■龐亞賓 趙 磊 蘭州石化公司自動(dòng)化研究院

內(nèi)網(wǎng)接入管理是近年來(lái)國(guó)內(nèi)外很多企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)安全提出的一項(xiàng)技術(shù)需求。它要求內(nèi)網(wǎng)中計(jì)算機(jī)接入能得到控制。未經(jīng)授權(quán)的計(jì)算機(jī)禁止接入內(nèi)網(wǎng)，從而確保內(nèi)部網(wǎng)絡(luò)的安全性。內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)的目標(biāo)是：通過(guò)對(duì)內(nèi)網(wǎng)準(zhǔn)入技術(shù)的分析，實(shí)現(xiàn)未注冊(cè)內(nèi)網(wǎng)終端的阻斷功能，同時(shí)，只有完全符合安全標(biāo)準(zhǔn)的計(jì)算機(jī)才能接入受保護(hù)網(wǎng)絡(luò)。

一、早期的內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)

早期局域網(wǎng)一般由不可網(wǎng)管交換機(jī)或Hub組建而成。針對(duì)這種局域網(wǎng)，國(guó)內(nèi)安全廠商很多都是通過(guò)ARP欺騙的方式實(shí)現(xiàn)這一功能，實(shí)現(xiàn)原理如下。

1.用戶計(jì)算機(jī)安裝準(zhǔn)入控制客戶端，客戶端檢測(cè)用戶計(jì)算機(jī)是否達(dá)到接入要求。

2.準(zhǔn)入控制服務(wù)器對(duì)所在網(wǎng)段使用ARP掃描功能，在很短時(shí)間內(nèi)（2-3s）獲得新接入的計(jì)算機(jī)的IP地址和MAC地址。

3.通過(guò)準(zhǔn)入控制服務(wù)器對(duì)未注冊(cè)用戶計(jì)算機(jī)實(shí)施ARP欺騙，發(fā)送IP地址已占用的信息，并發(fā)送錯(cuò)誤的網(wǎng)關(guān)地址。利用Windows操作系統(tǒng)本身機(jī)制，未注冊(cè)客戶端會(huì)發(fā)現(xiàn)自己的IP地址在網(wǎng)絡(luò)中已經(jīng)存在，并認(rèn)為自己的IP地址甚至錯(cuò)誤，系統(tǒng)會(huì)在未注冊(cè)計(jì)算機(jī)上提示IP地址設(shè)置錯(cuò)誤。

早期的內(nèi)網(wǎng)接入控制技術(shù)存在一些缺點(diǎn)。例如會(huì)在網(wǎng)絡(luò)中生成大量的ARP數(shù)據(jù)包，影響整體網(wǎng)絡(luò)性能；ARP欺騙的方式也會(huì)造成用戶側(cè)計(jì)算機(jī)ARP防火墻軟件的產(chǎn)生報(bào)警信息。

二、當(dāng)前三種可行的準(zhǔn)入控制方案

目前針對(duì)大型園區(qū)網(wǎng)絡(luò)可行的準(zhǔn)入方案主要有三種。

第一通過(guò)軟件準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)未注冊(cè)阻斷功能。

第二通過(guò)硬件準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)未注冊(cè)阻斷功能。

第三與支持802.1x協(xié)議的交換機(jī)設(shè)備聯(lián)動(dòng)，在接入層實(shí)現(xiàn)未注冊(cè)終端阻斷功能。

1.軟件準(zhǔn)入網(wǎng)關(guān)

軟件準(zhǔn)入網(wǎng)關(guān)發(fā)現(xiàn)自己“轄區(qū)”內(nèi)有未注冊(cè)計(jì)算機(jī)時(shí)，不為其分配IP地址，或者拒絕其數(shù)據(jù)包，對(duì)已注冊(cè)計(jì)算機(jī)一律放行。

軟件準(zhǔn)入網(wǎng)關(guān)的一般結(jié)構(gòu)如圖1所示。

軟件準(zhǔn)入網(wǎng)關(guān)的原理和下面將要介紹的硬件準(zhǔn)入網(wǎng)關(guān)原理基本一致，但是適用環(huán)境較為單一。軟件準(zhǔn)入網(wǎng)關(guān)一般使用WinPcap網(wǎng)絡(luò)驅(qū)動(dòng)開發(fā)，客戶端超過(guò)100后，系統(tǒng)性能會(huì)急劇下降，應(yīng)用環(huán)境受到很大限制。

2.硬件準(zhǔn)入網(wǎng)關(guān)

圖1 軟件準(zhǔn)入網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)

硬件準(zhǔn)入網(wǎng)關(guān)比軟件準(zhǔn)入網(wǎng)關(guān)性能高，很多園區(qū)網(wǎng)采用這種控制方式。硬件準(zhǔn)入網(wǎng)關(guān)的部署方式類似于軟件準(zhǔn)入網(wǎng)關(guān)，由終端管理服務(wù)器將內(nèi)網(wǎng)客戶機(jī)狀態(tài)發(fā)送給硬件網(wǎng)關(guān)，再由硬件網(wǎng)關(guān)判斷并執(zhí)行阻斷或URL重定向。以某知名廠商為例，終端管理服務(wù)器和準(zhǔn)入網(wǎng)關(guān)之間通信的數(shù)據(jù)格式如圖2和表1所示。

