網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)助力企業(yè)網(wǎng)絡(luò)安全管理

咸國明，張 景，黃 林

（新疆油田公司數(shù)據(jù)公司，新疆 克拉瑪依 834000）

0 引言

在網(wǎng)絡(luò)安全管理過程中，部分企業(yè)對企業(yè)內(nèi)網(wǎng)與終端接入之間的控制工作缺乏重視，未能針對性地檢查和限制終端用戶在內(nèi)網(wǎng)中的訪問操作，配置的殺毒軟件、防火墻系統(tǒng)等存在較多薄弱點(diǎn)，導(dǎo)致內(nèi)網(wǎng)極易在終端感染病毒木馬的情況下遭到入侵，進(jìn)而對企業(yè)內(nèi)網(wǎng)的安全可靠性產(chǎn)生嚴(yán)重影響。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以借助所設(shè)置的準(zhǔn)入策略認(rèn)證終端用戶身份，檢查確認(rèn)用戶行為、終端狀態(tài)等，能夠有效實(shí)現(xiàn)對不安全終端或非法用戶的隔離阻斷，對于增強(qiáng)企業(yè)網(wǎng)絡(luò)安全可靠性具有積極意義。

1 企業(yè)網(wǎng)絡(luò)安全管理常見問題

1.1 未能有效管控接入終端

部分企業(yè)對內(nèi)網(wǎng)接入終端缺乏有效管控，所應(yīng)用的動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）網(wǎng)絡(luò)能夠?yàn)閱T工筆記本電腦等設(shè)備的接入提供便利，使員工攜帶的終端與企業(yè)內(nèi)網(wǎng)設(shè)備接入后能夠直接使用內(nèi)網(wǎng)，但相關(guān)終端在缺乏有效管控的情況下，會(huì)導(dǎo)致內(nèi)網(wǎng)存在嚴(yán)重的安全隱患［1］。若內(nèi)網(wǎng)終端因此受到病毒感染，其相關(guān)聯(lián)的終端設(shè)備也會(huì)受到影響，最終會(huì)使企業(yè)各類網(wǎng)絡(luò)系統(tǒng)的應(yīng)用以及相關(guān)數(shù)據(jù)的安全性受到威脅。

1.2 云平臺(tái)相關(guān)技術(shù)存在隱患，部分終端安全防護(hù)軟件更新不及時(shí)

云平臺(tái)、云桌面是現(xiàn)階段企業(yè)應(yīng)用較為廣泛的技術(shù)，這些技術(shù)雖然能夠有效提高員工的工作效率，但也給企業(yè)網(wǎng)絡(luò)安全管理帶來較大風(fēng)險(xiǎn)。由于具有較強(qiáng)的兼容性和工作效率，云平臺(tái)和云桌面在企業(yè)中的應(yīng)用較為廣泛，當(dāng)企業(yè)某臺(tái)終端設(shè)備出現(xiàn)病毒感染問題時(shí)，病毒能夠通過云平臺(tái)在更短的時(shí)間內(nèi)進(jìn)行大范圍的傳播。同時(shí)，企業(yè)終端系統(tǒng)在更新?lián)Q代過程中容易因系統(tǒng)漏洞遭到木馬病毒的攻擊。為應(yīng)對安全風(fēng)險(xiǎn)，企業(yè)通常采取安裝殺毒軟件的方式進(jìn)行防護(hù)，然而部分企業(yè)員工對病毒庫、安全軟件的更新較為滯后，在安全防護(hù)軟件更新不及時(shí)的情況下，員工安裝不安全的軟件更容易引發(fā)網(wǎng)絡(luò)安全問題。此外，部分員工對計(jì)算機(jī)系統(tǒng)的掌握能力不足，未能從服務(wù)管理、系統(tǒng)安全、賬戶密碼以及網(wǎng)絡(luò)訪問等方面優(yōu)化系統(tǒng)配置，導(dǎo)致終端設(shè)備的可靠性降低，給企業(yè)網(wǎng)絡(luò)安全管理帶來更多風(fēng)險(xiǎn)［2］。

