基于軟件定義的網絡準入控制體系*

鄧永暉，周 佳，鹿文楊

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

作為內網安全防護的“第一道關卡”，網絡準入控制依托身份認證和安全檢查結果實施訪問控制措施，阻止身份不合法、狀態(tài)不合規(guī)的對象接入，解決局域網邊界安全問題。隨著網絡的發(fā)展和信息化程度的提升，各種打印機、攝像頭、IP 電話、BYOD 手持設備等“啞終端”不斷涌現，對傳統(tǒng)安裝代理進行入網認證的方式提出挑戰(zhàn)，于是興起了各種無代理準入技術[1]，擺脫對網絡通信設備和客戶端代理的依賴，如李京飛提出的基于終端特征指紋的準入控制[2]。同時，云平臺、虛擬化、物聯網等新技術逐步使用，網絡準入控制也向資產發(fā)現、內網資源管控的方向拓展，如劉濤等提出的實現無盲區(qū)準入控制目標的解決方案[3]。

面對未來愈加復雜異構的局域網環(huán)境，各種應用場景和安全要求并存，單一的準入控制機制，或者某幾種準入控制機制的簡單堆砌已不能滿足所有的安全防護和管理運維要求，功能完備、自適應能力強、部署維護簡便、分析展現直觀，無疑將是網絡準入控制系統(tǒng)的一個重點發(fā)展方向。

1 網絡準入控制框架

網絡準入控制技術與機制眾多，但其核心思想和框架模型都是統(tǒng)一的，如圖1 所示。

圖1 網絡準入控制框架

框架中包括三個實體：

（1）入網實體。局域網外部待接入的對象，包含人和終端。人主要指其身份信息，終端的范疇則涵蓋PC 機、服務器、打印機、IP 電話、音視頻設備和BYOD 設備等。在準入認證過程中通過身份證書、物理特征、行為基線等來識別入網實體。

（2）鑒別實體。局域網內提供認證鑒別服務的實體（如AAA 服務器等），與入網實體進行認證信息交互，結合安全策略實施入網判決，將判決結果通知控制實體，并記錄接入狀態(tài)和日志信息。

（3）控制實體。局域網內實施接入控制操作的實體（如802.1X 交換機等），接收鑒別實體發(fā)送的判決結果，在網絡、端口、協(xié)議、流量等層面施加訪問控制。部分場景中控制實體可與鑒別實體合二為一（如網關式準入）。

不同準入控制機制的區(qū)別主要體現在網絡準入控制的三類方法中：

（1）認證方法。鑒別實體對接入實體進行認證鑒權采用的工作模式、部署方式和認證技術的組合，工作模式有旁路模式和串接模式；部署方式包括有代理方式和針對啞終端的無代理方式；認證技術有傳統(tǒng)的802.1X、PORTAL、DHCP 等，以及基于資產探測和特征識別的無代理認證技術[4]。

（2）聯動方法。鑒別實體通知控制實體進行入網控制的方法，傳統(tǒng)的準入技術其工作流程已包含聯動方法，如支持802.1X 和PORTAL 協(xié)議的交換機能解析認證消息并自動實施控制；無代理準入時則需要鑒別實體通過SNMP、SSH 等遠程管理方式主動下發(fā)交換機配置策略以實現控制。

（3）控制方法?？刂茖嶓w根據策略對接入實體實施訪問控制的方法，有基于終端軟件的控制（如ARP 阻斷、終端本地防火墻）、基于網絡設備的控制（如交換機端口控制、ACL 控制）和基于網絡應用協(xié)議的控制（策略路由、虛擬網關、TCP 連接）等。

2 軟件定義概念

軟件定義，即用軟件定義系統(tǒng)功能，通過軟件編程實施靈活、多樣的功能編排，實現系統(tǒng)動態(tài)賦能，提供用戶化、智能化和定制化的服務能力。2009 年斯坦福大學首次提出SDN（Software Defined Network，軟件定義網絡）概念[5]，ONF（Open Networking Foundation，開放網絡基金會）在2012年發(fā)布SDN 技術白皮書[6]，并致力于加速其部署，希望通過軟件編程的形式定義和控制網絡。Gartner在2012 年提出SDS（Software Defined Security，軟件定義安全）概念[7]，將網絡安全設備與其接入模式、部署方式、實現功能進行解耦，底層抽象為安全資源池里的資源，頂層通過軟件編程方式進行智能化、自動化的編排和管理，完成相應安全功能，實現一種靈活的安全體系，在復雜網絡防護上表現出更強的適應性。

