黃嶺 步文海

工程兵指揮學(xué)院教育技術(shù)中心 江蘇 221004

0 引言

網(wǎng)絡(luò)技術(shù)的日益更新帶來了動態(tài)而無定式的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。復(fù)雜的網(wǎng)絡(luò)環(huán)境需要具有較高動態(tài)性和可擴展性的安全解決方案，以應(yīng)對不同類型的威脅和黑客攻擊。現(xiàn)今更多的安全技術(shù)解決方案已經(jīng)緊密地集成到了網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)中。越來越多的實踐證明，大多數(shù)的安全漏洞源于網(wǎng)絡(luò)內(nèi)部，并且在一段時間內(nèi)并不能被檢測出來。最新的攻擊傳播速度也表明，系統(tǒng)安全更新(補丁)遠落后于脆弱的系統(tǒng)被攻擊的速度，而且系統(tǒng)經(jīng)常在相應(yīng)廠商提供最新的更新程序之前就已經(jīng)遭受了攻擊。

當終端登錄到網(wǎng)絡(luò)時，它就具有影響網(wǎng)絡(luò)安全的潛在的威脅，未遵循網(wǎng)絡(luò)安全策略(病毒庫過期、系統(tǒng)漏洞未修補等)的終端普遍存在于園區(qū)網(wǎng)中。難以被發(fā)現(xiàn)且無法有效控制，每當它們連接網(wǎng)絡(luò)時，就增加了網(wǎng)絡(luò)的安全威脅。而傳統(tǒng)的安全產(chǎn)品和技術(shù)都是相互獨立工作的，如防火墻、訪問控制措施和入侵檢測和防護系統(tǒng)主要是面對網(wǎng)絡(luò)外部的攻擊的，并不能提供充足的防御來抵抗內(nèi)部的威脅。

目前的園區(qū)網(wǎng)終端安全接入技術(shù)的主要思路是從終端著手，通過管理員制定的安全策略，對接入園區(qū)網(wǎng)的主機進行安全性檢測，自動拒絕不安全的主機接入保護網(wǎng)絡(luò)直到這些主機符合網(wǎng)絡(luò)內(nèi)的安全策略為止。具有代表性的技術(shù)包括：思科的網(wǎng)絡(luò)接入控制技術(shù)(NAC)、微軟的網(wǎng)絡(luò)訪問保護技術(shù)(NAP)以及TCG組織的可信網(wǎng)絡(luò)連接(TNC)技術(shù)等。本文將依據(jù)思科的 NAC框架技術(shù)來給出園區(qū)網(wǎng)終端安全接入的設(shè)計。

1 基于思科NAC框架的園區(qū)網(wǎng)終端安全接入系統(tǒng)設(shè)計

1.1 系統(tǒng)設(shè)計依據(jù)

網(wǎng)絡(luò)接入控制是一項由思科發(fā)起、多家廠商參與的網(wǎng)絡(luò)終端安全接入計劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)網(wǎng)絡(luò)安全造成危害。借助NAC，網(wǎng)絡(luò)將只允許合法的、值得信任的終端設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò)，而不允許其他設(shè)備的接入。

對于 NAC的解決方案，思科提出了兩種不同的形式?；谒伎?NAC設(shè)備的解決方案和基于 NAC框架的解決方案。前者以NAC設(shè)備專用的思科清除訪問(CCA)為基礎(chǔ)，其并不依賴于第三方的產(chǎn)品和廠商，能夠提供自給自足的終端評估、策略管理和修復(fù)服務(wù)，由于它是思科包裝的解決方案，依賴于思科的網(wǎng)絡(luò)設(shè)備，所以適用于對全新網(wǎng)絡(luò)的設(shè)計規(guī)劃，而在已有的網(wǎng)絡(luò)實施中無法展開。

而基于 NAC框架的解決方案使用現(xiàn)有的網(wǎng)絡(luò)基本機構(gòu)和第三方廠商的解決方案，執(zhí)行與所有終端一致的安全策略，可以在已有的網(wǎng)絡(luò)中實施，無需投入新的設(shè)備，減少成本的開銷。在執(zhí)行接入控制時，網(wǎng)絡(luò)中的原有系統(tǒng)無需覆蓋。

