企業(yè)內(nèi)部網(wǎng)絡(luò)接入控制技術(shù)應(yīng)用淺析

摘要：企業(yè)信息化應(yīng)用程度越來(lái)越廣，越來(lái)越深入，信息安全的要求也隨之而來(lái)，其中網(wǎng)絡(luò)接入控制是信息安全的一個(gè)非常重要的方案，本文通過(guò)對(duì)目前比較流行的網(wǎng)絡(luò)接入控制的技術(shù)進(jìn)行分析，得出適合各種不同類型企業(yè)的優(yōu)缺點(diǎn)。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò)接入控制

1 網(wǎng)絡(luò)接入控制技術(shù)概述

網(wǎng)絡(luò)接入控制，也稱網(wǎng)絡(luò)準(zhǔn)入控制（Network Admission Control，簡(jiǎn)稱NAC）概念最早是由Cisco提出來(lái)的，最初目的是利用網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)防止病毒和蠕蟲危害網(wǎng)絡(luò)。Cisco NAC方案是Cisco自防御網(wǎng)絡(luò)計(jì)劃的第一階段。企業(yè)目前的大多數(shù)信息資料都可以通過(guò)連入到內(nèi)部信息網(wǎng)絡(luò)中獲取，所以控制內(nèi)部網(wǎng)絡(luò)的接入成了整個(gè)信息安全很重要的一環(huán)，為此希望通過(guò)實(shí)施網(wǎng)絡(luò)接入控制加強(qiáng)信息安全的管理手段。

網(wǎng)絡(luò)準(zhǔn)入控制實(shí)現(xiàn)終端注冊(cè)、安全檢查、安全隔離、安全通知和安全修復(fù)，保證接入到網(wǎng)絡(luò)的終端設(shè)備的身份是可信的、是滿足強(qiáng)制安全策略要求的。對(duì)于外來(lái)終端設(shè)備可以限制其只能訪問(wèn)一些公開(kāi)的資源；對(duì)于不符合強(qiáng)制安全策略要求的終端設(shè)備可以對(duì)其進(jìn)行安全隔離，只有修復(fù)后才能正常訪問(wèn)網(wǎng)絡(luò)資源；只有符合強(qiáng)制安全策略要求并且是內(nèi)部用戶的終端設(shè)備才能正常訪問(wèn)網(wǎng)絡(luò)資源。

圖1是網(wǎng)絡(luò)準(zhǔn)入控制通用架構(gòu)。

接入網(wǎng)絡(luò)的終端設(shè)備通過(guò)代理程序向接入控制服務(wù)器提供自己的安全特性信息，接入控制服務(wù)器向策略服務(wù)器驗(yàn)證安全特性信息是否符合強(qiáng)制策略要求、終端設(shè)備的身份，接入控制器根據(jù)驗(yàn)證結(jié)果控制接入控制點(diǎn)，告訴接入控制點(diǎn)終端設(shè)備可以訪問(wèn)的網(wǎng)絡(luò)資源。

2 主流網(wǎng)絡(luò)接入控制技術(shù)分析

網(wǎng)絡(luò)準(zhǔn)入控制實(shí)現(xiàn)上要解決的一個(gè)關(guān)鍵問(wèn)題是如何能夠適應(yīng)用戶的各種網(wǎng)絡(luò)環(huán)境。目前有四種常見(jiàn)技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制：Cisco NAC、微軟NAP（Network Access Protection）、網(wǎng)關(guān)（防火墻、代理服務(wù)器）、ARP技術(shù)。這些技術(shù)采用的接入控制點(diǎn)設(shè)備不同，所以代理與接入控制點(diǎn)之間、接入控制點(diǎn)與接入控制服務(wù)器之間的協(xié)議也不相同，能夠起到的效果也不盡同。

2.1 Cisco NAC技術(shù)

為了解決不同網(wǎng)絡(luò)環(huán)境的準(zhǔn)入控制問(wèn)題，Cisco NAC提出了三種實(shí)現(xiàn)方式：

2.1.1 NAC-L2-802.1x

基于IEEE802.1x協(xié)議，根據(jù)接入網(wǎng)絡(luò)的終端設(shè)備身份和安全特性，動(dòng)態(tài)打開(kāi)/關(guān)閉網(wǎng)絡(luò)交換機(jī)端口、或者動(dòng)態(tài)切換網(wǎng)絡(luò)交換機(jī)端口的VLAN來(lái)控制終端設(shè)備能夠訪問(wèn)的網(wǎng)絡(luò)資源。NAC-L2-802.1x要求接入層網(wǎng)絡(luò)交換機(jī)支持IEEE802.1x協(xié)議，并且每個(gè)交換機(jī)端口只能連接一個(gè)終端設(shè)備，不支持Hub方式連接。Cisco 2940以上的大部分網(wǎng)絡(luò)交換機(jī)都支持IEEE802.1x協(xié)議，另外其它主流廠商的網(wǎng)絡(luò)設(shè)備如華為-3Com一些網(wǎng)絡(luò)交換機(jī)也支持該協(xié)議。所有基于IEEE802.1x協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制方法包括NAC-L2-802.1x都是最徹底的解決方法，因?yàn)樵诮K端設(shè)備沒(méi)有得到驗(yàn)證之前網(wǎng)絡(luò)是不通的。