3 軟件定義準入控制

3.1 模型

由于網絡結構的復雜性，局域網準入的認證、聯動和控制方法呈現多樣化發(fā)展，衍生了各種聯動和組合，本文借鑒軟件定義的思想，提出一種準入控制體系，通過軟件編程的方式自動編排各種準入控制資源構件，實現靈活智能的組織模式，為用戶提供定制化、自適應的準入控制服務，適應不同場景需求。

基于軟件定義的準入控制模型如圖2 所示。

圖2 軟件定義準入控制模型

資源編排、控制檢測和管理呈現三個方面形成一個動態(tài)、閉環(huán)的工作模型，體現靈活組織、統(tǒng)一管理的特點。

（1）資源編排：根據統(tǒng)一管理和配置，由軟件編程的方式實現認證、聯動和控制方法的按需組合，達到準入資源靈活聯動和協(xié)同作用的目標。

（2）控制檢測：在實施準入控制的同時，檢測局域網邊界及內部的異常情況和薄弱環(huán)節(jié)，實施安全審計，并向統(tǒng)一管理平臺上報日志、告警數據。

（3）管理呈現：集中管理各類準入控制資源，實施統(tǒng)一注冊、池化管理、彈性分配和動態(tài)加載；集中展示當前局域網準入態(tài)勢，通過分析預測，針對當前態(tài)勢演化出針對性的解決方案并指導自適應編排過程，實現閉環(huán)體系。

3.2 架構

軟件定義準入控制體系的核心是資源按需編排、快速靈活部署和態(tài)勢統(tǒng)一呈現，實現自適應的準入控制能力和內網資產及準入態(tài)勢展現能力，其架構如圖3 所示。

圖3 軟件定義準入控制架構

整個架構包含四個層面：

（1）管理層。位于最頂層，用于人機交互，它基于編排層提供的API 下發(fā)準入功能需求策略描述，由編排層進行解析和處理。同時，從當前運行的準入資源構件中收集終端資產和網絡拓撲信息進行展現，匯總準入日志和告警信息進行統(tǒng)計分析，提供內網終端準入態(tài)勢的可視化呈現，為管理人員掌握內網安全狀態(tài)和系統(tǒng)自適應調整安全策略提供數據支撐和預測素材。

（2）編排層。整個體系的核心功能層，根據管理層下發(fā)的功能及場景需求描述，通過語義解析、特征識別、編排組織等流程生成針對性的策略模板（包括工作模式、部署方式、認證方式、控制粒度和聯動機制等要素），滿足用戶對準入控制的能力定制要求，適應網絡的應用場景特點。編排完成后向管理層反饋編排結果，并向控制層下發(fā)模板和策略。

（3）控制層。根據編排部署策略模板，實現對資源層功能構件的編排和管理。通過解析編排策略為資源調度提供依據；通過資源管理實現插件化的準入資源構件注冊、注銷和維護；通過統(tǒng)一調度實現各功能插件的協(xié)調運行和功能互補；通過狀態(tài)監(jiān)控實現插件工作狀態(tài)監(jiān)管和異常沖突等的處理。

（4）資源層。包含各類準入控制功能模塊，這些模塊在控制層注冊后成為準入資源池的公共資源，接受集中管理和統(tǒng)一調度，實現協(xié)同工作，發(fā)揮單一準入控制功能無法達到的防護效能；同時，各功能模塊也按照統(tǒng)一的數據規(guī)范向管理層上報端點接入信息、網絡拓撲信息和日志告警信息，供其進行綜合統(tǒng)計與分析展示。

3.3 主要技術

（1）準入資源自動編排技術

資源編排是軟件定義準入控制體系的核心技術，是實現功能適配、場景兼容和能力自適應的關鍵，工作機制如圖4 所示。

圖4 準入資源自動編排機制

資源自動編排過程如下：

第一步，根據準入語義庫的規(guī)則對用戶的需求及應用場景的描述進行語義解析和轉換，形成可供后續(xù)處理的標準化特征描述，如終端類型、網絡規(guī)模、組網方式、接入要求、安全級別等；

第二步，將特征描述與準入特征庫的特征數據進行匹配，識別出有效的特征；

第三步，直接從準入模板庫中匹配和提取滿足需求的成熟模板，或者從資源池中讀取功能構件的注冊描述信息，基于需求的特征進行智能編排組織，形成新的自定義模板；

第四步，向底層下發(fā)編排模板和部署策略；

第五步，編排結束后，通過編排時的上下文關聯學習，對準入語義庫、準入特征庫和準入模板庫進行更新，包括庫內容和匹配模式的更新等。

（2）資產發(fā)現與拓撲繪制技術

通過資產發(fā)現與識別可以形成局域網的IP 資產清單，通過網絡拓撲分析與繪制可以形成局域網的物理拓撲和邏輯拓撲，為管理運維和應急處置等提供有力支撐。資產發(fā)現與拓撲繪制的工作機制如圖5 所示。

