UniAccess網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)簡(jiǎn)介

茹正毅

（中國(guó)電信武漢分公司，湖北 武漢430070）

0 引 言

目前企業(yè)對(duì)網(wǎng)絡(luò)運(yùn)行的可靠性要求越來(lái)越高，各行各業(yè)網(wǎng)上的機(jī)密信息越來(lái)越多，價(jià)值也越來(lái)越高。在日常網(wǎng)絡(luò)管理中，把安全管控推到網(wǎng)絡(luò)的最邊緣，也就是對(duì)最終終端用戶進(jìn)行檢查、認(rèn)證、管理和控制，可以起到防患于未然的作用。UniAccess網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)提供了一個(gè)強(qiáng)有力的平臺(tái)。

1 常見(jiàn)的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)簡(jiǎn)介

1．1 802．1x準(zhǔn)入控制

802．1x是一個(gè)國(guó)際標(biāo)準(zhǔn)，受到多個(gè)廠商支持 ，通過(guò)動(dòng)態(tài)VLAN切換，實(shí)現(xiàn)對(duì)不安全終端的隔離。一個(gè)交換機(jī)端口下面只能接一臺(tái)終端，只有通過(guò)LAN接入才能做準(zhǔn)入控制，VPN／Wirelesss不能實(shí)現(xiàn)，而網(wǎng)絡(luò)交換機(jī)、HUB不支持802．1x協(xié)議，許多無(wú)線AP支持802．1x，但是不支持動(dòng)態(tài)VLAN切換，不同廠商在802．1x協(xié)議實(shí)現(xiàn)上有差別，存在兼容性問(wèn)題。

1．2 Cisco NAC準(zhǔn)入控制

這種準(zhǔn)入控制方式組網(wǎng)靈活，適合多種類型設(shè)備：交換機(jī)、路由器、VPN接入設(shè)備等只要終端訪問(wèn)后臺(tái)資源中間有支持NAC－L2／3－IP的設(shè)備即可通過(guò)ACL動(dòng)態(tài)下載，可以實(shí)現(xiàn)非常精確的資源訪問(wèn)。不同的終端、不同的用戶可以訪問(wèn)不同的網(wǎng)絡(luò)資源，指示明確，用戶違反安全管理規(guī)定時(shí)，網(wǎng)絡(luò)設(shè)備對(duì)其HTTP訪問(wèn)重定向。重定向URL可以在Radius服務(wù)器上設(shè)置，不影響網(wǎng)絡(luò)的可靠性和功能，在邊緣接入或者匯聚層進(jìn)行準(zhǔn)入控制。其常見(jiàn)問(wèn)題：產(chǎn)品的兼容性、耦合性問(wèn)題會(huì)給部署實(shí)施帶來(lái)巨大的困難和復(fù)雜性 ，不支持Cisco以外網(wǎng)絡(luò)廠商的設(shè)備。

1．3 DHCP準(zhǔn)入控制

這種控制費(fèi)用低，通過(guò)更換DHCP服務(wù)器軟件即可實(shí)現(xiàn)，但如果用戶手工設(shè)置IP，可以繞開(kāi)準(zhǔn)入控制。

1．4 ARP干擾技術(shù)

ARP干擾技術(shù)的優(yōu)點(diǎn)：技術(shù)簡(jiǎn)單，實(shí)現(xiàn)成本低。缺點(diǎn)：在網(wǎng)絡(luò)上產(chǎn)生ARP廣播，可能會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行，要求在每個(gè)網(wǎng)段部署一個(gè)干擾器。

1．5 UniAccess準(zhǔn)入控制解決方案

UniAccess支持基于802．1x協(xié)議的準(zhǔn)入控制，支持多廠商網(wǎng)絡(luò)設(shè)備，支持Cisco EoU認(rèn)證的準(zhǔn)入控制，比802．1x更靈活，組網(wǎng)更方便。通過(guò)LeagView準(zhǔn)入控制器實(shí)現(xiàn)準(zhǔn)入控制。它同時(shí)是一套綜合型桌面管理產(chǎn)品，不但彌補(bǔ)了以上幾種方案的不足，還集準(zhǔn)入控制、系統(tǒng)安全、信息安全、桌面管理于一身。

圖1所示為UniAcessTM網(wǎng)絡(luò)準(zhǔn)入控制部署示意圖。

圖1 UniAcessTM網(wǎng)絡(luò)準(zhǔn)入控制部署示意圖

2 UniAccess準(zhǔn)入控制技術(shù)的價(jià)值

如圖2所示，部署了UniAccess準(zhǔn)入控制后，可以在四個(gè)層面上進(jìn)行網(wǎng)絡(luò)終端管控。

圖2 UniAccess準(zhǔn)入控制下的網(wǎng)絡(luò)終端管控

2．1 準(zhǔn)入控制

在終端的部署中，讓接入網(wǎng)絡(luò)的終端都安裝代理，除單獨(dú)設(shè)置例外，對(duì)接入的設(shè)備進(jìn)行驗(yàn)證，防止非法接入，不符合安全要求的終端不能直接訪問(wèn)并被自動(dòng)隔離。