1.3 未明確劃分用戶訪問權(quán)限

部分企業(yè)對終端設(shè)備的內(nèi)外網(wǎng)訪問權(quán)限劃分不明確，企業(yè)快速發(fā)展的同時(shí)接入了大量終端設(shè)備。在長期缺乏權(quán)限管控的情況下，隨意訪問內(nèi)外網(wǎng)的用戶數(shù)量持續(xù)增加，導(dǎo)致企業(yè)網(wǎng)絡(luò)安全可靠性持續(xù)降低。任意終端用戶的不合理操作都可能引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全問題。部分企業(yè)在終端用戶數(shù)量較少的情況下能夠通過設(shè)置服務(wù)器訪問、修改、讀取等操作權(quán)限進(jìn)行管控，并針對性地推行相關(guān)安全管理制度，然而在用戶量激增的情況下，部分網(wǎng)絡(luò)安全管理人員對復(fù)雜的終端用戶缺乏有效的管控，相關(guān)制度標(biāo)準(zhǔn)的執(zhí)行受到嚴(yán)重影響。

2 網(wǎng)絡(luò)準(zhǔn)入技術(shù)分析

2.1 IP-MAC 綁定準(zhǔn)入技術(shù)

媒體存取控制（Media Access Control，MAC）地址是電氣與電子工程師協(xié)會(huì)（Institute of Electrical and Electronics Engineers，IEEE）統(tǒng)一分配的唯一地址。IEEE 能夠?qū)AC 地址進(jìn)行統(tǒng)一分配，在出廠前的終端網(wǎng)卡帶電可擦編程只讀存儲(chǔ)器（Electrically Erasable Programmable Read Only Memory，EEPROM）中將地址一次性寫入。該準(zhǔn)入技術(shù)在應(yīng)用時(shí)，能夠在交換機(jī)訪問控制列表中將企業(yè)內(nèi)部網(wǎng)段設(shè)備的MAC、互聯(lián)網(wǎng)協(xié)議（Internet Protocol，IP）地址錄入，終端設(shè)備訪問內(nèi)網(wǎng)的前提是IP 與MAC 地址能夠與控制列表中錄入的地址一致。終端設(shè)備網(wǎng)絡(luò)準(zhǔn)入認(rèn)證期間，準(zhǔn)入系統(tǒng)所接收的MAC 地址并非來源于網(wǎng)卡只讀存儲(chǔ)器，而是來源于內(nèi)存緩存區(qū)，通過將指定MAC 地址發(fā)送給準(zhǔn)入系統(tǒng)認(rèn)證的方式，能夠有效規(guī)避準(zhǔn)入檢查，實(shí)現(xiàn)對內(nèi)網(wǎng)的非法入侵［3］。

2.2 DHCP 準(zhǔn)入技術(shù)

動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）準(zhǔn)入技術(shù)能動(dòng)態(tài)分配和集中管理IP地址，該技術(shù)在應(yīng)用時(shí)主要涉及客戶端與服務(wù)器端兩部分。其中，服務(wù)器端用于處理客戶端的相關(guān)請求，如IP 地址設(shè)定、子網(wǎng)掩碼參數(shù)修改等。在實(shí)際應(yīng)用過程中，該技術(shù)能夠借助DHCP Snooping（DHCP 安全特性）實(shí)現(xiàn)對非法服務(wù)器接入的有效管控，規(guī)避用戶隨意修改IP 地址，借助DHCP 服務(wù)器實(shí)現(xiàn)對終端設(shè)備IP地址的收回或分配，從而對終端設(shè)備與內(nèi)網(wǎng)的接入進(jìn)行有效管控。終端設(shè)備與內(nèi)網(wǎng)連接時(shí)，DHCP 服務(wù)器能夠?qū)⒏綦x網(wǎng)段IP 分配給終端設(shè)備，同步針對終端設(shè)備進(jìn)行審核認(rèn)證，當(dāng)認(rèn)證通過時(shí)，方可分配相應(yīng)的IP地址，允許終端設(shè)備訪問內(nèi)網(wǎng)，否則對其隔離阻斷操作。DHCP Snooping 技術(shù)能夠有效過濾不可控終端的相關(guān)信息，避免因非法終端持續(xù)申請接入導(dǎo)致網(wǎng)絡(luò)資源受到限制。但是，該技術(shù)在實(shí)際應(yīng)用時(shí)未能全面檢查終端設(shè)備的網(wǎng)絡(luò)安全狀態(tài)，更容易遭受IP欺騙攻擊。