針對資產的掃描識別與網絡拓撲的繪制分析包括主動發(fā)現和被動發(fā)現兩種方式。

主動發(fā)現依托終端上安裝的代理軟件獲取終端硬件的詳細指紋特征、準入認證信息和網絡會話信息；依托網絡掃描嗅探獲取無代理終端的資產指紋特征并檢測非法接入終端，依托與網絡設備的聯動獲取終端和網絡設備間的連接關系。

圖5 資產發(fā)現與拓撲繪制機制

被動發(fā)現依托交換機鏡像口等方式獲取內網流量，通過流量分析獲取終端間的網絡會話關系。

更進一步的，通過資產指紋與特征庫的匹配識別資產的類型、廠家、型號等信息，通過網絡連接關系分析繪制網絡的物理拓撲，通過終端會話關系分析繪制網絡的邏輯拓撲，最終由統(tǒng)一監(jiān)管平臺進行集中管理和態(tài)勢展現。

（3）準入控制技術對比分析

網絡準入控制從最初基于終端軟件的架構（Software-based NAC，如終端防火墻），發(fā)展到基于網絡基礎設施的架構（Infrastructure-based NAC，如802.1X、PORTAL），再到基于應用的架構（Appliance-based NAC，如策略路由、虛擬網關準入），涌現了各種準入控制技術，業(yè)界也在研究這些技術的優(yōu)勢互補和融合，如基于DHCP 和TCP特征掃描的準入控制[2]、定制化的無盲區(qū)綜合網絡準入方案[3]、基于802.1X+portal 的準入應用[8]、基于策略路由和MVG 技術融合的準入體系[9]、基于多種準入技術實現準入控制和審計[10]。準入技術的融合互補是必然的發(fā)展趨勢，下面對主流準入控制技術進行對比分析，如表1 所示，以作為功能編排融合的參考。

表1 準入控制技術分析

4 應用場景

基于軟件定義的網絡準入控制可以根據用戶需求進行功能編排自適應，滿足不同場景的應用要求，下面以幾種典型場景為例說明：

場景一：高安全級別專用網絡。該場景安全性是首要需求，部署維護的復雜性可以接受，因此可編排802.1X+策略路由（或虛擬網關）+資產發(fā)現的準入體系，兼顧有代理終端的細粒度認證、端口級強制管控，以及音視頻等啞終端的硬件指紋生成、仿冒識別和流量訪問控制。

場景二：用戶要求較好的入網認證體驗和故障逃生能力。該場景更傾向于易用性，一般采用引導式入網手段，在交換機支持PORTAL 協(xié)議的情況下可以編排PORTAL+認證代理的體系，否則可編排策略路由+資產發(fā)現的體系。

場景三：以WEB 應用為主的網絡，要求部署簡便的準入控制系統(tǒng)。該場景中應用業(yè)務以WEB為主，同時考慮部署便捷性，可以編排SPAN+TCP RESET 的應用協(xié)議準入控制實現，非法終端的HTTP 訪問會因TCP 握手過程被阻斷而無法完成。同時，根據用戶需求可以采用有代理的認證或者基于資產特征識別的無代理認證手段。

場景四：采用DHCP 管理IP 的啞設備網絡。該場景允許采用DHCP 動態(tài)分配IP 地址，且無法安裝代理軟件，通過編排DHCP+資產特征識別+IPAM 的體系解決，在DHCP 過程中根據DHCP 響應數據和TCP 端口分析形成硬件指紋，識別仿冒終端，同時通過IPAM 實現IP 地址可視化集中管理。在交換機支持DHCP Snooping+DAI 的情況下，還可增加交換機聯動機制，開啟網絡中接入交換機的防護功能。

5 結 語

本文對網絡準入控制框架及體系發(fā)展進行綜述，提出了一種基于軟件定義思想的準入控制體系，包括概念、模型和架構，從資源編排、資產識別、集中管控與態(tài)勢呈現等方面介紹了體系的核心技術和工作機制，并對比分析了常用準入控制技術，為軟件編排提供參考。相較于單一或固定的準入控制體系，軟件定義準入控制體系依托準入功能資源池化和智能化編排，可以靈活衍變以適應不同應用場景的需要，并通過內網資產集中管理和準入態(tài)勢統(tǒng)一呈現為管理人員提供微觀細粒度管控和宏觀全態(tài)勢掌控能力。