基于 NAC框架的終端安全接入系統(tǒng)主要包含以下四個組件。

(1) 終端軟件：終端安全軟件包括反病毒軟件、安全代理軟件、個人防火墻和信任代理軟件。其中信任代理軟件是自由分布式軟件，可以從多個軟件客戶端收集終端安全狀態(tài)信息，并發(fā)送給連接在網(wǎng)絡(luò)中的執(zhí)行訪問控制策略的網(wǎng)絡(luò)接入設(shè)備。

(2) 網(wǎng)絡(luò)接入設(shè)備：網(wǎng)絡(luò)接入設(shè)備可以是第二層或者第三層的設(shè)備，用于實施基于終端遵從性的策略執(zhí)行和接入控制。

(3) 訪問控制與策略服務(wù)器：訪問控制和第三方廠商服務(wù)器負責(zé)評估網(wǎng)絡(luò)接入設(shè)備轉(zhuǎn)發(fā)的終端安全信息，并應(yīng)用相應(yīng)的網(wǎng)絡(luò)訪問策略。

(4) 管理系統(tǒng)：為NAC框架提供監(jiān)控和報告工具。

在園區(qū)網(wǎng)中，NAC框架的各組件功能如圖1所示。

1.2 系統(tǒng)功能模塊

在園區(qū)網(wǎng)的NAC系統(tǒng)主要包括圖2中的三個主要模塊。

圖2 園區(qū)網(wǎng)NAC系統(tǒng)的主要模塊組成

接入控制和認證模塊主要用來對終端接入進行身份的認證。系統(tǒng)設(shè)計應(yīng)支持用戶身份與接入終端的MAC地址、IP 地址、所在VLAN 等信息進行綁定，同時支持智能卡、數(shù)字證書認證，增強身份認證的安全性。

接入決策模塊通過對用戶身份的合法性，進而與接入策略模塊互動，確定終端安全狀態(tài)，根據(jù)決策的模型確定終端接入的狀態(tài)。決策模型基于策略模塊的反饋信息和用戶身份認證信息來決定網(wǎng)絡(luò)授權(quán)，按照分組、分級、分權(quán)限原則規(guī)范用戶的網(wǎng)絡(luò)使用行為。

接入策略模塊用來評估終端安全狀態(tài)，反饋給接入決策模塊，根據(jù)決策模塊的決策來進行修復(fù)。策略模塊中有行為審計功能，可以高效地收集用戶使用網(wǎng)絡(luò)資源的數(shù)據(jù)，記錄操作過程，分析用戶上網(wǎng)行為，掌握網(wǎng)絡(luò)運行狀態(tài)，并生成日志以備查用。具備網(wǎng)絡(luò)狀態(tài)查詢功能，能夠?qū)崟r監(jiān)測用戶在線、離線狀態(tài)，可以對接入用戶進行直觀管理，實時查看上網(wǎng)用戶信息、強制用戶下線、執(zhí)行安全檢查等操作。同時，允許接入的終端可以進行終端病毒庫版本檢查、終端補丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號配置等。

NAC框架組件中的管理系統(tǒng)可以集成為一個獨立的監(jiān)控模塊。它具有日志管理功能，對于用戶及管理人員的所有操作，包括登錄、注銷的時間、登錄 IP 地址以及登錄期間進行的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會記錄詳細的日志。同時，對各項性能具備管理功能，能夠?qū)崟r查看到網(wǎng)絡(luò)設(shè)備的CPU 利用率、流量等關(guān)鍵指標，支持實時性能監(jiān)視，當鏈路或端口的流量出現(xiàn)異常時，系統(tǒng)將會發(fā)送性能告警，使管理人員可以及時了解網(wǎng)絡(luò)中的隱患，及時消除隱患。同時為故障定位提供手段。

1.3 系統(tǒng)數(shù)據(jù)流向

在確定各功能模塊的作用，完成模塊設(shè)計同時，對園區(qū)網(wǎng) NAC系統(tǒng)的數(shù)據(jù)流向進行分析，從而確保系統(tǒng)模塊的設(shè)計滿足 NAC框架體系要求，數(shù)據(jù)流向完整符合預(yù)期設(shè)計。園區(qū)網(wǎng)NAC系統(tǒng)數(shù)據(jù)流向如圖3所示。

圖3 園區(qū)網(wǎng)NAC系統(tǒng)數(shù)據(jù)流向

圖中各數(shù)據(jù)流向說明如下：

① 安裝了信任代理軟件的終端上，網(wǎng)絡(luò)流量觸發(fā)NAC的挑戰(zhàn)策略。終端安裝的信任代理收集終端的安全狀態(tài)信息(操作系統(tǒng)版本、病毒庫版本、補丁安裝程序等)。

