咸國明，張 景，黃 林

（新疆油田公司數(shù)據(jù)公司，新疆 克拉瑪依 834000）

0 引言

在網絡安全管理過程中，部分企業(yè)對企業(yè)內網與終端接入之間的控制工作缺乏重視，未能針對性地檢查和限制終端用戶在內網中的訪問操作，配置的殺毒軟件、防火墻系統(tǒng)等存在較多薄弱點，導致內網極易在終端感染病毒木馬的情況下遭到入侵，進而對企業(yè)內網的安全可靠性產生嚴重影響。網絡準入控制系統(tǒng)可以借助所設置的準入策略認證終端用戶身份，檢查確認用戶行為、終端狀態(tài)等，能夠有效實現(xiàn)對不安全終端或非法用戶的隔離阻斷，對于增強企業(yè)網絡安全可靠性具有積極意義。

1 企業(yè)網絡安全管理常見問題

1.1 未能有效管控接入終端

部分企業(yè)對內網接入終端缺乏有效管控，所應用的動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）網絡能夠為員工筆記本電腦等設備的接入提供便利，使員工攜帶的終端與企業(yè)內網設備接入后能夠直接使用內網，但相關終端在缺乏有效管控的情況下，會導致內網存在嚴重的安全隱患［1］。若內網終端因此受到病毒感染，其相關聯(lián)的終端設備也會受到影響，最終會使企業(yè)各類網絡系統(tǒng)的應用以及相關數(shù)據(jù)的安全性受到威脅。

1.2 云平臺相關技術存在隱患，部分終端安全防護軟件更新不及時

云平臺、云桌面是現(xiàn)階段企業(yè)應用較為廣泛的技術，這些技術雖然能夠有效提高員工的工作效率，但也給企業(yè)網絡安全管理帶來較大風險。由于具有較強的兼容性和工作效率，云平臺和云桌面在企業(yè)中的應用較為廣泛，當企業(yè)某臺終端設備出現(xiàn)病毒感染問題時，病毒能夠通過云平臺在更短的時間內進行大范圍的傳播。同時，企業(yè)終端系統(tǒng)在更新?lián)Q代過程中容易因系統(tǒng)漏洞遭到木馬病毒的攻擊。為應對安全風險，企業(yè)通常采取安裝殺毒軟件的方式進行防護，然而部分企業(yè)員工對病毒庫、安全軟件的更新較為滯后，在安全防護軟件更新不及時的情況下，員工安裝不安全的軟件更容易引發(fā)網絡安全問題。此外，部分員工對計算機系統(tǒng)的掌握能力不足，未能從服務管理、系統(tǒng)安全、賬戶密碼以及網絡訪問等方面優(yōu)化系統(tǒng)配置，導致終端設備的可靠性降低，給企業(yè)網絡安全管理帶來更多風險［2］。

1.3 未明確劃分用戶訪問權限

部分企業(yè)對終端設備的內外網訪問權限劃分不明確，企業(yè)快速發(fā)展的同時接入了大量終端設備。在長期缺乏權限管控的情況下，隨意訪問內外網的用戶數(shù)量持續(xù)增加，導致企業(yè)網絡安全可靠性持續(xù)降低。任意終端用戶的不合理操作都可能引發(fā)嚴重的網絡安全問題。部分企業(yè)在終端用戶數(shù)量較少的情況下能夠通過設置服務器訪問、修改、讀取等操作權限進行管控，并針對性地推行相關安全管理制度，然而在用戶量激增的情況下，部分網絡安全管理人員對復雜的終端用戶缺乏有效的管控，相關制度標準的執(zhí)行受到嚴重影響。

2 網絡準入技術分析

2.1 IP-MAC 綁定準入技術

媒體存取控制（Media Access Control，MAC）地址是電氣與電子工程師協(xié)會（Institute of Electrical and Electronics Engineers，IEEE）統(tǒng)一分配的唯一地址。IEEE 能夠對MAC 地址進行統(tǒng)一分配，在出廠前的終端網卡帶電可擦編程只讀存儲器（Electrically Erasable Programmable Read Only Memory，EEPROM）中將地址一次性寫入。該準入技術在應用時，能夠在交換機訪問控制列表中將企業(yè)內部網段設備的MAC、互聯(lián)網協(xié)議（Internet Protocol，IP）地址錄入，終端設備訪問內網的前提是IP 與MAC 地址能夠與控制列表中錄入的地址一致。終端設備網絡準入認證期間，準入系統(tǒng)所接收的MAC 地址并非來源于網卡只讀存儲器，而是來源于內存緩存區(qū)，通過將指定MAC 地址發(fā)送給準入系統(tǒng)認證的方式，能夠有效規(guī)避準入檢查，實現(xiàn)對內網的非法入侵［3］。

