河南省水利系統(tǒng)局域網(wǎng)準(zhǔn)入控制系統(tǒng)對(duì)比分析

□趙新強(qiáng) □閆曉敏 □楊 栓（河南省水利信息中心）

1 實(shí)行局域網(wǎng)準(zhǔn)入控制的必要性

河南省水利系統(tǒng)目前已實(shí)現(xiàn)了省、市、縣三級(jí)網(wǎng)絡(luò)連接，網(wǎng)絡(luò)已覆蓋了河南省水利廳、18個(gè)市水利局、134個(gè)縣（區(qū)）水利局及34個(gè)廳屬單位，網(wǎng)絡(luò)終端三千余個(gè)。各級(jí)聯(lián)網(wǎng)單位均配置有網(wǎng)絡(luò)防火墻，省廳和市水利局還配置有入侵防御設(shè)備，加強(qiáng)互聯(lián)網(wǎng)防護(hù)。但是局域網(wǎng)內(nèi)部安全管理非常薄弱，亟需加強(qiáng)。

據(jù)權(quán)威調(diào)查報(bào)告顯示，75%的IT管理者認(rèn)為內(nèi)部網(wǎng)絡(luò)的終端是使他們的IT系統(tǒng)受到攻擊的最主要來源。用戶終端不及時(shí)修復(fù)系統(tǒng)漏洞，不安裝殺毒軟件，隨意安裝網(wǎng)絡(luò)上下載的各種軟件，導(dǎo)致終端病毒大量占用帶寬，阻塞網(wǎng)絡(luò)；或者導(dǎo)致終端被植入木馬，成為黑客的傀儡肉雞，在局域網(wǎng)內(nèi)部繞過了入侵防御、防火墻等安全防線，直接面對(duì)網(wǎng)絡(luò)核心業(yè)務(wù)，造成數(shù)據(jù)丟失。所以內(nèi)部安全防護(hù)非常重要，而內(nèi)部防護(hù)的精髓就是接入可控，要建立一套切實(shí)可行的準(zhǔn)入控制系統(tǒng)。

局域網(wǎng)準(zhǔn)入控制系統(tǒng)包含了終端身份、終端安全、終端權(quán)限、終端在線防御、終端在線審計(jì)、終端資產(chǎn)管理等內(nèi)容。通過準(zhǔn)入控制系統(tǒng)，可以有效解決網(wǎng)絡(luò)安全管理規(guī)范落實(shí)的問題，使規(guī)范不再是一紙空文，不按規(guī)定執(zhí)行的用戶不能聯(lián)網(wǎng)，用強(qiáng)有力手段使用戶遵守規(guī)定；可以實(shí)現(xiàn)接入用戶及設(shè)備的實(shí)名制，通過綁定IP地址、網(wǎng)卡MAC地址、賬號(hào)、交換機(jī)端口號(hào)等多種手段有效核實(shí)用戶身份，以確保用戶對(duì)各種網(wǎng)絡(luò)資源的使用行為承擔(dān)責(zé)任，發(fā)生網(wǎng)絡(luò)安全事故后，根據(jù)聯(lián)網(wǎng)日志審計(jì)系統(tǒng)也可以很快定位到個(gè)人；可以在網(wǎng)絡(luò)受到攻擊時(shí)快速定位攻擊源；可以解決內(nèi)網(wǎng)分角色分區(qū)域訪問控制的問題，不同的用戶獲取不同的權(quán)限，訪問不同的資源；可以解決各種智能移動(dòng)終端和外來人員的身份認(rèn)證問題等。

2 局域網(wǎng)準(zhǔn)入控制系統(tǒng)

河南省水利系統(tǒng)各聯(lián)網(wǎng)單位目前普遍采用華三通信技術(shù)有限公司（H3C）的交換路由設(shè)備及統(tǒng)一品牌的防火墻、上網(wǎng)行為管理等設(shè)備，所以結(jié)合實(shí)際選擇局域網(wǎng)準(zhǔn)入控制系統(tǒng)，對(duì)其他品牌如思科設(shè)備及相關(guān)技術(shù)EOU等不予考慮。下面從設(shè)備控制、軟件控制和客戶端控制3個(gè)大的類型對(duì)比選型，選擇適合自己的準(zhǔn)入控制系統(tǒng)。