② 信任代理終端使用NAC的網(wǎng)絡(luò)訪問設(shè)備證書進行挑戰(zhàn)，發(fā)送給網(wǎng)絡(luò)訪問設(shè)備。使用基于UDP的EAP在終端和網(wǎng)絡(luò)訪問設(shè)備之間交換身份與驗證證書。

③ 網(wǎng)絡(luò)訪問設(shè)備通過RADIUS協(xié)議將證書轉(zhuǎn)發(fā)至訪問控制服務(wù)器。

④ 訪問控制服務(wù)器(AAA服務(wù)器)可以選擇性的使用代理證書，和第三方廠商服務(wù)器協(xié)商，并進行終端遵從性的驗證。由第三方廠商服務(wù)器評估終端是否遵從安全策略。并回復(fù)給訪問控制服務(wù)器關(guān)于終端的遵從性驗證結(jié)果。

⑤ 訪問控制服務(wù)器根據(jù)反饋的遵從性驗證結(jié)果來尋找匹配的訪問控制策略。

⑥ 訪問控制服務(wù)器確認終端接入狀態(tài)、授權(quán)狀態(tài)。

⑦ 訪問控制服務(wù)器通過RADIUS協(xié)議將確定的終端接入狀態(tài)信息返回給網(wǎng)絡(luò)訪問設(shè)備進行執(zhí)行。

⑧ 網(wǎng)絡(luò)訪問設(shè)備通過 EAP信息告知接入終端其狀態(tài)信息。

⑨ 若終端與定義的安全策略符合，則終端的接入狀態(tài)正常，可以順利訪問園區(qū)網(wǎng)資源。若終端與定義的安全策略不吻合，則將終端重定向到一個隔離區(qū)域(Guest VLAN)，并進行相關(guān)策略的修復(fù)。

1.4 系統(tǒng)的部署

基于 NAC框架的終端安全接入系統(tǒng)是在已有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上實施的，其部署不會改變已有的園區(qū)網(wǎng)結(jié)構(gòu)，但要發(fā)揮系統(tǒng)的最佳效能，需要與已有的園區(qū)網(wǎng)設(shè)備做好緊密的結(jié)合，使其可以和網(wǎng)絡(luò)設(shè)備進行最佳的互動與聯(lián)動，通過網(wǎng)絡(luò)設(shè)備與安全設(shè)備將終端導(dǎo)向安全控制策略系統(tǒng)。需要注意的是在帶外的園區(qū)網(wǎng)環(huán)境中，要防止終端繞過控制策略系統(tǒng)而直接訪問外部網(wǎng)絡(luò)，因為訪問控制服務(wù)器及策略服務(wù)器在驗證、端口評估和修復(fù)時一直在帶內(nèi)運行。部署帶外的系統(tǒng)時要設(shè)置終端通過所有的策略檢查修復(fù)后才可能穿過交換機端口到達帶外。

2 結(jié)語

隨著網(wǎng)絡(luò)安全對園區(qū)網(wǎng)基礎(chǔ)結(jié)構(gòu)和信息資源的威脅不斷增加，僅僅建立邊界防御已經(jīng)遠遠不夠，傳統(tǒng)的方法、獨立的運行方式無法應(yīng)對現(xiàn)有的網(wǎng)絡(luò)攻擊技術(shù)。網(wǎng)絡(luò)安全模式正迅速的由被動性模式向主動性模式轉(zhuǎn)變?；?NAC框架的終端安全接入系統(tǒng)雖然無法完全規(guī)避網(wǎng)絡(luò)風(fēng)險，但在一定的程度上可以緩解源自園區(qū)網(wǎng)內(nèi)部的安全危機，確保網(wǎng)絡(luò)內(nèi)部的堅固性，配合對外的安全措施(IPS、防火墻、IDS、VPN)等，則可以建立形成對內(nèi)外的、貫穿網(wǎng)絡(luò)多層的立體的安全防護體系，從而提高園區(qū)網(wǎng)的安全等級。

[1] 思科系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全[M].北京郵電大學(xué)出版社.2006.

[2] 楊義先.信息安全新技術(shù)[M].北京郵電大學(xué)出版社.2002.

[3] 楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社.2004.

[4] Michael Watkins.CCNA 安全認證考試指南[M].北京:人民郵電出版社.2009.