2.2 DHCP 準入技術

動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）準入技術能動態(tài)分配和集中管理IP地址，該技術在應用時主要涉及客戶端與服務器端兩部分。其中，服務器端用于處理客戶端的相關請求，如IP 地址設定、子網掩碼參數(shù)修改等。在實際應用過程中，該技術能夠借助DHCP Snooping（DHCP 安全特性）實現(xiàn)對非法服務器接入的有效管控，規(guī)避用戶隨意修改IP 地址，借助DHCP 服務器實現(xiàn)對終端設備IP地址的收回或分配，從而對終端設備與內網的接入進行有效管控。終端設備與內網連接時，DHCP 服務器能夠將隔離網段IP 分配給終端設備，同步針對終端設備進行審核認證，當認證通過時，方可分配相應的IP地址，允許終端設備訪問內網，否則對其隔離阻斷操作。DHCP Snooping 技術能夠有效過濾不可控終端的相關信息，避免因非法終端持續(xù)申請接入導致網絡資源受到限制。但是，該技術在實際應用時未能全面檢查終端設備的網絡安全狀態(tài)，更容易遭受IP欺騙攻擊。

2.3 802.1x 準入技術

8.2.1x 協(xié)議（訪問控制和認證協(xié)議）對于無線局域網的網絡準入控制具有重要作用，該協(xié)議能夠將交換機端口劃分為非受控與受控量兩種。其中，非受控端口用于認證，而受控端口用于業(yè)務，通過將認證流與業(yè)務流分離的方式為網絡準入控制提供便利。對于初次訪問企業(yè)網絡的終端設備，交換機不會為該終端開放業(yè)務流端口，而是通過單獨開發(fā)的認證流端口對終端進行認證，結合認證檢查結果，對端口的開放情況進行確認，從而實現(xiàn)非法終端用戶與企業(yè)內網之間的有效隔離。該準入技術借助交換機對所接入的終端進行準入控制，能夠根據(jù)安全策略對終端可靠性進行判斷，通過禁止不可控終端訪問內網的方式提升企業(yè)網絡的安全可靠性。在實際應用時，企業(yè)需要充分考慮802.1x協(xié)議的兼容性問題，避免設備不兼容導致準入系統(tǒng)的配置受到影響。同時，企業(yè)也需要考慮該技術對虛擬局域網（Virtual Local Area Network，VLAN）要求較多的問題，必要時可以將其與Web Portal 等技術聯(lián)合應用，實現(xiàn)對網絡準入系統(tǒng)部署成本和系統(tǒng)性能的有效優(yōu)化［4］。

3 網絡準入控制方案

3.1 NAC 網絡準入方案

NAC 網絡準入控制系統(tǒng)結構如圖1 所示，該系統(tǒng)主要涉及測量服務器、管理服務器、終端端點安全代理以及網絡連接設備等部分。

圖1 NAC 的網絡結構

在應用過程中，無論是無線用戶還是有線網絡用戶，在無登錄信息的情況下，都無法訪問企業(yè)網絡。用戶對任意網頁的訪問行為最終都會在NAC 的控制下來到登錄界面。終端用戶將賬號密碼輸入后，NAC準入系統(tǒng)會對賬號密碼進行驗證，如果驗證不通過，則返回登錄界面；如果驗證通過，則繼續(xù)結合所設置的安全策略對終端設備的安全狀態(tài)進行驗證，如果驗證通過，則允許終端設備訪問內網，否則將對其進行隔離和在線修復［5］。

3.2 NAP 網絡準入方案

在實際應用時，NAP 系統(tǒng)管理員能夠結合安全策略、客戶端從屬和身份對網絡訪問權限進行細分控制，當客戶端與安全策略要求不符時，NAP 系統(tǒng)能夠借助修正服務器對其安全性問題進行修復處理，確認符合要求后再劃分網絡權限。

4 基于企業(yè)網絡安全管理的網絡準入系統(tǒng)設計思路

為滿足企業(yè)網絡安全管理需求，本文選擇NAC 準入控制系統(tǒng)，結合相關控制技術實現(xiàn)對終端設備與企業(yè)內網接入的有效控制，滿足準入控制、終端合規(guī)性檢測、終端身份識別等功能需求，為企業(yè)內網建立可靠的安全防護體系。對于網絡結構復雜、終端用戶數(shù)量多的大中型企業(yè)，網絡準入系統(tǒng)采取分層防護的方式實現(xiàn)網絡準入的有效控制以及終端安全問題的在線修復。接下來，筆者對系統(tǒng)框架、設計流程等進行詳細論述。

