基于NAC框架的園區(qū)網終端安全接入設計

黃嶺 步文海

工程兵指揮學院教育技術中心 江蘇 221004

0 引言

網絡技術的日益更新帶來了動態(tài)而無定式的網絡安全生態(tài)系統(tǒng)。復雜的網絡環(huán)境需要具有較高動態(tài)性和可擴展性的安全解決方案，以應對不同類型的威脅和黑客攻擊?，F今更多的安全技術解決方案已經緊密地集成到了網絡的基礎結構中。越來越多的實踐證明，大多數的安全漏洞源于網絡內部，并且在一段時間內并不能被檢測出來。最新的攻擊傳播速度也表明，系統(tǒng)安全更新(補丁)遠落后于脆弱的系統(tǒng)被攻擊的速度，而且系統(tǒng)經常在相應廠商提供最新的更新程序之前就已經遭受了攻擊。

當終端登錄到網絡時，它就具有影響網絡安全的潛在的威脅，未遵循網絡安全策略(病毒庫過期、系統(tǒng)漏洞未修補等)的終端普遍存在于園區(qū)網中。難以被發(fā)現且無法有效控制，每當它們連接網絡時，就增加了網絡的安全威脅。而傳統(tǒng)的安全產品和技術都是相互獨立工作的，如防火墻、訪問控制措施和入侵檢測和防護系統(tǒng)主要是面對網絡外部的攻擊的，并不能提供充足的防御來抵抗內部的威脅。

目前的園區(qū)網終端安全接入技術的主要思路是從終端著手，通過管理員制定的安全策略，對接入園區(qū)網的主機進行安全性檢測，自動拒絕不安全的主機接入保護網絡直到這些主機符合網絡內的安全策略為止。具有代表性的技術包括：思科的網絡接入控制技術(NAC)、微軟的網絡訪問保護技術(NAP)以及TCG組織的可信網絡連接(TNC)技術等。本文將依據思科的 NAC框架技術來給出園區(qū)網終端安全接入的設計。

1 基于思科NAC框架的園區(qū)網終端安全接入系統(tǒng)設計

1.1 系統(tǒng)設計依據

網絡接入控制是一項由思科發(fā)起、多家廠商參與的網絡終端安全接入計劃，其宗旨是防止病毒和蠕蟲等新興黑客技術對企業(yè)網絡安全造成危害。借助NAC，網絡將只允許合法的、值得信任的終端設備(例如PC、服務器、PDA)接入網絡，而不允許其他設備的接入。

對于 NAC的解決方案，思科提出了兩種不同的形式?；谒伎?NAC設備的解決方案和基于 NAC框架的解決方案。前者以NAC設備專用的思科清除訪問(CCA)為基礎，其并不依賴于第三方的產品和廠商，能夠提供自給自足的終端評估、策略管理和修復服務，由于它是思科包裝的解決方案，依賴于思科的網絡設備，所以適用于對全新網絡的設計規(guī)劃，而在已有的網絡實施中無法展開。

而基于 NAC框架的解決方案使用現有的網絡基本機構和第三方廠商的解決方案，執(zhí)行與所有終端一致的安全策略，可以在已有的網絡中實施，無需投入新的設備，減少成本的開銷。在執(zhí)行接入控制時，網絡中的原有系統(tǒng)無需覆蓋。

基于 NAC框架的終端安全接入系統(tǒng)主要包含以下四個組件。

(1) 終端軟件：終端安全軟件包括反病毒軟件、安全代理軟件、個人防火墻和信任代理軟件。其中信任代理軟件是自由分布式軟件，可以從多個軟件客戶端收集終端安全狀態(tài)信息，并發(fā)送給連接在網絡中的執(zhí)行訪問控制策略的網絡接入設備。

(2) 網絡接入設備：網絡接入設備可以是第二層或者第三層的設備，用于實施基于終端遵從性的策略執(zhí)行和接入控制。

(3) 訪問控制與策略服務器：訪問控制和第三方廠商服務器負責評估網絡接入設備轉發(fā)的終端安全信息，并應用相應的網絡訪問策略。

(4) 管理系統(tǒng)：為NAC框架提供監(jiān)控和報告工具。

在園區(qū)網中，NAC框架的各組件功能如圖1所示。

1.2 系統(tǒng)功能模塊

在園區(qū)網的NAC系統(tǒng)主要包括圖2中的三個主要模塊。

圖2 園區(qū)網NAC系統(tǒng)的主要模塊組成

接入控制和認證模塊主要用來對終端接入進行身份的認證。系統(tǒng)設計應支持用戶身份與接入終端的MAC地址、IP 地址、所在VLAN 等信息進行綁定，同時支持智能卡、數字證書認證，增強身份認證的安全性。

接入決策模塊通過對用戶身份的合法性，進而與接入策略模塊互動，確定終端安全狀態(tài)，根據決策的模型確定終端接入的狀態(tài)。決策模型基于策略模塊的反饋信息和用戶身份認證信息來決定網絡授權，按照分組、分級、分權限原則規(guī)范用戶的網絡使用行為。

