◆郭占鵬 陳楊

虛擬專網(wǎng)安全準(zhǔn)入控制技術(shù)的有效性探究

◆郭占鵬 陳楊

（32753部隊(duì) 湖北 430000）

隨著各種網(wǎng)絡(luò)技術(shù)逐漸增多，并被廣泛應(yīng)用到日常工作和生活中，信息跨越有線、無線網(wǎng)絡(luò)，既給人們帶來了便利，同時(shí)也帶來了一些安全隱患。為此虛擬專網(wǎng)應(yīng)運(yùn)而生，在此基礎(chǔ)上運(yùn)用豐富的措施保證網(wǎng)絡(luò)安全。本文首先詳細(xì)說明虛擬專網(wǎng)安全準(zhǔn)入控制技術(shù)的類型，然后概述虛擬專網(wǎng)安全準(zhǔn)入控制系統(tǒng)框架，最后闡述虛擬專網(wǎng)安全準(zhǔn)入控制技術(shù)的設(shè)計(jì)方案。

虛擬專網(wǎng)；安全準(zhǔn)入；控制技術(shù)

隨著國民經(jīng)濟(jì)和社會(huì)信息化的日益推進(jìn)，網(wǎng)絡(luò)和信息系統(tǒng)在現(xiàn)代社會(huì)中扮演著越來越重要的作用，政府、企業(yè)的應(yīng)用層次不斷深入，用戶的網(wǎng)絡(luò)應(yīng)用也逐步增多，為了保證在低密級(jí)公網(wǎng)上傳輸高密級(jí)數(shù)據(jù)，虛擬專網(wǎng)（VPN）應(yīng)運(yùn)而生，科技研究者在此基礎(chǔ)上，全面分析網(wǎng)絡(luò)安全漏洞，綜合運(yùn)用隧道加密、用戶認(rèn)證、訪問控制等技術(shù)，滿足特定集團(tuán)用戶在安全、權(quán)限管控等方面的用網(wǎng)需求，維護(hù)虛擬專網(wǎng)的安全。虛擬專網(wǎng)安全準(zhǔn)入控制系統(tǒng)可以起到防御的作用，保證使用者安全，為使用者營造安全的網(wǎng)絡(luò)環(huán)境。

1 虛擬專網(wǎng)安全準(zhǔn)入控制技術(shù)的類型對(duì)比

（1）思科網(wǎng)絡(luò)接入控制技術(shù)

思科網(wǎng)絡(luò)接入控制技術(shù)是指某一網(wǎng)絡(luò)終端還未被接入至虛擬專網(wǎng)時(shí)，按照本地網(wǎng)絡(luò)的安全策略運(yùn)行。若一些不滿足安全策略要求的網(wǎng)絡(luò)終端想進(jìn)入虛擬專網(wǎng)，該技術(shù)可以有效地阻止，并采用建立網(wǎng)絡(luò)訪問隔離區(qū)的方法，有效地隔離和控制那些網(wǎng)絡(luò)終端，這類網(wǎng)絡(luò)終端想進(jìn)入和訪問安全網(wǎng)絡(luò)時(shí)，訪問隔離區(qū)可以充分發(fā)揮出自身的隔離和控制作用[1]。

虛擬專網(wǎng)接入控制技術(shù)可以起到檢查網(wǎng)絡(luò)終端的作用，若客戶終端想進(jìn)入虛擬專網(wǎng)，首先要經(jīng)過網(wǎng)絡(luò)接入技術(shù)的檢查，挑選那些不安全、具有危險(xiǎn)性的客戶終端，并對(duì)這類客戶終端進(jìn)行防御和限制。在虛擬專網(wǎng)安全準(zhǔn)入控制技術(shù)體系中，經(jīng)常會(huì)采用幾種方法進(jìn)行安全檢查，如在互聯(lián)網(wǎng)終端上安裝一些正規(guī)的操作系統(tǒng)，這些系統(tǒng)需要經(jīng)過官方授權(quán)；安裝正規(guī)的殺毒軟件，并且保證軟件的正常運(yùn)行等。如果使用者運(yùn)用接入控制技術(shù)，那么訪問網(wǎng)絡(luò)需要具有一定的安全性，一旦訪問的網(wǎng)絡(luò)具有危險(xiǎn)性，那么接入控制技術(shù)可以及時(shí)對(duì)該網(wǎng)絡(luò)進(jìn)行限制和控制。

