姜新超 王進 孫佳偉 信息工程大學

1 前言

隨著現(xiàn)代計算機技術和網(wǎng)絡通信技術的發(fā)展、融合，傳統(tǒng)意義上的“終端”已經(jīng)發(fā)生了變化，它不僅是網(wǎng)絡中與網(wǎng)線連接的臺式機、筆記本電腦以及服務器，還包括智能手機、平板電腦、電子閱讀器等各類新式的移動設備，而企業(yè)網(wǎng)絡中的打印機、IP電話等也是不容忽視的“啞終端”。這些形形色色的終端給網(wǎng)絡安全工作帶來了巨大挑戰(zhàn)：一方面它們類型眾多，通過有線、無線、VPN等多種方式接入；另一方面，它們是網(wǎng)絡中大部分事物的源頭和起點，更是病毒傳播、從內(nèi)部發(fā)起的惡意攻擊、內(nèi)部保密數(shù)據(jù)盜用或失竊的途徑。因此，終端安全管理對每個企業(yè)來說都是非常重要的，良好的終端安全控制技術能夠保證企業(yè)的安全策略真正得到實施，有效控制各種非法安全事件，確保企業(yè)網(wǎng)絡安全。

2 終端準入控制實現(xiàn)原則

2.1 身份認證

建立用戶實名管理機制，所有用戶、接入終端都必須實名接入網(wǎng)絡。通過該管理機制，可以彌補現(xiàn)實與網(wǎng)絡虛擬世界之間的鴻溝，以保證網(wǎng)絡中的安全問題都可以精確定位和追根溯源，這樣就可以建立對網(wǎng)絡違規(guī)和非法行為的威懾力，確保用戶在網(wǎng)絡的各項行為都嚴格按照管理要求進行，最終消除內(nèi)網(wǎng)安全問題的隱患?；赗ADIUS協(xié)議的終端準入控制技術是業(yè)界成熟的終端實名接入控制方案。終端準入控制系統(tǒng)為企業(yè)所有員工、外部員工、訪客（提供訪客登記管理）分配基于真實身份的接入賬號。接入者使用企業(yè)終端通過802.1X、Web Portal、VPN等接入方式訪問網(wǎng)絡時，必須輸入真實的賬號和密碼，經(jīng)終端準入控制系統(tǒng)驗證后，才允許接入企業(yè)網(wǎng)絡。

2.2 安全檢查

除基本的身份驗證外，終端準入控制系統(tǒng)還可對接入終端實施安全檢查，對于不符合企業(yè)既定安全策略的終端通過網(wǎng)絡隔離、拒絕接入等方式處理，阻斷不安全終端對企業(yè)網(wǎng)絡的影響。

2.3 權限控制

接入終端通過身份認證和安全檢查后，終端準入控制系統(tǒng)根據(jù)接入終端的身份屬性，對接入的網(wǎng)絡設備下發(fā)VLAN、ACL來控制終端的網(wǎng)絡訪問范圍，防止接入終端對網(wǎng)絡的越權訪問。

2.4 監(jiān)控審計

終端準入控制系統(tǒng)提供對終端接入的監(jiān)控和審計，管理員不僅可以看到接入終端的實時在線狀態(tài)，還可以通過下線、黑名單等手段對終端進行實時控制。

3 多類型終端的準入控制

終端準入控制在企業(yè)的部署雖然保證了企業(yè)終端接入網(wǎng)絡時，都必須經(jīng)過身份認證、安全檢查、權限控制、監(jiān)控審計四個層面的安全控制，但是由于企業(yè)終端類型的多樣性，實施的身份驗證方法、接入方式、安全策略也往往有所差異。企業(yè)終端大致可分為PC、服務器、啞終端和移動智能終端四種類型，下面具體介紹每種類型的終端對應的準入控制方式。

3.1 PC終端的準入控制

大多數(shù)企業(yè)采用安裝了Windows操作系統(tǒng)的臺式機、便攜機作為辦公電腦。網(wǎng)絡接入方式上以有線網(wǎng)絡及VPN為主體，而無線網(wǎng)絡作為輔助。這種情況下，對于PC的網(wǎng)絡接入管理一般采用為PC安裝安全認證代理方式，根據(jù)企業(yè)網(wǎng)絡接入控制點的位置，靈活采用802.1X、Portal、L2TP VPN等方式接入網(wǎng)絡。在這種認證環(huán)境下，身份認證的手段也非常多樣，除了傳統(tǒng)的用戶名/密碼認證外，對于需要特殊管控的賬號，可以要求采用智能卡、數(shù)字證書等方式進行身份認證。同時可以要求PC在認證時提供“綁定信息”作為身份標識的附屬品，例如IP、MAC地址、接入設備的IP和端口、主機的域用戶名及計算機名等。

終端經(jīng)過身份認證、安全檢查接入網(wǎng)絡后，可根據(jù)其身份下發(fā)已配置的VLAN、ACL到接入設備的端口上，對接入終端進行訪問權限控制。對于某些網(wǎng)絡精細化的管理要求，還可配置主機防火墻規(guī)則下發(fā)到終端安裝的安全代理軟件上，對接入終端的訪問行為進行嚴格管控。