2.3 802.1x 準(zhǔn)入技術(shù)

8.2.1x 協(xié)議（訪問控制和認(rèn)證協(xié)議）對于無線局域網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入控制具有重要作用，該協(xié)議能夠?qū)⒔粨Q機(jī)端口劃分為非受控與受控量兩種。其中，非受控端口用于認(rèn)證，而受控端口用于業(yè)務(wù)，通過將認(rèn)證流與業(yè)務(wù)流分離的方式為網(wǎng)絡(luò)準(zhǔn)入控制提供便利。對于初次訪問企業(yè)網(wǎng)絡(luò)的終端設(shè)備，交換機(jī)不會(huì)為該終端開放業(yè)務(wù)流端口，而是通過單獨(dú)開發(fā)的認(rèn)證流端口對終端進(jìn)行認(rèn)證，結(jié)合認(rèn)證檢查結(jié)果，對端口的開放情況進(jìn)行確認(rèn)，從而實(shí)現(xiàn)非法終端用戶與企業(yè)內(nèi)網(wǎng)之間的有效隔離。該準(zhǔn)入技術(shù)借助交換機(jī)對所接入的終端進(jìn)行準(zhǔn)入控制，能夠根據(jù)安全策略對終端可靠性進(jìn)行判斷，通過禁止不可控終端訪問內(nèi)網(wǎng)的方式提升企業(yè)網(wǎng)絡(luò)的安全可靠性。在實(shí)際應(yīng)用時(shí)，企業(yè)需要充分考慮802.1x協(xié)議的兼容性問題，避免設(shè)備不兼容導(dǎo)致準(zhǔn)入系統(tǒng)的配置受到影響。同時(shí)，企業(yè)也需要考慮該技術(shù)對虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）要求較多的問題，必要時(shí)可以將其與Web Portal 等技術(shù)聯(lián)合應(yīng)用，實(shí)現(xiàn)對網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)部署成本和系統(tǒng)性能的有效優(yōu)化［4］。

3 網(wǎng)絡(luò)準(zhǔn)入控制方案

3.1 NAC 網(wǎng)絡(luò)準(zhǔn)入方案

NAC 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)結(jié)構(gòu)如圖1 所示，該系統(tǒng)主要涉及測量服務(wù)器、管理服務(wù)器、終端端點(diǎn)安全代理以及網(wǎng)絡(luò)連接設(shè)備等部分。

圖1 NAC 的網(wǎng)絡(luò)結(jié)構(gòu)

在應(yīng)用過程中，無論是無線用戶還是有線網(wǎng)絡(luò)用戶，在無登錄信息的情況下，都無法訪問企業(yè)網(wǎng)絡(luò)。用戶對任意網(wǎng)頁的訪問行為最終都會(huì)在NAC 的控制下來到登錄界面。終端用戶將賬號(hào)密碼輸入后，NAC準(zhǔn)入系統(tǒng)會(huì)對賬號(hào)密碼進(jìn)行驗(yàn)證，如果驗(yàn)證不通過，則返回登錄界面；如果驗(yàn)證通過，則繼續(xù)結(jié)合所設(shè)置的安全策略對終端設(shè)備的安全狀態(tài)進(jìn)行驗(yàn)證，如果驗(yàn)證通過，則允許終端設(shè)備訪問內(nèi)網(wǎng)，否則將對其進(jìn)行隔離和在線修復(fù)［5］。

