網絡接入控制在大型局域網內的應用

◆王 林

（火箭軍指揮學院 湖北 430000）

網絡接入控制在大型局域網內的應用

◆王 林

（火箭軍指揮學院 湖北 430000）

本文主要介紹在大型局域網內現普遍存在的網絡信息安全問題，探討接入控制在大型局域網內網絡安全中應具有的功能，并結合網絡實際提出相應的部署方法。

大型局域網；網絡接入控制；802．1x

0 引言

隨著信息化建設的持續發展，人們在工作中越來越依賴于網絡。網絡的普及給辦公、教學帶來了便利和高效率，但也帶來了諸多的網絡安全問題。據一份權威調查報告顯示，網絡內部的威脅在信息安全的危害中占60%，而來自內部的威脅主要是網絡終端引起的，網絡終端的安全已經成為首要的安全問題。

網絡接入控制是保證網絡安全的重要手段，它通過一種機制控制不同級別的終端以不同的權限訪問目標網絡資源。它的核心是通過對要求訪問網絡的終端進行身份認證及安全狀態檢查，當滿足設定的網絡安全要求時，才允許接入到網絡中，而針對不符合安全要求的終端則進行隔離，并引導其完善本身的安全狀態，從而保證網絡接入終端達到安全可控性。

1 大型局域網使用現狀及存在的問題

大型局域網一般為一個學校、工廠、企業、事業單位等組織所獨立擁有，為辦公、生活提供網絡服務。現有的局域網已從早期簡單的實現文件管理、文件共享、打印共享、電子郵件、傳真通信發展成為集服務器程序、客戶程序、防火墻、開發平臺、升級平臺為一體的信息交流與協作平臺。通過對現有大型局域網的使用情況進行梳理分析，主要存在以下問題。

（1）無法管理使用網絡的用戶。網絡管理員一般都對上網終端的MAC地址、IP地址與交換機的端口進行了綁定，實現了終端的定位管理，但無法對用戶進行管理，用戶使用哪臺機器無法控制和審計，另外存在外來人員進入內網的安全隱患。

（2）規章制度難以落實。大型局域網內一般都有自己要求必須安裝的保密軟件、殺毒軟件和禁止安裝的軟件，但這些要求難以落實，沒有技術手段可管控。

（3）無法規范用戶的操作行為。用戶接入網絡后，系統對不同用戶的訪問權限不能進行有效控制，無法實現用戶的分權管理。

（4）無法有效地監控終端使用狀態。無法查看網絡終端的使用情況、配置情況及軟件安裝情況等，缺乏一個有效統一的平臺進行管理維護。

（5）缺乏完善的保護和審計機制。無法對上網終端的行為進行審計，不能有效記錄用戶的登錄日志，以及用戶訪問的源IP、目的IP、訪問內容日志等，重要文件通過網絡、移動存儲設備泄露后無法逆查。

2 網絡接入控制應具備的功能

為了解決以上安全以及管理問題，使得網內的上網終端高效運行，實現對網絡通信管理、終端管理、用戶身份管理等多方面的安全要求，有效改善網絡管理及安全所面臨的壓力，最終做到“訪問安全的網絡、使用健康的終端，讓合法的用戶做規范的事”，同時對于用戶的行為可以有效記錄和審計，便于事后排查。該系統應該具備如下功能：