3.2 服務器終端的準入控制

企業(yè)中的服務器一般是統(tǒng)一放置在數(shù)據(jù)中心的機房內(nèi)，服務器的IP地址、接入的設備端口一般都是固定不變的，對于網(wǎng)絡的穩(wěn)定性要求上比較高，出現(xiàn)網(wǎng)絡通斷會對運行于其上的業(yè)務系統(tǒng)造成重大影響。因此，服務器并不能使用傳統(tǒng)的802.1X、Portal認證的方式去統(tǒng)一管理。對于服務器接入這種情況，可通過管理系統(tǒng)的IP+MAC綁定技術進行控制。通過在管理系統(tǒng)上配置服務器MAC地址與接入設備的IP、端口綁定，實行“白名單”制度。

管理系統(tǒng)會根據(jù)制定的白名單對接入服務器的設備進行自動掃描，當發(fā)現(xiàn)某端口上的接入MAC不屬于“白名單”范圍內(nèi)時，一方面會產(chǎn)生“異常接入明細”和告警向管理員進行報告，另一方面可根據(jù)已配置的處理策略，對非法接入的端口進行關閉，以避免非法的終端利用服務器的“免認證”漏洞接入企業(yè)網(wǎng)絡。

3.3 啞終端的準入控制

企業(yè)網(wǎng)絡中啞終端的數(shù)量和種類也在不斷地增加，例如打印機、IP電話等，這些設備一般安放在企業(yè)的多個位置。由于這些啞終端并無通用操作系統(tǒng)，因此無法通過802.1X或Portal認證對其進行準入控制。但如果將啞終端的接入端口設置為免認證，這無疑給企業(yè)網(wǎng)絡的全面接入控制留下了一個漏洞。企業(yè)內(nèi)部人員可以利用該免認證端口接入PC，從而逃避企業(yè)準入控制的安全要求。因此，啞終端也應該擁有身份信息，并對其網(wǎng)絡接入權限進行控制。

啞終端設備可以采用MAC地址認證技術進行網(wǎng)絡接入認證，即把啞終端的MAC地址作為其身份到企業(yè)準入控制系統(tǒng)進行統(tǒng)一認證。在啞終端接入企業(yè)網(wǎng)絡時，接入設備在首次檢測到啞終端的MAC地址以后，接入設備將作為RADIUS客戶端，將檢測到的用戶MAC地址作為用戶名和密碼發(fā)送給企業(yè)準入控制系統(tǒng)，與企業(yè)準入控制系統(tǒng)配合完成MAC地址認證操作。企業(yè)準入控制系統(tǒng)完成對該MAC地址的認證后，認證通過的啞終端可以訪問網(wǎng)絡。

3.4 移動智能終端的準入控制

由于智能終端的多樣性和其私有屬性，不便在智能手機、平板電腦上安裝智能客戶端對其進行網(wǎng)絡認證和安全控制。所以移動智能終端一般通過基于無線的Portal認證來接入企業(yè)網(wǎng)絡。當用戶在移動智能終端瀏覽器中輸入訪問的URL時，接入控制設備會將重定向至企業(yè)內(nèi)部的Web認證頁面，只有輸入分配給智能終端的賬號、密碼進行驗證后，該智能終端才可接入企業(yè)網(wǎng)絡。為進一步保證合法智能終端才能接入企業(yè)無線網(wǎng)絡，身份認證時可以要求綁定接入的SSID、智能終端的IP地址以及交換機端口等，確保智能終端網(wǎng)絡身份的真實性。對智能終端可以通過對接入設備下發(fā)VLAN或ACL來嚴格控制其訪問范圍，盡量減小智能終端對企業(yè)網(wǎng)絡的影響。

智能終端系統(tǒng)，從蘋果的iOS到谷歌的Android等等，目前所呈現(xiàn)的安全漏洞問題并不多，當下很難對企業(yè)網(wǎng)絡產(chǎn)生沖擊。因此目前的階段，對移動終端的主機安全可以不作安全檢查要求。但是隨著移動智能終端在企業(yè)網(wǎng)絡的不斷普及，其自身的安全性將逐漸成為企業(yè)網(wǎng)絡值得重視的問題。

4 結(jié)語

終端準入控制技術徹底改變了原有網(wǎng)絡安全管理與用戶管理、終端管理相脫節(jié)的局面，通過建立終端、用戶與網(wǎng)絡之間接入控制系統(tǒng)，構建起網(wǎng)絡安全防御環(huán)，從而革命性地改變了企業(yè)網(wǎng)絡架構，使企業(yè)網(wǎng)絡的安全性上了一個新的臺階。

終端管理問題千頭萬緒，但只要抓住準入這一關鍵點，保證終端安全制度可以實施起來，讓每個用戶都養(yǎng)成良好的習慣，并融入其他的安全技術和管理技術，建立主動防御的安全體系，在實踐中不斷完善。