3.2 NAP 網(wǎng)絡(luò)準(zhǔn)入方案

在實(shí)際應(yīng)用時(shí)，NAP 系統(tǒng)管理員能夠結(jié)合安全策略、客戶端從屬和身份對網(wǎng)絡(luò)訪問權(quán)限進(jìn)行細(xì)分控制，當(dāng)客戶端與安全策略要求不符時(shí)，NAP 系統(tǒng)能夠借助修正服務(wù)器對其安全性問題進(jìn)行修復(fù)處理，確認(rèn)符合要求后再劃分網(wǎng)絡(luò)權(quán)限。

4 基于企業(yè)網(wǎng)絡(luò)安全管理的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)設(shè)計(jì)思路

為滿足企業(yè)網(wǎng)絡(luò)安全管理需求，本文選擇NAC 準(zhǔn)入控制系統(tǒng)，結(jié)合相關(guān)控制技術(shù)實(shí)現(xiàn)對終端設(shè)備與企業(yè)內(nèi)網(wǎng)接入的有效控制，滿足準(zhǔn)入控制、終端合規(guī)性檢測、終端身份識(shí)別等功能需求，為企業(yè)內(nèi)網(wǎng)建立可靠的安全防護(hù)體系。對于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、終端用戶數(shù)量多的大中型企業(yè)，網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)采取分層防護(hù)的方式實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入的有效控制以及終端安全問題的在線修復(fù)。接下來，筆者對系統(tǒng)框架、設(shè)計(jì)流程等進(jìn)行詳細(xì)論述。

4.1 網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)框架

為滿足網(wǎng)絡(luò)準(zhǔn)入控制需求，本系統(tǒng)主要應(yīng)用NAC客戶端、交換機(jī)（滿足802.1x 協(xié)議應(yīng)用需求）、終端身份認(rèn)證服務(wù)器、NAC 準(zhǔn)入控制器幾部分開展系統(tǒng)建設(shè)工作。其中，準(zhǔn)入控制器與核心交換機(jī)的連接采取旁路部署模式，通過將流量鏡像端口配置在交換機(jī)中來滿足終端對內(nèi)網(wǎng)的訪問接入需求，NAC 控制器能夠與端口進(jìn)行連接和控制。核心交換機(jī)連接了終端身份認(rèn)證服務(wù)器，該服務(wù)器包括本地認(rèn)證服務(wù)器，也包括MailServer（郵件服務(wù)器）、HTTPServer（網(wǎng)頁服務(wù)器）等外部身份認(rèn)證服務(wù)器。終端設(shè)備通過交換機(jī)與核心交換機(jī)連接，其內(nèi)部需安裝相應(yīng)的NAC 客戶端。該系統(tǒng)能夠?qū)⑵髽I(yè)內(nèi)網(wǎng)劃分為一般區(qū)域、VLAN 隔離區(qū)、核心應(yīng)用區(qū)以及修復(fù)區(qū)。其中，修復(fù)區(qū)服務(wù)器內(nèi)部安裝了具備終端系統(tǒng)網(wǎng)絡(luò)安全修復(fù)功能的軟件，能夠?qū)?zhǔn)入認(rèn)證不通過的終端進(jìn)行安全防護(hù)軟件安裝等操作；核心營業(yè)區(qū)主要用于存儲(chǔ)重要數(shù)據(jù)、部署核心應(yīng)用。

4.2 準(zhǔn)入控制流程設(shè)計(jì)

為確保網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)能夠在企業(yè)網(wǎng)絡(luò)安全管理過程中得到有效應(yīng)用，滿足企業(yè)網(wǎng)絡(luò)對終端接入相關(guān)問題的有效管控，NAC 控制系統(tǒng)的設(shè)計(jì)需要從認(rèn)證方式、準(zhǔn)入方式、阻斷與引導(dǎo)修復(fù)以及終端合規(guī)性檢查結(jié)果方面入手，下面進(jìn)行詳細(xì)論述。