2.1 設(shè)備準(zhǔn)入控制

僅通過網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)局域網(wǎng)準(zhǔn)入控制，主要管理設(shè)備有防火墻、上網(wǎng)行為管理、交換機(jī)、路由器等。

各單位均配置有天融信防火墻，防火墻除了在出口處配置互聯(lián)網(wǎng)訪問策略外，還可以學(xué)習(xí)ARP表，添加終端信息，如使用人、IP地址、MAC地址，并通過綁定，有效攔截非法人員和外來人員接入網(wǎng)絡(luò)，達(dá)到初步的終端準(zhǔn)入控制效果。

各市水利局配置有深信服上網(wǎng)行為管理設(shè)備，除了可以綁定用戶IP地址、MAC地址，還自帶500 g硬盤，可以記錄3個(gè)月以上的用戶聯(lián)網(wǎng)日志，有各種報(bào)表便于統(tǒng)計(jì)分析網(wǎng)絡(luò)使用情況。上網(wǎng)行為管理設(shè)備還可以控制用戶的上網(wǎng)流量，限制P2P、視頻等應(yīng)用流量，保障關(guān)鍵業(yè)務(wù)的流量。在局域網(wǎng)內(nèi)出現(xiàn)超大流量攻擊時(shí)，可以通過啟用安全防護(hù)的防DOS攻擊功能，阻斷攻擊源，并可以定位具體使用人，從而真正切斷攻擊。

個(gè)別單位采用銳捷的路由器設(shè)備，這些網(wǎng)絡(luò)安全設(shè)備也可以實(shí)現(xiàn)綁定用戶地址，控制流量的功能，還可以啟動(dòng)端口攔截等防火墻功能。功能齊全并且價(jià)格也不貴，適合用戶不超過100人的小單位使用。

上述設(shè)備均部署在網(wǎng)絡(luò)出口，不能有效管理到設(shè)備端口。為了進(jìn)一步加強(qiáng)局域網(wǎng)準(zhǔn)入控制，可以在H3C交換機(jī)配置命令，實(shí)現(xiàn)交換機(jī)端口、IP地址和MAC地址的綁定，通過這樣的綁定，可以有效控制ARP病毒，非法IP地址根本出不了交換機(jī)端口，也就不能影響其它用戶，也可以有效防止用戶亂設(shè)IP及偽造別人MAC地址的情況。缺點(diǎn)是維護(hù)繁瑣且需要管理員有高水平，用戶一旦有變更就需要重新配置交換機(jī)，這時(shí)如果管理員不在，用戶就無法聯(lián)網(wǎng)。

設(shè)備控制適用于市縣水利局，只有一兩個(gè)VLAN，用戶少的單位。優(yōu)點(diǎn)是經(jīng)濟(jì)實(shí)用，甚至不用再投資，利用現(xiàn)有設(shè)備就可以實(shí)現(xiàn)準(zhǔn)入控制。多數(shù)設(shè)備有圖形界面，操作簡(jiǎn)單。缺點(diǎn)是控制功能少，多數(shù)不能管理到局域網(wǎng)端口，用戶在網(wǎng)絡(luò)內(nèi)部仍可通訊，并且用戶可以通過偽造MAC地址等手段逃避監(jiān)管控制。

2.2 軟件準(zhǔn)入控制

僅通過網(wǎng)絡(luò)管理系統(tǒng)軟件，不需要用戶安裝客戶端就可以實(shí)現(xiàn)局域網(wǎng)準(zhǔn)入控制，主要管理軟件有廣通、北塔、網(wǎng)強(qiáng)等。

