進入21世紀后，隨著國內信息化程度的快速提高和ERP、OA和CAD等生產和辦公系統的普及，單位的日程運轉對內部信息網絡的依賴程度越來越高，內網信息網絡已經成了各個單位的生命線。而內部信息網絡由大量的終端、服務器和網絡設備組成，形成了統一有機的整體，任何一個部分的安全漏洞或者問題，都可能引發整個網絡的癱瘓。因此，加強內網的安全管理是企業或單位面臨的重要課題。在企業網中，用戶終端不及時升級系統補丁和病毒庫的現象普遍存在；私設代理服務器、私自訪問外部網絡、濫用企業禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡，對用戶的網絡訪問行為進行有效的控制，是保證企業網絡安全運行的前提，也是目前企業網絡安全管理急需解決的問題。

　　1、內網安全需求產生

　　1.1 內網安全的隱患及防范

　　外網對內網的安全威脅模型是假設內部網絡都是安全可信的，威脅都來自于外部網絡，其途徑主要通過內外網邊界出口。從本質來說，此類網絡安全考慮的是防范外網對內網的攻擊，其安全包括傳統的防火墻、入侵檢察系統和VPN都是基于這種思路設計和考慮的。所以，在外網安全的威脅模型假設下，只要將網絡邊界處的安全控制措施做好，就可以確保整個網絡的安全。

　　內網本身安全的威脅模型與外網對內網的安全威脅模型相比，更加全面和細致，它即假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的，威脅既可能來自外網，也可能來自內網的任何一個節點上。所以，在內網安全的威脅模型下，需要對內部網絡中所有組成節點和參與者的細致管理，實現一個可管理、可控制和可信任的內網�！�

　　1.2 內部網不同網絡安全域的隔離

　　在這里，主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止影響一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內，就可以限制局部網絡安全問題對全局網絡造成的影響。

　　1.3 外部網不同網絡安全域訪問控制

　　采用各種安全技術，配備相應的安全設備，構筑防御系統。在內部網與外部網之間，設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火墻設置在不同網絡或網絡安全域之間信息的唯一出入口。防火墻具有以下五大基本功能：過濾進、出網絡的數據；管理進、出網絡的訪問行為；封堵某些禁止的業務；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警。這樣才能在一定程度上保證內網及其主機的安全但是這些傳統技術對應的產品在協同工作、統—管理配置上存在許多沖突甚至不兼容，難以形成一個完美的網絡防御體系；且眾多的網絡安全產品的高密度集中對系統資源的耗費和對系統性能的影響相當大。因此盡管目前在網絡安全領域采取了諸多防護手段，但依然不能保證完全的信息安全。并且隨著網絡攻擊方式和嘿客技術的不斷提高，網絡攻擊與病毒結合的趨向明顯，這對安全措施的提高與豐富提出了更高更多的要求。

　　2、準入控制技術——內網安全體系的關鍵

　　內網安全產品主要有三大標準架構，分別是：網絡準入控制（NAC）、網絡訪問保護（NAP）和可信網絡連接（TNC），這三大標準體系分別定義了各自的實現協議，但遵從類似的體系框架，主要架構如下：
 

　　A1.終端連接網絡，通知策略服務器

　　A2.策略服務器啟動終端評估（包括用戶認證）

　　B.將終端評估數據發送到策略服務器

　　C.策略服務器與后端系統交互，證實終端狀態，決策是否授予終端接入權限

　　D.策略服務器將終端評估結果通知給網絡（D1）和終端 (D2)

　　F. 終端接入網絡，獲得部分或者全部訪問權限，或接入修復服務器在內網安全架構中，準入控制點是整個體系的關鍵，承擔著與后臺策略決策系統交互，控制終端對網絡的訪問，隔離非健康終端并協助其修復等多項功能。準入控制方式的選擇（也稱為策略強制點的選擇）至關重要,內網安全產品能否成功部署，主要就在于能否結合企業網絡的具體情況，選擇到合適的準入控制點。

　　3、實現網絡準入控制的兩種技術方案

　　目前，常見的網絡準入技術方案主要有基于IP-MAC綁定的網絡準入技術和EAD端點準入防御系統。這里重點介紹EAD端點準入防御系統——VRVEDP的四位一體系統。

　　3.1 基于IP_MAC綁定的網絡準入

　　基于IP-MAC綁定的網絡準入技術，是指通過在終端計算機接入網絡的設備上設置防問控制列表，在三層交換機上登記用戶的網卡地址，只允許綁定了IP和MAC的計算機上網訪問。這種技術控制不嚴格。大多數的計算機都可以修改IP和MAC，不合法的計算機可以通過把自己的IP和MAC修改為合法計算機的網絡參數，冒用他人合法的網絡參數上網[2]，因此，這種準入控制方式有—定的安全風險。而且冒用他人MAC上網還會造成網絡中IP沖突，導致IP管理混亂。網絡維護難，基于IP-MAC綁定的網絡準入技術，由于需要逐條命令配置，容易出錯，不直觀，對管理員的要求高，查找歷史記錄較難，不能形成報表，難以維護，且操作不便捷。一旦出問題，查找故障原因也難。

　　3.2 EAD端點準入防御系統——VRVEDP的四位一體

　　3.2.1 VRVEDP系統概述

　　傳統的網絡安全產品對于網絡安全問題的解決，通常是被動防御，事后補救。VRVEDP（EntERPrise desk planning）的四位一體準入防御解決方案則從用戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，可以加強用戶終端的主動防御能力，大幅度提高網絡安全。

　　3.2.2 方案概述

　　VRVEDP解決方案在用戶接入網絡前，強制檢查用戶終端的安全狀態，并根據對用戶終端安全狀態的檢查結果，強制實施用戶接入控制策略，對不符合企業安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統補丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網絡行為，提升整網的安全防御能力。系統應用示意圖如圖2所示：
 