2．2 信息安全

通過(guò)對(duì)移動(dòng)存儲(chǔ)介質(zhì)（U盤(pán)、移動(dòng)硬盤(pán)）進(jìn)行管理，防止非法移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)網(wǎng)使用，禁止EXE文件運(yùn)行；可以禁用和審計(jì)Modem、無(wú)線網(wǎng)卡、光驅(qū)、軟驅(qū)等外聯(lián)設(shè)備；可以禁用和審計(jì)MSN、QQ外傳、電子郵件外傳、WebMail外傳、文件共享外傳、打印外傳。

2．3 系統(tǒng)安全

系統(tǒng)安全主要包括以下幾方面：（1）桌面終端安全檢查：操作系統(tǒng)是否安裝了必要的補(bǔ)丁，桌面系統(tǒng)的防病毒系統(tǒng)設(shè)置，是否安裝了防病毒軟件，病毒掃描引擎是否更新，病毒特征碼是否更新。桌面終端安全加固，禁止危險(xiǎn)進(jìn)程、服務(wù)和非法軟件的運(yùn)行，網(wǎng)絡(luò)訪問(wèn)控制，內(nèi)置雙向防火墻。Windows的本地安全策略自動(dòng)分發(fā)，并且可以控制終端（禁止修改注冊(cè)表、IP地址、IE的設(shè)置等）。（2）網(wǎng)絡(luò)異常分析：發(fā)現(xiàn)廣播、流量異常的終端，管理員可以定義流量的行為模式，支持廣播、流量大小、TCP連接、端口掃描等異常檢測(cè)。發(fā)現(xiàn)被未知病毒、Spyware、木馬感染的計(jì)算機(jī)，發(fā)現(xiàn)員工私自使用黑客或者網(wǎng)絡(luò)工具掃描、破壞網(wǎng)絡(luò)，避免病毒、木馬快速擴(kuò)散，流量統(tǒng)計(jì)分析和流量控制，統(tǒng)計(jì)終端與外界的網(wǎng)絡(luò)交互日志，分析終端流量的組成情況針對(duì)指定的進(jìn)程或軟件實(shí)現(xiàn)流量控制。（3）IP地址管理：IP地址沖突，防止盜用 ，IP地址定位，依據(jù)IP找到人或電腦 ，防止ARP網(wǎng)關(guān)欺騙。（4）其它：設(shè)備接入自動(dòng)報(bào)警，PC接入報(bào)警：第一時(shí)間告訴管理員當(dāng)前在什么位置有新設(shè)備接入網(wǎng)絡(luò)；HUB接入報(bào)警：自動(dòng)發(fā)現(xiàn)私接HUB的網(wǎng)絡(luò)端口等。

2．4 桌面管理

桌面管理包括：（1）補(bǔ)丁管理。自動(dòng)獲取微軟系統(tǒng)補(bǔ)丁，支持多級(jí)補(bǔ)丁服務(wù)器，靈活的補(bǔ)丁安裝策略，管理員可指定補(bǔ)丁安裝時(shí)間、安裝方式，支持推（PUSH）和拉（PULL），支持?jǐn)帱c(diǎn)續(xù)傳，終端可以從WSUS、MS網(wǎng)站下載補(bǔ)丁，補(bǔ)丁是否安裝需要經(jīng)過(guò)管理員批準(zhǔn)，客戶端可以看到哪些補(bǔ)丁可以安裝、支持快速自動(dòng)安裝、軟件分發(fā)、支持自動(dòng)強(qiáng)制安裝、交互式安裝等多種方式，對(duì)安裝包格式無(wú)特殊要求，非常靈活的安裝條件，按照操作系統(tǒng)、軟件，分組按照部門(mén)、網(wǎng)段等可以設(shè)置策略避免網(wǎng)絡(luò)擁塞，斷點(diǎn)續(xù)傳，支持大規(guī)模分發(fā)，流量控制，下載時(shí)間通過(guò)算法隨機(jī)錯(cuò)開(kāi)。（2）支持資產(chǎn)管理。硬件、軟件、網(wǎng)絡(luò)設(shè)備資產(chǎn)統(tǒng)計(jì)，軟件、硬件資產(chǎn)變更報(bào)告，CPU、內(nèi)存、硬盤(pán)、內(nèi)部插卡等的變化自動(dòng)報(bào)告，軟件配置變化自動(dòng)報(bào)告，資產(chǎn)編號(hào)管理與財(cái)務(wù)的融合資產(chǎn)維護(hù)記錄。

3 結(jié)束語(yǔ)

通過(guò)UniAccess準(zhǔn)入控制技術(shù)的部署，網(wǎng)管人員可以輕松通過(guò)UniAccess平臺(tái)上的對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)終端進(jìn)行快速有效的管理，使企業(yè)的網(wǎng)絡(luò)安全得到顯著提升。

［1］ 馬里克，王寶生（譯）．網(wǎng)絡(luò)安全原理與實(shí)踐［M］．北京：人民郵電出版社，2002．