網(wǎng)絡(luò)管理系統(tǒng)軟件可以通過SNMP、ICMP、NetBIOS、ARP等多種手段自動(dòng)、準(zhǔn)確、及時(shí)地發(fā)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，發(fā)現(xiàn)網(wǎng)絡(luò)用戶IP分布情況，幫助管理人員全面了解整體網(wǎng)絡(luò)運(yùn)行情況；并對(duì)局域網(wǎng)內(nèi)服務(wù)器、交換機(jī)、用戶終端進(jìn)行資產(chǎn)管理，落實(shí)實(shí)名制；通過內(nèi)置合法性檢測(cè)引擎，自動(dòng)監(jiān)測(cè)網(wǎng)內(nèi)設(shè)備的基本屬性（IP地址、MAC地址、主機(jī)名、連接的交換機(jī)端口等），當(dāng)發(fā)現(xiàn)與登記資料不符的情況，就通過多種安全策略，如通過SNMP協(xié)議private寫操作直接關(guān)閉交換機(jī)端口，阻斷非法終端接入；持續(xù)地監(jiān)視、報(bào)告網(wǎng)絡(luò)的運(yùn)行情況；實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存、流量等運(yùn)行性能指標(biāo)，持續(xù)跟蹤和分析設(shè)備負(fù)載的變化；可以采集包括交換機(jī)端口鏡像流量、sFlow流量、NetFlow流量，分析當(dāng)前網(wǎng)絡(luò)的協(xié)議和會(huì)話，實(shí)現(xiàn)從端口到應(yīng)用的廣泛流量分析和統(tǒng)計(jì)；可以通過實(shí)時(shí)監(jiān)控，對(duì)故障、性能、安全、主動(dòng)Trap、Syslog等各類告警事件進(jìn)行接收和分級(jí)；可對(duì)故障進(jìn)行根源分析，在拓?fù)浣Y(jié)構(gòu)圖上以不同顏色突出顯示，快速定位故障，幫助管理人員及時(shí)、高效解決網(wǎng)絡(luò)中出現(xiàn)的故障。

軟件準(zhǔn)入控制的最大優(yōu)點(diǎn)就是操作簡(jiǎn)單易用，圖形界面一目了然，遇到非法用戶也可以自動(dòng)攔截，便于管理維護(hù)。缺點(diǎn)就是控制能力有限，對(duì)局域網(wǎng)內(nèi)無線路由器、對(duì)使用智能終端的移動(dòng)用戶無法控制，并且需要局域網(wǎng)交換機(jī)是有SNMP功能可網(wǎng)管的交換機(jī)，交換機(jī)端口下還有HUB等不可網(wǎng)管設(shè)備則也無法監(jiān)測(cè)控制相應(yīng)終端。

2.3 客戶端準(zhǔn)入控制

要想實(shí)現(xiàn)更精細(xì)的局域網(wǎng)準(zhǔn)入控制，還是要借助客戶端軟件，這里也包含可溶性客戶端和插件式客戶端。通過客戶端，可以進(jìn)行更嚴(yán)格的身份認(rèn)證，可以同時(shí)綁定用戶名、密碼、MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息；可以對(duì)客戶端進(jìn)行完備的安全狀態(tài)評(píng)估，根據(jù)管理員配置的安全策略，檢查終端殺毒軟件安裝情況、補(bǔ)丁安裝情況、應(yīng)用軟件和服務(wù)運(yùn)行情況，并可以通過第三方服務(wù)器自動(dòng)對(duì)終端安裝補(bǔ)丁；可以進(jìn)行全方位的桌面資產(chǎn)管理，對(duì)終端軟硬件使用、變更情況、USB存儲(chǔ)介質(zhì)等外設(shè)使用情況進(jìn)行監(jiān)控，終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)等。目前有北信源、H3C等產(chǎn)品。

北信源的桌面安全管理軟件是典型的ARP攔截準(zhǔn)入控制，當(dāng)發(fā)現(xiàn)終端信息與服務(wù)器端資產(chǎn)不匹配時(shí)，會(huì)在局域網(wǎng)內(nèi)借助其他合法客戶端對(duì)非法用戶發(fā)起ARP攻擊進(jìn)行攔截，阻止其聯(lián)網(wǎng)。這種方式對(duì)局域網(wǎng)交換機(jī)無限制，適用于設(shè)備比較差的單位。缺點(diǎn)是當(dāng)局域網(wǎng)內(nèi)真有ARP病毒時(shí)，會(huì)使部分合法用戶也受牽連不能聯(lián)網(wǎng)。