4.1 網絡準入系統(tǒng)框架

為滿足網絡準入控制需求，本系統(tǒng)主要應用NAC客戶端、交換機（滿足802.1x 協(xié)議應用需求）、終端身份認證服務器、NAC 準入控制器幾部分開展系統(tǒng)建設工作。其中，準入控制器與核心交換機的連接采取旁路部署模式，通過將流量鏡像端口配置在交換機中來滿足終端對內網的訪問接入需求，NAC 控制器能夠與端口進行連接和控制。核心交換機連接了終端身份認證服務器，該服務器包括本地認證服務器，也包括MailServer（郵件服務器）、HTTPServer（網頁服務器）等外部身份認證服務器。終端設備通過交換機與核心交換機連接，其內部需安裝相應的NAC 客戶端。該系統(tǒng)能夠將企業(yè)內網劃分為一般區(qū)域、VLAN 隔離區(qū)、核心應用區(qū)以及修復區(qū)。其中，修復區(qū)服務器內部安裝了具備終端系統(tǒng)網絡安全修復功能的軟件，能夠對準入認證不通過的終端進行安全防護軟件安裝等操作；核心營業(yè)區(qū)主要用于存儲重要數(shù)據(jù)、部署核心應用。

4.2 準入控制流程設計

為確保網絡準入系統(tǒng)能夠在企業(yè)網絡安全管理過程中得到有效應用，滿足企業(yè)網絡對終端接入相關問題的有效管控，NAC 控制系統(tǒng)的設計需要從認證方式、準入方式、阻斷與引導修復以及終端合規(guī)性檢查結果方面入手，下面進行詳細論述。

4.2.1 NAC 控制系統(tǒng)認證與準入方式

在準入認證時，NAC 控制系統(tǒng)將WebPortal（門戶網站認證）與802.1x 兩種技術融合應用。802.1x 認證技術需要在滿足該技術協(xié)議接入需求的設備中應用，因此需要選取具備該認證技術兼容性的交換機，從端口及對終端量龐大的大中型局域網進行網絡認證管理。對于臨時訪問企業(yè)內網、無NAC 準入客戶端的終端用戶，系統(tǒng)借助WebPortal 技術進行優(yōu)化配置，該認證技術能夠在瀏覽器中通過瀏覽器/服務器模式（Browser/Server，B/S）架構實現(xiàn)對不同終端用戶網絡訪問權限的合理配置，滿足通過準入認證的終端設備的網絡資源訪問需求。在WebPortal 技術應用時，終端用戶將通過門戶服務器中的相關服務器進行賬號密碼認證或者NAC客戶端認證，實現(xiàn)對企業(yè)內網的訪問。

4.2.2 NAC 控制系統(tǒng)阻斷與修復引導策略

為阻斷安全項不合格或身份認證不通過的終端設備網絡訪問需求，NAC 控制系統(tǒng)一方面能夠借助802.1x 技術將終端設備置于修復區(qū)或隔離區(qū)VLAN，另一方面也可以借助交換機端口監(jiān)聽技術實現(xiàn)阻斷處理，通過HTTP302 將終端設備劃入Web 修復界面，引導用戶基于修復策略進行修復處理，從而滿足后續(xù)的安全性檢查和身份認證需求。

4.2.3 NAC 控制系統(tǒng)終端合規(guī)性檢查策略

管理員需提前完成終端準入策略的配置，以滿足安全項合規(guī)性的檢查需求。NAC 客戶端能夠將終端設備“services”中的配置信息以及系統(tǒng)注冊表鍵值與安全策略進行對比，實現(xiàn)對合規(guī)性的有效判斷。合規(guī)性判斷的主要項目包括系統(tǒng)版本、漏洞情況、系統(tǒng)安全配置情況、安全服務啟動情況、殺毒軟件安裝情況等。NAC 客戶端能夠根據(jù)終端設備的檢查情況向NAC 準入控制器反饋結果，以便控制終端企業(yè)網絡的準入情況。

5 結語

企業(yè)網絡安全管理人員需要重視網絡準入系統(tǒng)的部署工作，結合企業(yè)網絡安全管理期間存在的終端接入控制不合理、權限劃分不明確、終端安全性監(jiān)控不到位等問題建立相應的準入控制系統(tǒng)，基于NAC 準入控制方案以及802.1x 和WebPortal 相關技術聯(lián)合應用的方式，對終端與企業(yè)網絡的接入進行嚴格管控，同時通過合規(guī)性檢查、引導修復等方式對終端設備安全性問題進行檢查和修復處理，以此有效提升企業(yè)網絡安全可靠性。