圖1 NAC over 802.1x方式認(rèn)證流程

圖2 NAC over L2-IP認(rèn)證流程圖

（2）微軟公司開發(fā)的虛擬專網(wǎng)安全接入保護(hù)技術(shù)

微軟公司開發(fā)的網(wǎng)絡(luò)訪問保護(hù)技術(shù)的安全策略，這種技術(shù)具有較高的強(qiáng)制性，首先檢查和測定系統(tǒng)狀態(tài)是否符合安全標(biāo)準(zhǔn)要求，若符合安全標(biāo)準(zhǔn)要求，方可放行進(jìn)入至下一步操作中，若不符合安全標(biāo)準(zhǔn)，則會(huì)拒絕它的進(jìn)入。虛擬專網(wǎng)安全接入保護(hù)技術(shù)旨在檢測自動(dòng)補(bǔ)救等方面的內(nèi)容。微軟公司曾開發(fā)了一些操作系統(tǒng)的組件，虛擬專網(wǎng)安全接入保護(hù)技術(shù)可以保證各種插件和系統(tǒng)的正常使用，如NAP客戶端插件等，NAP平臺(tái)可以為用戶出具一套有效的檢驗(yàn)方法，該方法可以檢驗(yàn)出某個(gè)系統(tǒng)或者插件是否安全，以此判斷客戶終端符不符合安全標(biāo)準(zhǔn)，具不具備相應(yīng)的安全性，以及是否滿足安全策略的要求等，最終判斷該客戶終端的訪問等級(jí)。

（3）可信網(wǎng)絡(luò)計(jì)入技術(shù)

可信計(jì)算組織開發(fā)了針對(duì)虛擬專網(wǎng)安全準(zhǔn)入控制的可信網(wǎng)絡(luò)接入技術(shù)，并把該技術(shù)當(dāng)作網(wǎng)絡(luò)技術(shù)控制的標(biāo)準(zhǔn)框架。該框架依托可信組織開發(fā)的可信網(wǎng)絡(luò)計(jì)算技術(shù)，達(dá)成可信主機(jī)控制客戶終端的目的?？尚啪W(wǎng)絡(luò)接入技術(shù)框架十分常用和多見，可以和目前使用的各種網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)技術(shù)同時(shí)工作，控制網(wǎng)絡(luò)的接入。

可信網(wǎng)絡(luò)接入技術(shù)框架的工作原理是授權(quán)第三方進(jìn)行工作，并在授權(quán)第三方的基礎(chǔ)上研究出各種網(wǎng)絡(luò)準(zhǔn)入控制協(xié)議，使可信網(wǎng)絡(luò)接入技術(shù)框架在多元化的網(wǎng)絡(luò)環(huán)境下使用，提供各種各樣的網(wǎng)絡(luò)安全服務(wù)，比如訪問政策等內(nèi)容[2]。

以可信網(wǎng)絡(luò)接入技術(shù)框架為基礎(chǔ)建立的各種網(wǎng)絡(luò)系統(tǒng)，都是運(yùn)用預(yù)置平臺(tái)配置等方法，評(píng)估那些嘗試連接虛擬專網(wǎng)的客戶終端。一旦客戶終端無法滿足安全策略的要求，就及時(shí)制止并拒絕它們?cè)L問虛擬專網(wǎng)。大多情況下，會(huì)對(duì)客戶終端采取各種技術(shù)手段進(jìn)行評(píng)估，而評(píng)估的目的大抵相同，主要是為了保證接入虛擬專網(wǎng)的客戶終端的安全性，其中主要包括幾個(gè)方面的內(nèi)容，如管理補(bǔ)丁、控制設(shè)備等。但是上述的虛擬專網(wǎng)安全準(zhǔn)入控制技術(shù)更加適合用在一般網(wǎng)絡(luò)條件下，并不是特別適合用在虛擬專網(wǎng)條件下，因此，現(xiàn)階段只能廣泛使用普通的安全準(zhǔn)入控制技術(shù)，缺少根據(jù)虛擬專網(wǎng)特點(diǎn)創(chuàng)造的安全準(zhǔn)入控制技術(shù)[3]。