2.1.2 NAC-L2-IP

為了解決NAC-L2-802.1x要求所有接入層交換機(jī)支持IEEE802.1x并且每個(gè)交換機(jī)端口只能連接一個(gè)終端設(shè)備的限制，Cisco在標(biāo)準(zhǔn)EAP協(xié)議基礎(chǔ)上增加了一種EAPoUDAP的協(xié)議，該協(xié)議被Cisco的3550以上的交換機(jī)支持。網(wǎng)絡(luò)的接入層、匯聚層或者核心層支持EAPoUDP協(xié)議（即有Cisco 3550以上交換機(jī)）的交換機(jī)都可以作為網(wǎng)絡(luò)準(zhǔn)入控制的“控制點(diǎn)設(shè)備”。當(dāng)終端設(shè)備接入網(wǎng)絡(luò)并發(fā)送ARP包或者DHCP包時(shí)，接入層、匯聚層或者核心層中支持EAPoUDP協(xié)議的網(wǎng)絡(luò)交換機(jī)在轉(zhuǎn)發(fā)ARP或者DHCP包之前，會(huì)要求終端設(shè)備提供身份信息和安全特性信息，并轉(zhuǎn)發(fā)給ACS服務(wù)器，ACS服務(wù)器根據(jù)驗(yàn)證結(jié)果向網(wǎng)絡(luò)交換機(jī)的相應(yīng)端口動(dòng)態(tài)設(shè)置該終端設(shè)備的ACL，這樣終端設(shè)備就只能訪問(wèn)規(guī)定的網(wǎng)絡(luò)資源。另外ACS服務(wù)器還可以向網(wǎng)絡(luò)交換機(jī)端口下載一個(gè)重定向URL，當(dāng)終端設(shè)備訪問(wèn)Web服務(wù)器時(shí)，就會(huì)被網(wǎng)絡(luò)交換機(jī)重定向到指定URL中，如修復(fù)服務(wù)器的URL。

2.1.3 NAC-L3-IP

NAC-L3-IP采用Cisoc路由器作為“控制點(diǎn)設(shè)備”。與NAC-L2-IP類似，通過(guò)設(shè)置NAC-L3-IP也是設(shè)置路由器端口的ACL和重定向URL來(lái)控制終端設(shè)備可以訪問(wèn)的網(wǎng)絡(luò)資源。

2.2 微軟NAP技術(shù)

微軟NAP提供了四種方法來(lái)解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制：

①基于IPSec通訊?；贗PSec的NAP客戶端會(huì)根據(jù)與其通訊的對(duì)方客戶端擁有什么樣的健康證書（Health Certificate）來(lái)決定是否與其通訊。NAP系統(tǒng)通過(guò)HCS為網(wǎng)絡(luò)內(nèi)的客戶端分配健康證書以及指定客戶端在通訊時(shí)是否需要對(duì)方提供健康證書將網(wǎng)絡(luò)分為三部分：安全網(wǎng)絡(luò)、邊界網(wǎng)絡(luò)和受限網(wǎng)絡(luò)。安全網(wǎng)絡(luò)內(nèi)的設(shè)備都擁有健康證書并且要求通訊對(duì)方也擁有健康證書；邊界網(wǎng)絡(luò)內(nèi)的設(shè)備也擁有健康證書但它不要求對(duì)方擁有健康證書；受限網(wǎng)絡(luò)內(nèi)的設(shè)備不擁有健康證書，所以只能訪問(wèn)邊界網(wǎng)絡(luò)內(nèi)資源。

②基于DHCP服務(wù)。NAP系統(tǒng)通過(guò)DHCP服務(wù)器為接入網(wǎng)絡(luò)的終端分配不同的IP地址來(lái)控制其能夠訪問(wèn)的網(wǎng)絡(luò)資源。

③基于VPN。NAP系統(tǒng)通過(guò)VPN服務(wù)器為接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行包過(guò)濾來(lái)控制其能夠訪問(wèn)的網(wǎng)絡(luò)資源。

④基于IEEE802.1x。NAP系統(tǒng)通過(guò)支持IEEE802.1x協(xié)議的網(wǎng)絡(luò)交換機(jī)控制接入網(wǎng)絡(luò)的終端設(shè)備能夠訪問(wèn)的網(wǎng)絡(luò)資源。

2.3 網(wǎng)關(guān)實(shí)現(xiàn)技術(shù)