H3C的IMC智能管理平臺(tái)，附帶有UAM和EAD管理組件，將用戶管理和網(wǎng)絡(luò)管理進(jìn)行了智能融合，不僅有上述客戶端功能，還可以基于角色網(wǎng)絡(luò)授權(quán)，不同用戶不同網(wǎng)絡(luò)訪問權(quán)限；對(duì)沒有通過安全檢查的用戶，放入隔離區(qū)，僅可以訪問部分服務(wù)器進(jìn)行安全加固；可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)洌芾砗捅O(jiān)控網(wǎng)絡(luò)設(shè)備信息和狀態(tài)。準(zhǔn)入控制認(rèn)證方式靈活，802.1x認(rèn)證和Portal認(rèn)證方式均可；認(rèn)證形式也靈活，配置高的用戶可選用專門定制的windows客戶端，配置差的用戶可選用基于網(wǎng)頁的可溶解客戶端，移動(dòng)終端用戶可僅通過網(wǎng)頁進(jìn)行認(rèn)證。

802.1 x認(rèn)證方式是以接入層交換機(jī)作為控制點(diǎn)，要在每個(gè)接入交換機(jī)上都配置802.1x。然后通過客戶端進(jìn)行認(rèn)證，認(rèn)證成功則打開對(duì)應(yīng)交換機(jī)端口，順利聯(lián)網(wǎng)，不成功則使對(duì)應(yīng)端口保持關(guān)閉，只允許EAPOL認(rèn)證報(bào)文通過。Portal認(rèn)證方式以匯聚層交換機(jī)作為控制點(diǎn)，僅需要在網(wǎng)關(guān)處進(jìn)行配置。在用戶認(rèn)證不成功的情況下，進(jìn)行頁面重定向跳轉(zhuǎn)到Portal認(rèn)證頁面，提醒用戶安裝客戶端，如果認(rèn)證成功，則在網(wǎng)關(guān)處放行，用戶聯(lián)網(wǎng)處于直通狀態(tài)。

這兩種方式各有利弊。802.1x方式管理嚴(yán)格，可以直接控制到接入層交換機(jī)端口，有效防止來自網(wǎng)絡(luò)內(nèi)部的安全威脅，缺點(diǎn)是配置和解除綁定均較繁瑣，且接入層交換機(jī)要可網(wǎng)管，對(duì)廣域網(wǎng)支持基本無效。Portal配置簡(jiǎn)單，僅在網(wǎng)關(guān)或路由設(shè)備配置，可以對(duì)VLAN進(jìn)行操作，啟用和解除均靈活，還可以方便的配置Portal認(rèn)證頁面，方便提醒用戶，可管理廣域網(wǎng)和無線網(wǎng)絡(luò)，對(duì)于網(wǎng)絡(luò)環(huán)境復(fù)雜的舊網(wǎng)改造和升級(jí)具有很大優(yōu)勢(shì)；缺點(diǎn)就是對(duì)VLAN內(nèi)用戶控制不嚴(yán)格。

通過客戶端進(jìn)行準(zhǔn)入控制的最大優(yōu)點(diǎn)就是控制更精細(xì)嚴(yán)格，可以有效控制無線用戶、智能終端聯(lián)網(wǎng)，可以防止用戶在路由器上偽造MAC，解決路由器不可控的問題，還可以解決不可網(wǎng)管交換設(shè)備下用戶身份認(rèn)證問題，可以管理到通過路由連接的其他網(wǎng)絡(luò)。但缺點(diǎn)是終端情況復(fù)雜易出現(xiàn)各種問題從而增加了管理難度，同時(shí)系統(tǒng)軟件價(jià)格也最貴。

3 結(jié)語

河南省水利系統(tǒng)局域網(wǎng)準(zhǔn)入控制需要有一套管理制度及完備的管理資料，然后才是根據(jù)各單位實(shí)際情況，選擇適合的系統(tǒng)。各單位可以采用多種方式結(jié)合的辦法，充分挖掘現(xiàn)有設(shè)備功能、完善配置，然后根據(jù)單位規(guī)模、財(cái)力、管理員水平等因素選擇合適的系統(tǒng)，從而做到接入可控，加強(qiáng)內(nèi)部安全管理。