圖2 準(zhǔn)入網(wǎng)關(guān)與終端管理服務(wù)器的數(shù)據(jù)格式

表1 準(zhǔn)入網(wǎng)關(guān)與終端管理服務(wù)器的數(shù)據(jù)格式

準(zhǔn)入網(wǎng)關(guān)和終端管理服務(wù)器之間采用應(yīng)答握手驗(yàn)證協(xié)議（CHAP），認(rèn)證采用預(yù)共享口令，認(rèn)證后派生出隨機(jī)加密密鑰對(duì)內(nèi)容進(jìn)行加密。

用準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)準(zhǔn)入控制受限于所處網(wǎng)絡(luò)的結(jié)構(gòu)，一般部署在安全級(jí)別不同的兩個(gè)網(wǎng)絡(luò)邊界之間。低安全級(jí)別的計(jì)算機(jī)在進(jìn)入高安全級(jí)別的網(wǎng)絡(luò)之前，必須經(jīng)終端管理服務(wù)器檢查各項(xiàng)安全策略，之后通知準(zhǔn)入網(wǎng)關(guān)進(jìn)行放行、阻斷或重定向操作。

3.基于交換機(jī)端口的準(zhǔn)入控制

基于交換機(jī)端口的準(zhǔn)入控制需要使用IEEE 802.1x協(xié)議。802.1x協(xié)議是一種訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶通過(guò)網(wǎng)絡(luò)交換機(jī)接入端口訪問局域網(wǎng)。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。

802.1x協(xié)議運(yùn)行在OSI模型鏈路層，借用EAP（擴(kuò)展認(rèn)證協(xié)議），不需要到網(wǎng)絡(luò)層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本，提供良好的擴(kuò)展性和適應(yīng)性。802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS服務(wù)器和交換機(jī)利用可控端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上，通過(guò)可控端口進(jìn)行交換，通過(guò)認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包。802.1x協(xié)議可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN。

為了實(shí)現(xiàn)基于802.1x協(xié)議的準(zhǔn)入控制，需要將準(zhǔn)入網(wǎng)關(guān)與支持802.1x EAP協(xié)議的交換機(jī)配合實(shí)施，目的是為內(nèi)網(wǎng)提供高度靈活的用戶接入強(qiáng)制策略。同時(shí)，為了保證能夠了解內(nèi)網(wǎng)終端在網(wǎng)絡(luò)接入時(shí)的安全狀態(tài)以及網(wǎng)絡(luò)應(yīng)用行為，需要在接入內(nèi)網(wǎng)的終端上安裝和運(yùn)行準(zhǔn)入客戶端軟件（Agent）。

準(zhǔn)入控制過(guò)程如下：交換機(jī)發(fā)起EAP認(rèn)證，Agent在收到EAP認(rèn)證質(zhì)詢時(shí)，將當(dāng)前終端安全狀態(tài)以及終端身份向交換機(jī)報(bào)告，交換機(jī)在收到Agent的應(yīng)答以后，將應(yīng)答信息以Radius協(xié)議封裝，發(fā)送到終端管理服務(wù)器，終端管理服務(wù)器按照管理設(shè)定的規(guī)則檢驗(yàn)Agent的應(yīng)答信息。如果終端的身份合法并且安全狀態(tài)也符合企業(yè)安全策略的要求，終端管理服務(wù)器將指示準(zhǔn)入網(wǎng)關(guān)放行。準(zhǔn)入網(wǎng)關(guān)同時(shí)作為Radius服務(wù)器，負(fù)責(zé)通知交換機(jī)將終端放入正常的工作VLAN；如果終端驗(yàn)證失敗，準(zhǔn)入網(wǎng)關(guān)就按照管理的設(shè)定，通知交換機(jī)將終端放入隔離VLAN或直接關(guān)閉端口。在隔離VLAN的終端，Agent會(huì)自動(dòng)進(jìn)行終端安全狀態(tài)的修復(fù)，在修復(fù)完成以后，系統(tǒng)自動(dòng)將終端重新接入正常工作VLAN。

目前支持的802.1x協(xié)議的有Nortel、Alcatel、Cisco、Huawei等主流設(shè)備供應(yīng)商。以Cisco公司的網(wǎng)絡(luò)交換機(jī)為例，802.1X認(rèn)證配置如下：

本文主要介紹了三種可行的內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)，其中以基于網(wǎng)絡(luò)端口的控制方案最為嚴(yán)格，對(duì)系統(tǒng)管理水平的要求也最高。通常在園區(qū)網(wǎng)管理中，一般采用硬件準(zhǔn)入網(wǎng)關(guān)與基于端口的準(zhǔn)入網(wǎng)關(guān)相結(jié)合的方式，達(dá)到即經(jīng)濟(jì)又高效的管理效果。

[1]于昇，祝璐.網(wǎng)絡(luò)接入控制架構(gòu)研究綜述[J/OL].信息安全與通信保密，2009（8）：41-43.

[2]郭幽燕，杜曄.基于ARP協(xié)議的內(nèi)網(wǎng)訪問控制系統(tǒng)[J/OL].計(jì)算機(jī)工程與科學(xué)，2010（1）