPN技術(shù)。

802.1 x定義了基于端日的網(wǎng)絡(luò)接人控制，802.1 x體系結(jié)構(gòu)中包含三個部分：用戶接人設(shè)備、接人控制單元和認證服務(wù)器二接入交換機（包括無線AP ）能夠?qū)崿F(xiàn)802.1 x的身份認證，終端計算機上需要安裝802.1 x客戶端軟件，認一證服務(wù)器使用RA-DI US服務(wù)器。

802.1 x端口模式起初為常關(guān)模式。用戶通過啟動客戶端軟件發(fā)送EAP報文發(fā)起802.1x認證，認證系統(tǒng)（交換機）終結(jié)EAP報文，并向認一證服務(wù)器發(fā)送Raduis報文，認證服務(wù)器驗證用戶名、密碼是否匹配，認證通過則傳送Raduis報文，告知交換機該用戶通過認證：交換機收到信息后打開與該終端的接入端日用戶通過接人設(shè)備使用DHCP協(xié)議獲取規(guī)劃的1P地址；如果驗證失敗，交換機關(guān)閉該接入端口。

認證服務(wù)器通過與策略服務(wù)器聯(lián)動，在傳送“認證通過”Raduis報文的同時，策略服務(wù)器使用第三方管理軟件向用戶下發(fā)安全策略，要求進行安全狀態(tài)認證?？蛻舳送ㄟ^第三方客戶端軟件協(xié)同安全策略服務(wù)器對合法終端的補丁版本、病毒庫版本等進行檢測，并將檢測結(jié)果上報安全策略控制器。安全策略服務(wù)器根據(jù)檢查結(jié)果控制用戶的訪問權(quán)限權(quán)。安全狀態(tài)合格的用戶將實施由安個策略服務(wù)器（如防火墻）下發(fā)的安全設(shè)置，在安全策略權(quán)限范圍內(nèi)進行網(wǎng)絡(luò)活動。安全狀態(tài)不合格的用戶被安全聯(lián)動設(shè)備隔離到隔離區(qū)。用戶可以從隔離區(qū)的病毒服務(wù)器和補丁服務(wù)器上下載操作系統(tǒng)補丁或最新病毒庫升級，完成修復(fù)并達到安全策略的要求后，用戶終端將被授予相應(yīng)的訪問權(quán)限，能夠正常訪問網(wǎng)絡(luò)。

分支機構(gòu)和移動辦公人員用于其通過公共網(wǎng)絡(luò)接入內(nèi)網(wǎng)，因此采用VPN安全接人方式。VPN是在Internet仁實時建立的安全專用虛擬網(wǎng)絡(luò)，它雖然不是真正的專用網(wǎng)絡(luò)，卻能夠通過創(chuàng)建安全加密“隧道”實現(xiàn)專用網(wǎng)絡(luò)的功能。VPN接人同樣也要接受EDA對端點的安全評估和準入控制。首先，用戶通過加密隧道接人VPN網(wǎng)關(guān)，并向認證服務(wù)器提交該用戶的身份信息，通過認證后獲取對應(yīng)的角色。然后，根據(jù)策略服務(wù)器下發(fā)的安全策略檢測自身環(huán)境，并將得到的端點狀態(tài)提交給網(wǎng)關(guān)，策略服務(wù)器根據(jù)終端狀態(tài)最終確定該用戶的訪問權(quán)限，接人用戶只能訪問適合自身安全狀態(tài)的資源，而不適合自身安全狀態(tài)的資源則被隔離。

3.2 監(jiān)控與管理

在EDA中，有集中的安全策略管理和安全事件監(jiān)控，能夠?qū)崿F(xiàn)集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理，可以根據(jù)組織內(nèi)不同的角色需要進行不同的安全配幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個性化的網(wǎng)絡(luò)安全策從而更好地規(guī)范接入用戶的網(wǎng)絡(luò)行為。

EDA支持將用戶身份與終端MAC地址、1P地址、接入端口、所屬VLAN等信息進行綁定，能夠有效預(yù)防MAC地址欺騙和DoS攻擊?？梢酝ㄟ^綁定用戶網(wǎng)關(guān)地址來防止惡意的ARP欺騙，客戶端的流量監(jiān)控功能還可以實時監(jiān)控用戶的非法流量，當出現(xiàn)異常時可以采取相應(yīng)的安全措施。

系統(tǒng)報告和監(jiān)控是EAD的重要組成部分，能夠提供狀態(tài)相符性和系統(tǒng)采取的認證措施的審核軌跡。通過流量監(jiān)控能夠即時制止用戶的非法訪問，并通過端點安全狀態(tài)報告日志，了解端點安全變化情況，提前采取措施，有效應(yīng)對潛在安全威脅。

3.3 準入控制產(chǎn)品

目前，很多大型廠商都開發(fā)了基于準入控制技術(shù)的網(wǎng)絡(luò)產(chǎn)品。如，華為公司基于“EAD”技術(shù)實現(xiàn)的“綜合訪問管理服務(wù)器（CAMS ）”管理平臺；Cisco公司的“網(wǎng)絡(luò)準人控制（NAC）”系統(tǒng)，以及Microsoft的“網(wǎng)絡(luò)接人保護（NAP）”系統(tǒng)等。這些產(chǎn)品在實際應(yīng)用中，對網(wǎng)絡(luò)安全防護與管理發(fā)揮了很大的作用

參考文獻：

[1]冷繼兵.基于主動防御的校園網(wǎng)研究與實現(xiàn)[D].西安電子科技大學(xué)，2009，06，01.

[2]王雷.主動式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[D].南京航空航天大學(xué)，2007，01，01.

[3]何珺.計算機主動式網(wǎng)絡(luò)安全監(jiān)控對策[J].軟件導(dǎo)刊，2009，07.

[作者簡介]馬喆.山西農(nóng)業(yè)大學(xué)信息學(xué)院計算機科學(xué)與技術(shù)專業(yè)技科信091班。