圖3 系統(tǒng)框架

2 虛擬專網(wǎng)安全準(zhǔn)入控制系統(tǒng)框架

（1）網(wǎng)絡(luò)終端安全預(yù)防技術(shù)

通常情況下，為避免網(wǎng)絡(luò)終端被各種危險(xiǎn)因素破壞，都會(huì)采用一些措施來保護(hù)，如安裝防毒系統(tǒng)、安裝系統(tǒng)防火墻等。安全風(fēng)險(xiǎn)管理方案可以解決安全問題，它負(fù)責(zé)檢測可能會(huì)導(dǎo)致安全隱患的條件，如掃描安全漏洞和安全隱患等。其中，為了防止數(shù)據(jù)泄露，研究出數(shù)據(jù)防泄露新型技術(shù)，不僅可以幫助安全技術(shù)阻擋客戶終端和網(wǎng)絡(luò)帶來的安全隱患，還可以保護(hù)系統(tǒng)內(nèi)部的各種數(shù)據(jù)，保證核心信息的安全，終端安全問題值得關(guān)注。

主機(jī)完整性控制的建立主要是為了檢測硬件的狀態(tài)、軟件的配置等內(nèi)容，可以依據(jù)各種條件進(jìn)行檢測，按照結(jié)果為系統(tǒng)防火墻制定相關(guān)的安全策略，進(jìn)而更好的處理安全隱患問題。

分布式防火墻技術(shù)可以運(yùn)用進(jìn)程路徑，阻斷非法程序和危險(xiǎn)因素，避免在管理過程中，修改完標(biāo)識(shí)非法程序就可以進(jìn)入。分布式防火墻技術(shù)可以根據(jù)各種通信端口的信息，篩選、過濾信息和數(shù)據(jù)，可以做到單向訪問，并且可以以時(shí)間等內(nèi)容為基礎(chǔ)，制定與之相符的訪問策略[4]。

（2）模塊組成部分

當(dāng)客戶終端收到網(wǎng)關(guān)發(fā)送的信息和指令后，按照程序設(shè)計(jì)內(nèi)容將信息傳輸?shù)较鄳?yīng)的程序上，完成解譯工作。此過程中，規(guī)則解析、網(wǎng)絡(luò)訪問控制等模塊也要協(xié)助工作，從而將虛擬專網(wǎng)和客戶終端連接到一起。

規(guī)則解析模塊是按照一定的標(biāo)準(zhǔn)將規(guī)則進(jìn)行分類，在分類的過程中，全面了解和說明安全規(guī)則中的各個(gè)內(nèi)容。分類工作難度較低，只需要按照傳遞信息中的特殊標(biāo)志整理好各種信息后，將這些信息和文本進(jìn)行匹配，將符合匹配標(biāo)準(zhǔn)的信息傳送到具備破譯功能的程序中，最終完成解譯工作[5]。

網(wǎng)絡(luò)防控控制模塊是按照文本類型解譯接受上個(gè)程序傳遞的信息，完成解譯后，存儲(chǔ)到固定的信息儲(chǔ)存系統(tǒng)中。如果已經(jīng)完成上述這兩個(gè)環(huán)節(jié)的操作，就可以控制有需求的網(wǎng)絡(luò)程序。

配置控制模塊是接受一些解析模塊傳送的信息，此類信息大部分都是配置控制規(guī)則。按照文本形式將信息儲(chǔ)存到提前準(zhǔn)備好的數(shù)據(jù)結(jié)構(gòu)中，并按照收到的配置控制規(guī)則對(duì)客戶終端采用的處理器進(jìn)行管理。

3 虛擬專網(wǎng)安全準(zhǔn)入控制技術(shù)的設(shè)計(jì)方案

利用NAC準(zhǔn)入控制系統(tǒng)，將接入交換機(jī)基于端口的802.1x認(rèn)證方式與之相結(jié)合，設(shè)計(jì)出一套能夠有效解決虛擬專網(wǎng)安全防護(hù)的實(shí)施方案。