接入策略模塊用來評估終端安全狀態(tài)，反饋給接入決策模塊，根據決策模塊的決策來進行修復。策略模塊中有行為審計功能，可以高效地收集用戶使用網絡資源的數據，記錄操作過程，分析用戶上網行為，掌握網絡運行狀態(tài)，并生成日志以備查用。具備網絡狀態(tài)查詢功能，能夠實時監(jiān)測用戶在線、離線狀態(tài)，可以對接入用戶進行直觀管理，實時查看上網用戶信息、強制用戶下線、執(zhí)行安全檢查等操作。同時，允許接入的終端可以進行終端病毒庫版本檢查、終端補丁檢查、終端安裝的應用軟件檢查、是否有代理、撥號配置等。

NAC框架組件中的管理系統(tǒng)可以集成為一個獨立的監(jiān)控模塊。它具有日志管理功能，對于用戶及管理人員的所有操作，包括登錄、注銷的時間、登錄 IP 地址以及登錄期間進行的任何可能修改系統(tǒng)數據的操作，都會記錄詳細的日志。同時，對各項性能具備管理功能，能夠實時查看到網絡設備的CPU 利用率、流量等關鍵指標，支持實時性能監(jiān)視，當鏈路或端口的流量出現異常時，系統(tǒng)將會發(fā)送性能告警，使管理人員可以及時了解網絡中的隱患，及時消除隱患。同時為故障定位提供手段。

1.3 系統(tǒng)數據流向

在確定各功能模塊的作用，完成模塊設計同時，對園區(qū)網 NAC系統(tǒng)的數據流向進行分析，從而確保系統(tǒng)模塊的設計滿足 NAC框架體系要求，數據流向完整符合預期設計。園區(qū)網NAC系統(tǒng)數據流向如圖3所示。

圖3 園區(qū)網NAC系統(tǒng)數據流向

圖中各數據流向說明如下：

① 安裝了信任代理軟件的終端上，網絡流量觸發(fā)NAC的挑戰(zhàn)策略。終端安裝的信任代理收集終端的安全狀態(tài)信息(操作系統(tǒng)版本、病毒庫版本、補丁安裝程序等)。

② 信任代理終端使用NAC的網絡訪問設備證書進行挑戰(zhàn)，發(fā)送給網絡訪問設備。使用基于UDP的EAP在終端和網絡訪問設備之間交換身份與驗證證書。

③ 網絡訪問設備通過RADIUS協(xié)議將證書轉發(fā)至訪問控制服務器。

④ 訪問控制服務器(AAA服務器)可以選擇性的使用代理證書，和第三方廠商服務器協(xié)商，并進行終端遵從性的驗證。由第三方廠商服務器評估終端是否遵從安全策略。并回復給訪問控制服務器關于終端的遵從性驗證結果。

⑤ 訪問控制服務器根據反饋的遵從性驗證結果來尋找匹配的訪問控制策略。

⑥ 訪問控制服務器確認終端接入狀態(tài)、授權狀態(tài)。

⑦ 訪問控制服務器通過RADIUS協(xié)議將確定的終端接入狀態(tài)信息返回給網絡訪問設備進行執(zhí)行。

⑧ 網絡訪問設備通過 EAP信息告知接入終端其狀態(tài)信息。

⑨ 若終端與定義的安全策略符合，則終端的接入狀態(tài)正常，可以順利訪問園區(qū)網資源。若終端與定義的安全策略不吻合，則將終端重定向到一個隔離區(qū)域(Guest VLAN)，并進行相關策略的修復。

1.4 系統(tǒng)的部署

基于 NAC框架的終端安全接入系統(tǒng)是在已有的網絡基礎架構上實施的，其部署不會改變已有的園區(qū)網結構，但要發(fā)揮系統(tǒng)的最佳效能，需要與已有的園區(qū)網設備做好緊密的結合，使其可以和網絡設備進行最佳的互動與聯動，通過網絡設備與安全設備將終端導向安全控制策略系統(tǒng)。需要注意的是在帶外的園區(qū)網環(huán)境中，要防止終端繞過控制策略系統(tǒng)而直接訪問外部網絡，因為訪問控制服務器及策略服務器在驗證、端口評估和修復時一直在帶內運行。部署帶外的系統(tǒng)時要設置終端通過所有的策略檢查修復后才可能穿過交換機端口到達帶外。

2 結語

隨著網絡安全對園區(qū)網基礎結構和信息資源的威脅不斷增加，僅僅建立邊界防御已經遠遠不夠，傳統(tǒng)的方法、獨立的運行方式無法應對現有的網絡攻擊技術。網絡安全模式正迅速的由被動性模式向主動性模式轉變?；?NAC框架的終端安全接入系統(tǒng)雖然無法完全規(guī)避網絡風險，但在一定的程度上可以緩解源自園區(qū)網內部的安全危機，確保網絡內部的堅固性，配合對外的安全措施(IPS、防火墻、IDS、VPN)等，則可以建立形成對內外的、貫穿網絡多層的立體的安全防護體系，從而提高園區(qū)網的安全等級。

[1] 思科系統(tǒng)網絡技術有限公司.下一代網絡安全[M].北京郵電大學出版社.2006.

[2] 楊義先.信息安全新技術[M].北京郵電大學出版社.2002.

[3] 楊義先.網絡安全理論與技術[M].北京:人民郵電出版社.2004.

[4] Michael Watkins.CCNA 安全認證考試指南[M].北京:人民郵電出版社.2009.