（1）終端用戶通過身份認證連接網絡時，通過嚴格的IP、MAC、交換機IP、交換機端口、用戶名、密碼綁定措施，確保接入用戶身份的合法性。

（2）認證方式靈活多樣，允許賬號在網內漫游，可指定終端可不用賬號連接網絡（如監控攝像頭、門禁設備、電子屏幕等），但可限定其聯網目標IP。

（3）認證后對終端自動進行安全性檢查，包括操作系統補丁，防病毒軟件及特征庫版本、軟件黑、白名單；共享目錄檢查；分區表檢查等。

（4）引導用戶完善自身終端網絡安全，當上網終端不滿足安全策略時，系統將其上網地址強制指向特定地址引導用戶進行完善。

（5）可按照用戶劃分不同的訪問權限，根據用戶身份的不同，限制不同的訪問資源權限，使其只能訪問自己權限之內的服務器和網絡區域。

（6）可按照策略進行管理，包括資產安全、補丁安裝、資源訪問、應用程序、外設和遠程維護等策略管理。

（7）具有綠色訪問通道，使用戶在沒有認證前也可訪問特定的網絡資源。

（8）有詳細的綜合報表，允許管理員對當前和歷史事件進行篩選查找并可生成詳細的報表，幫助管理者監察和控制網絡終端。

（9）行為審計，記錄上網用戶的上下線時間、源IP、目的IP及訪問行為。

（10）具有廣泛的兼容性，不僅要對現網絡中使用的交換機品牌、版本兼容，還要對網絡終端的操作系統、保密軟件、殺毒軟件、辦公軟件兼容。

3 網絡接入控制系統部署

在大型局域網中一套完整的網絡接入控制系統是由安全認證服務器、行為管理與審計服務器、WSUS服務器、安全軟件服務器和交換機組成。

安全認證服務器是整個接入控制系統的核心組成部分，主要負責策略制定、權限劃分、數據庫管理及功能的制定，同時，根據預定義的策略，對來自終端設備的安全信息數據進行檢查，并做出相應的訪問接入控制決策。行為管理與審計服務器主要負責記錄和查詢用戶的上網行為和流量統計等。WSUS漏洞服務器用于自動檢測和修復終端軟件漏洞。安全軟件服務器主要為用戶提供殺毒軟件的安裝和升級服務。交換機由核心交換機、匯聚交換機和接入交換機組成，在接入交換機上配置802.1x協議負責收集認證軟件用戶提交的身份認證信息、終端安全狀態信息等數據，將其傳送到服務器端進行終端驗證。

（1）搭建網絡接入控制系統架構。將安全認證服務器和行為管理與審計服務器接入核心交換機，WSUS服務器和安全軟件服務器接入匯聚交換機連接至網絡后，在接入交換機的全局模式下開啟AAA認證、記賬功能、記賬更新、認證功能及客戶端在線探測功能，定義dot1x的授權和認證策略，指定認證服務器的IP地址、radius共享密碼、SNMP共同體字段、客戶端的探測周期和存活時間。以銳捷交換機為例：

（2）開啟所有端口上的安全認證，以48口銳捷交換機為例：

（3）開啟網絡接入控制逃生功能，確保在認證服務器出現故障時不影響用戶正常使用網絡。在全局模式下配置“none”認證，使交換機在等待radius服務器超時響應2秒，服務器重傳2次，響應超時15秒后自動轉為“none”認證，讓dot1x認證客戶端直接認證成功。

（4）開啟網絡接入控制重定向功能，使用戶在沒有安裝安全代理客戶端時，用戶打開瀏覽器后跳轉至下載客戶端頁面，引導用戶安裝客戶端。在全局模式下需開啟重定向后配置跳轉服務器IP、網址及終端用戶網關IP。

switch（config）#dot1x redirect

switch（config）# http redirect 192.168.1.2

switch（config）#http redirect homepage http：//192.168.1.2：9000/jr.html

switch（config）#http redirect direct-site 192.168.1.2 arp

switch（config）#http redirect direct-site 192.168.60.254 arp

（5）開啟開啟網絡接入控制綠色通道功能，使用戶在沒有認證前可以訪問一些特定的資源。需先創建訪問控制列表后放通IP報文、arp報文及網絡資源IP再在全局模式下開啟全局安全模式。

Switch（config）# expert access-list extended ruijie

switch（config-exp-nacl）#permit arp any any any any any

switch（config-exp-nacl）# permit ip any any host 192.168.33.61 any

switch（config-exp-nacl）#exit

switch（config）# security global access-group ruijie

4 結束語

在大型局域網內建立一個統一的網絡接入控制認證系統，對接入網絡的用戶實現統一認證、統一授權和統一管理是保證網絡信息安全的重要途徑。本文主要介紹了IEEE802.1x，在目前應用中還有其他的一些認證技術如：PPPoE、WEB認證方式等，它們各有優點，但相比較其他技術IEEE802.1x它的設備要求低，開銷小，策略定制靈活更加適合在大型局域網內使用。隨著無線局域網技術的廣泛使用，接入控制系統的重心向無線局域網方向不斷更新和完善，為局域網提供一個安全穩定的網絡平臺。

[1]劉彪．一種基于局域網的全局安全設計[J]．計算機安全，2010．

[2]曲晶．全局安全網絡的設計與實現[J]．大連海事大學，2010．

[3]王鎮海．基于校園網的接入控制系統的研究[J]．上海交通大學，2014．

[4]張曉璇．數字化校園網絡中接入控制系統的研究與實現[J]．華南理工大學，2012．