（1）控制應(yīng)用程序

控制應(yīng)用程序?qū)嶋H上是在控制應(yīng)用程序的同時(shí)控制網(wǎng)絡(luò)的訪問和登錄。每種應(yīng)用程序都有不同的功能和特點(diǎn)，為此在訪問網(wǎng)絡(luò)時(shí)，網(wǎng)關(guān)需要充分利用現(xiàn)有的安全策略，判斷各個(gè)申請(qǐng)?jiān)L問應(yīng)用程序的安全性，采取相應(yīng)的動(dòng)作，如阻止訪問等。這樣可以提高應(yīng)用程序的安全性，避免有危險(xiǎn)性的應(yīng)用程序進(jìn)入到虛擬專網(wǎng)，保證虛擬專網(wǎng)的安全性[6]。

（2）控制IP規(guī)則

控制IP規(guī)則就是在控制信息，根據(jù)相關(guān)的協(xié)議規(guī)定和網(wǎng)卡等內(nèi)容，將所有的網(wǎng)絡(luò)數(shù)據(jù)和各個(gè)控制模塊進(jìn)行過濾。為控制模塊提供相應(yīng)的接口，保證控制模塊和應(yīng)用層的溝通，進(jìn)而將各個(gè)IP地址加入應(yīng)用層的操作規(guī)則中。

（3）準(zhǔn)入控制系統(tǒng)的接入控制

在準(zhǔn)入控制系統(tǒng)中，最關(guān)鍵的就是接入控制規(guī)則。通常情況下，按照每條規(guī)則中的內(nèi)容進(jìn)行操作，如果無法匹配這條規(guī)則，就要查找下個(gè)可以匹配的規(guī)則。這種方式可以判別準(zhǔn)入控制系統(tǒng)是否安全，以及哪些地方不安全[7]。

（4）接入交換機(jī)

接入交換機(jī)是整個(gè)系統(tǒng)關(guān)口，只需對(duì)網(wǎng)絡(luò)的準(zhǔn)入進(jìn)行控制和把關(guān)。此外還需將接入交換機(jī)配置802.1x認(rèn)證，同時(shí)與準(zhǔn)入控制服務(wù)器進(jìn)行全部用戶的802.1x認(rèn)證。

4 結(jié)束語

近些年，網(wǎng)絡(luò)的安全性不斷降低，人們逐漸將自己的關(guān)注點(diǎn)放在網(wǎng)絡(luò)安全上，為了提高虛擬專網(wǎng)的安全性，相關(guān)工作人員做了很多研究，通過控制應(yīng)用程序、IP規(guī)則等，保證虛擬專網(wǎng)的安全性，減少網(wǎng)絡(luò)中隱藏的安全隱患，保證人們使用網(wǎng)絡(luò)時(shí)的安全。

[1]孫陽. 網(wǎng)絡(luò)安全準(zhǔn)入控制技術(shù)在企業(yè)的應(yīng)用[J]. 信息系統(tǒng)工程，2018（3）：83-83.

[2]劉進(jìn)京. 使用準(zhǔn)入控制實(shí)現(xiàn)終端安全接入[J]. 網(wǎng)絡(luò)安全和信息化，2018（4）：125-129.

[3]杭成寶. 淺析企業(yè)網(wǎng)絡(luò)安全管理授權(quán)準(zhǔn)入控制的應(yīng)用[J]. 神華科技，2018，16（9）：10-13+16.

[4]張皓然. 公安網(wǎng)終端計(jì)算機(jī)準(zhǔn)入控制安全管理技術(shù)研究[J]. 科學(xué)與財(cái)富，2018（24）：34-34.

[5]洪小龍，陳崇平. 視頻網(wǎng)終端安全準(zhǔn)入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 廣東公安科技，2018，26（4）：9-11.

[6]楊陽，尹琴，馮磊，等. 準(zhǔn)入控制技術(shù)在網(wǎng)絡(luò)安全設(shè)備中的應(yīng)用[J]. 現(xiàn)代信息科技，2019，3（3）：156-157.

[7]趙志平. 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)中的應(yīng)用分析[J]. 科技創(chuàng)新與應(yīng)用，2018（35）：185-186.