防火墻、代理服務(wù)器是一個(gè)網(wǎng)絡(luò)中的出口，所以如果和防火墻、代理服務(wù)器進(jìn)行聯(lián)動(dòng)也能夠在一定程度上實(shí)現(xiàn)終端設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制。不滿足身份要求或者強(qiáng)制安全策略的終端設(shè)備可以禁止其訪問(wèn)防火墻和代理服務(wù)器后面的網(wǎng)絡(luò)資源。

2.4 ARP干擾實(shí)現(xiàn)技術(shù)

基于ARP干擾的網(wǎng)絡(luò)準(zhǔn)入控制主要是利用ARP自身的漏洞，通過(guò)對(duì)不滿足強(qiáng)制安全策略要求的終端設(shè)備進(jìn)行ARP欺騙，從而限制這些終端訪問(wèn)網(wǎng)絡(luò)資源。

3 主流網(wǎng)絡(luò)接入控制技術(shù)比較

Cisco NAC是圍繞Cisco網(wǎng)絡(luò)設(shè)備提出的，對(duì)Cisco網(wǎng)絡(luò)設(shè)備有嚴(yán)重依賴性，象NAC-L2-IP、NAC-L3-IP都是Cisco私有方法，在多廠商網(wǎng)絡(luò)設(shè)備并存的網(wǎng)絡(luò)環(huán)境很難使用。另外Cisco Trust Agent所能提供的安全特性非常有限，主要是操作系統(tǒng)版本、SP版本、防病毒軟件版本和病毒特征庫(kù)，還不能提供象系統(tǒng)補(bǔ)丁包、其它安裝軟件、木馬或者間諜軟件等檢查。

微軟NAP架構(gòu)提供的四種方法中，基于VPN和基于IEEE802.1x實(shí)現(xiàn)方法和具體網(wǎng)絡(luò)設(shè)備有關(guān)，基于IPSec通訊和基于DHCP服務(wù)的實(shí)現(xiàn)方法和具體網(wǎng)絡(luò)設(shè)備無(wú)關(guān)，所以具有較好的適應(yīng)性。但微軟NAP架構(gòu)只在Win7和Vista操作系統(tǒng)中提供，只能支持Vista操作系統(tǒng)終端設(shè)備。另外微軟NAP架構(gòu)更多的是提供了一個(gè)網(wǎng)絡(luò)準(zhǔn)入控制的開(kāi)發(fā)平臺(tái)，還需要第三方廠商做二次開(kāi)發(fā)才能很好地滿足具有用戶的需求。

基于網(wǎng)關(guān)的網(wǎng)絡(luò)準(zhǔn)入控制實(shí)現(xiàn)方法與Cisco NAC、微軟NAP架構(gòu)相比有幾個(gè)致命問(wèn)題：一是沒(méi)有標(biāo)準(zhǔn)化，各個(gè)廠商的網(wǎng)關(guān)設(shè)備對(duì)外提供的聯(lián)動(dòng)接口或者API都是非標(biāo)準(zhǔn)的，不具有普適性。二是控制不夠靈活，不能將網(wǎng)絡(luò)資源劃分為不同的資源區(qū)，根據(jù)終端的身份和安全特性細(xì)化可以訪問(wèn)的網(wǎng)絡(luò)資源。

ARP干擾有如下這些問(wèn)題：①會(huì)給網(wǎng)絡(luò)帶來(lái)大量ARP干擾包，會(huì)占用網(wǎng)絡(luò)帶寬，并且如果部署了IDS設(shè)備，會(huì)產(chǎn)生攻擊告警；②在每個(gè)物理網(wǎng)段需要部署一個(gè)ARP干擾設(shè)備，對(duì)于物理網(wǎng)段較多的網(wǎng)絡(luò)，有較大維護(hù)工作量；③終端設(shè)備可以很容易繞開(kāi)被ARP干擾，如靜態(tài)設(shè)置網(wǎng)關(guān)的ARP。

總之，通過(guò)以上的技術(shù)分析，雖然每種技術(shù)手段實(shí)現(xiàn)的最終效果還是有差異，且應(yīng)對(duì)特殊需求時(shí)都有相對(duì)的局限性，但就目前我們需要實(shí)現(xiàn)的防止非法設(shè)備接入企業(yè)網(wǎng)絡(luò)的功能來(lái)說(shuō)，這些技術(shù)手段都可以起到足夠的效果，通過(guò)對(duì)以上幾種技術(shù)的分析，可以清楚各個(gè)企業(yè)目前所需要的技術(shù)手段。

參考文獻(xiàn)：

[1]Cisco系統(tǒng)技術(shù)支持網(wǎng)站.

[2]《淺談網(wǎng)絡(luò)探針接入控制技術(shù)》中國(guó)管理信息化.2010（15）.

[3]何欣全.新一代網(wǎng)絡(luò)安全接入技術(shù)TNC[J].信息網(wǎng)絡(luò)安全.2007（03）.