　　3.2.3 功能特點

　　①完備的安全狀態評估

　　用戶終端的安全狀態是指操作系統補丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態信息。VRVEDP通過對終端安全狀態進行評估，使得只有符合企業安全標準的終端才能準許訪問網絡

　�、趯崟r的“危險”用戶隔離

　　系統補丁、病毒庫版本不及時更新或已感染病毒的用戶終端，如果不符合管理員設定的企業安全策略，將被限制訪問權限，只能訪問病毒服務器、補丁服務器等用于系統修復的網絡資源。用戶上網過程中，如果終端發生感染病毒等安全事件，VRVEDP系統可實時隔離該“危險”終端。

　�、刍�于角色的網絡服務

　　用戶終端在通過病毒、補丁等安全信息檢查后，VRVEDP可基于終端用戶的角色，向安全客戶端下發系統配置的接入控制策略，按照用戶角色權限規范用戶的網絡使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施均可由管理員統一管理，并實時應用實施。

　�、芸蓴U展的、開放的安全解決方案

　　VRVEDP是一個可擴展的安全解決方案，對現有網絡設備和組網方式改造較小。在現有企業網中，只需對網絡設備和第三方軟件進行簡單升級，即可實現接入控制和防病毒的聯動，達到端點準入控制的目的，有效保護用戶的網絡投資。VRVEDP也是一個開放的安全解決方案。VRVEDP系統中，安全策略服務器與網絡設備的交互、與第三方服務器的交互都基于開放、標準的協議實現。在防病毒方面，目前VRVEDP系統已與瑞星、金山、江民等多家主流防病毒廠商的產品實現聯動。

　�、蒽`活、方便的部署與維護

　　VRVEDP方案部署靈活，維護方便，可以按照網絡管理員的要求區別對待不同身份的用戶，定制不同的安全檢查和隔離級別。VRVEDP可以部署為監控模式(只記錄不合格的用戶終端，不進行修復提醒)、提醒模式(只做修復提醒，不進行網絡隔離)和隔離模式，以適應用戶對安全準入控制的不同要求。

　　3.2.4 方案部件

　　VRVEDP是一個整合與聯動的安全解決方案，主要部件包括安全策略服務器、安全客戶端、安全聯動設備和第三方服務器。

　�、侔踩�策略服務器

　　VRVEDP方案中的用戶管理與策略控制中心，實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能，是VRVEDP解決方案的核心部件。VRVEDP安全策略服務器，可以在全面管理網絡用戶信息的基礎上，實現對網絡用戶的身份認證和接入終端的安全認證，并通過與網絡設備的聯動控制用戶網絡訪問行為�？蛻舳诉M程應用監控、安裝軟件黑白名單控制、文件保護及審計功能、共享目錄訪問控制功能、USB等硬件設備禁用功能、外聯安全管理、IP/MAC地址綁定管理等監控控制，并對違規的終端進行報警提示、終端提示、阻斷聯網等措施。同時，該系統詳細記錄了用戶上網信息和安全事件信息，可以方便地跟蹤審計用戶上網行為和安全事件。

　　②安全客戶端

　　安裝在用戶終端系統上的軟件，是對用戶終端進行身份認證、安全狀態評估以及安全策略實施的代理。安全客戶端可按照企業安全策略的要求，集成VRVEDP的安全產品插件，提供豐富的身份認證方式、實施基于角色的安全策略。

　�、郯踩�聯動設備

　　企業網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供差異化服務的作用。華為系列交換機、路由器、安全網關等網絡設備，可以通過標準的協議與VRVEDP安全策略服務器的聯動，在不同的應用場景實現對用戶的準入控制。應該實現非常靈活的設備分組、分級分域管理，對所有設備建立責任人對應管理制度；將IP設備與用戶ID建立對應關系，對日常管理、事中責任明確以及事后規范行為審計等有十分重要的意義。同時可以根據不同組別的資產，可以采取不同的安全檢查規范。

　�、艿谌�方服務器

　　第三方服務器是指病毒服務器、補丁服務器等網絡安全產品。通過安全客戶端的代理插件以及安全策略服務器的策略控制，第三方安全產品可以集成至VRVEDP解決方案中，實現不同層面安全功能的聯動與融合。對于物理隔離的內部網絡，其補丁升級服務器中的補丁數據必須從外部獲得，因此，要求在Internet上進行補丁下載，巨大的補丁庫使得每次補丁導入工作非常煩瑣。針對此類物理隔離的內網，使用增量式補丁分離技術，在外網補丁下載服務器分離出內網已安裝、未安裝補丁，分類導入系統補丁，即僅對內網的補丁進行“增量式”的升級，以提高效率。通過增量補丁分離器，在每次導入導出補丁時，可減少拷貝工作量。

　　4、結束語

　　內網安全是當前網絡安全領域的熱門話題之一。在內網安全產品架構中，準入控制方式至關重要。通過深入分析目前業界主要準入控制機制的技術原理，我們可以發現，包括8 0 2 . 1X、終端防火墻、DH CP控制、ARPspoofing、DNS重定向等各有其優缺點。一般地，我們可以根據企業網絡的具體情況，選擇一種或者多種準入控制方案，完成內網安全產品的部署。VRVEDP的四位一體系統，使用網關來完成準入控制功能與終端安全軟件的有機配合，在易部署、強制性、統一性等準入控制綜合能力上可圈可點。這也體現出，像VRVEDP的四位一體這樣集多種網絡安全核心技術于一身的綜合類安全提供商，正在為整合企業網絡安全應用做出有益的探索。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業內網準入控制技術

本文網址：http://www.guhuozai8.cn/html/support/11121510923.html