UniAccess網絡準入控制技術簡介

茹正毅

（中國電信武漢分公司，湖北 武漢430070）

0 引 言

目前企業對網絡運行的可靠性要求越來越高，各行各業網上的機密信息越來越多，價值也越來越高。在日常網絡管理中，把安全管控推到網絡的最邊緣，也就是對最終終端用戶進行檢查、認證、管理和控制，可以起到防患于未然的作用。UniAccess網絡準入控制技術提供了一個強有力的平臺。

1 常見的網絡準入控制技術簡介

1．1 802．1x準入控制

802．1x是一個國際標準，受到多個廠商支持 ，通過動態VLAN切換，實現對不安全終端的隔離。一個交換機端口下面只能接一臺終端，只有通過LAN接入才能做準入控制，VPN／Wirelesss不能實現，而網絡交換機、HUB不支持802．1x協議，許多無線AP支持802．1x，但是不支持動態VLAN切換，不同廠商在802．1x協議實現上有差別，存在兼容性問題。

1．2 Cisco NAC準入控制

這種準入控制方式組網靈活，適合多種類型設備：交換機、路由器、VPN接入設備等只要終端訪問后臺資源中間有支持NAC－L2／3－IP的設備即可通過ACL動態下載，可以實現非常精確的資源訪問。不同的終端、不同的用戶可以訪問不同的網絡資源，指示明確，用戶違反安全管理規定時，網絡設備對其HTTP訪問重定向。重定向URL可以在Radius服務器上設置，不影響網絡的可靠性和功能，在邊緣接入或者匯聚層進行準入控制。其常見問題：產品的兼容性、耦合性問題會給部署實施帶來巨大的困難和復雜性 ，不支持Cisco以外網絡廠商的設備。

1．3 DHCP準入控制

這種控制費用低，通過更換DHCP服務器軟件即可實現，但如果用戶手工設置IP，可以繞開準入控制。

1．4 ARP干擾技術

ARP干擾技術的優點：技術簡單，實現成本低。缺點：在網絡上產生ARP廣播，可能會影響網絡的正常運行，要求在每個網段部署一個干擾器。

1．5 UniAccess準入控制解決方案

UniAccess支持基于802．1x協議的準入控制，支持多廠商網絡設備，支持Cisco EoU認證的準入控制，比802．1x更靈活，組網更方便。通過LeagView準入控制器實現準入控制。它同時是一套綜合型桌面管理產品，不但彌補了以上幾種方案的不足，還集準入控制、系統安全、信息安全、桌面管理于一身。

圖1所示為UniAcessTM網絡準入控制部署示意圖。

圖1 UniAcessTM網絡準入控制部署示意圖

2 UniAccess準入控制技術的價值

如圖2所示，部署了UniAccess準入控制后，可以在四個層面上進行網絡終端管控。

圖2 UniAccess準入控制下的網絡終端管控

2．1 準入控制

在終端的部署中，讓接入網絡的終端都安裝代理，除單獨設置例外，對接入的設備進行驗證，防止非法接入，不符合安全要求的終端不能直接訪問并被自動隔離。

2．2 信息安全

通過對移動存儲介質（U盤、移動硬盤）進行管理，防止非法移動存儲介質在內網使用，禁止EXE文件運行；可以禁用和審計Modem、無線網卡、光驅、軟驅等外聯設備；可以禁用和審計MSN、QQ外傳、電子郵件外傳、WebMail外傳、文件共享外傳、打印外傳。

2．3 系統安全

系統安全主要包括以下幾方面：（1）桌面終端安全檢查：操作系統是否安裝了必要的補丁，桌面系統的防病毒系統設置，是否安裝了防病毒軟件，病毒掃描引擎是否更新，病毒特征碼是否更新。桌面終端安全加固，禁止危險進程、服務和非法軟件的運行，網絡訪問控制，內置雙向防火墻。Windows的本地安全策略自動分發，并且可以控制終端（禁止修改注冊表、IP地址、IE的設置等）。（2）網絡異常分析：發現廣播、流量異常的終端，管理員可以定義流量的行為模式，支持廣播、流量大小、TCP連接、端口掃描等異常檢測。發現被未知病毒、Spyware、木馬感染的計算機，發現員工私自使用黑客或者網絡工具掃描、破壞網絡，避免病毒、木馬快速擴散，流量統計分析和流量控制，統計終端與外界的網絡交互日志，分析終端流量的組成情況針對指定的進程或軟件實現流量控制。（3）IP地址管理：IP地址沖突，防止盜用 ，IP地址定位，依據IP找到人或電腦 ，防止ARP網關欺騙。（4）其它：設備接入自動報警，PC接入報警：第一時間告訴管理員當前在什么位置有新設備接入網絡；HUB接入報警：自動發現私接HUB的網絡端口等。

2．4 桌面管理

桌面管理包括：（1）補丁管理。自動獲取微軟系統補丁，支持多級補丁服務器，靈活的補丁安裝策略，管理員可指定補丁安裝時間、安裝方式，支持推（PUSH）和拉（PULL），支持斷點續傳，終端可以從WSUS、MS網站下載補丁，補丁是否安裝需要經過管理員批準，客戶端可以看到哪些補丁可以安裝、支持快速自動安裝、軟件分發、支持自動強制安裝、交互式安裝等多種方式，對安裝包格式無特殊要求，非常靈活的安裝條件，按照操作系統、軟件，分組按照部門、網段等可以設置策略避免網絡擁塞，斷點續傳，支持大規模分發，流量控制，下載時間通過算法隨機錯開。（2）支持資產管理。硬件、軟件、網絡設備資產統計，軟件、硬件資產變更報告，CPU、內存、硬盤、內部插卡等的變化自動報告，軟件配置變化自動報告，資產編號管理與財務的融合資產維護記錄。

3 結束語

通過UniAccess準入控制技術的部署，網管人員可以輕松通過UniAccess平臺上的對企業網絡內終端進行快速有效的管理，使企業的網絡安全得到顯著提升。

［1］ 馬里克，王寶生（譯）．網絡安全原理與實踐［M］．北京：人民郵電出版社，2002．