4.2.1 NAC 控制系統(tǒng)認(rèn)證與準(zhǔn)入方式

在準(zhǔn)入認(rèn)證時(shí)，NAC 控制系統(tǒng)將WebPortal（門戶網(wǎng)站認(rèn)證）與802.1x 兩種技術(shù)融合應(yīng)用。802.1x 認(rèn)證技術(shù)需要在滿足該技術(shù)協(xié)議接入需求的設(shè)備中應(yīng)用，因此需要選取具備該認(rèn)證技術(shù)兼容性的交換機(jī)，從端口及對終端量龐大的大中型局域網(wǎng)進(jìn)行網(wǎng)絡(luò)認(rèn)證管理。對于臨時(shí)訪問企業(yè)內(nèi)網(wǎng)、無NAC 準(zhǔn)入客戶端的終端用戶，系統(tǒng)借助WebPortal 技術(shù)進(jìn)行優(yōu)化配置，該認(rèn)證技術(shù)能夠在瀏覽器中通過瀏覽器/服務(wù)器模式（Browser/Server，B/S）架構(gòu)實(shí)現(xiàn)對不同終端用戶網(wǎng)絡(luò)訪問權(quán)限的合理配置，滿足通過準(zhǔn)入認(rèn)證的終端設(shè)備的網(wǎng)絡(luò)資源訪問需求。在WebPortal 技術(shù)應(yīng)用時(shí)，終端用戶將通過門戶服務(wù)器中的相關(guān)服務(wù)器進(jìn)行賬號(hào)密碼認(rèn)證或者NAC客戶端認(rèn)證，實(shí)現(xiàn)對企業(yè)內(nèi)網(wǎng)的訪問。

4.2.2 NAC 控制系統(tǒng)阻斷與修復(fù)引導(dǎo)策略

為阻斷安全項(xiàng)不合格或身份認(rèn)證不通過的終端設(shè)備網(wǎng)絡(luò)訪問需求，NAC 控制系統(tǒng)一方面能夠借助802.1x 技術(shù)將終端設(shè)備置于修復(fù)區(qū)或隔離區(qū)VLAN，另一方面也可以借助交換機(jī)端口監(jiān)聽技術(shù)實(shí)現(xiàn)阻斷處理，通過HTTP302 將終端設(shè)備劃入Web 修復(fù)界面，引導(dǎo)用戶基于修復(fù)策略進(jìn)行修復(fù)處理，從而滿足后續(xù)的安全性檢查和身份認(rèn)證需求。

4.2.3 NAC 控制系統(tǒng)終端合規(guī)性檢查策略

管理員需提前完成終端準(zhǔn)入策略的配置，以滿足安全項(xiàng)合規(guī)性的檢查需求。NAC 客戶端能夠?qū)⒔K端設(shè)備“services”中的配置信息以及系統(tǒng)注冊表鍵值與安全策略進(jìn)行對比，實(shí)現(xiàn)對合規(guī)性的有效判斷。合規(guī)性判斷的主要項(xiàng)目包括系統(tǒng)版本、漏洞情況、系統(tǒng)安全配置情況、安全服務(wù)啟動(dòng)情況、殺毒軟件安裝情況等。NAC 客戶端能夠根據(jù)終端設(shè)備的檢查情況向NAC 準(zhǔn)入控制器反饋結(jié)果，以便控制終端企業(yè)網(wǎng)絡(luò)的準(zhǔn)入情況。

5 結(jié)語

企業(yè)網(wǎng)絡(luò)安全管理人員需要重視網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的部署工作，結(jié)合企業(yè)網(wǎng)絡(luò)安全管理期間存在的終端接入控制不合理、權(quán)限劃分不明確、終端安全性監(jiān)控不到位等問題建立相應(yīng)的準(zhǔn)入控制系統(tǒng)，基于NAC 準(zhǔn)入控制方案以及802.1x 和WebPortal 相關(guān)技術(shù)聯(lián)合應(yīng)用的方式，對終端與企業(yè)網(wǎng)絡(luò)的接入進(jìn)行嚴(yán)格管控，同時(shí)通過合規(guī)性檢查、引導(dǎo)修復(fù)等方式對終端設(shè)備安全性問題進(jìn)行檢查和修復(fù)處理，以此有效提升企業(yè)網(wǎng)絡(luò)安全可靠性。