網絡準入系統助力企業網絡安全管理

咸國明，張 景，黃 林

（新疆油田公司數據公司，新疆 克拉瑪依 834000）

0 引言

在網絡安全管理過程中，部分企業對企業內網與終端接入之間的控制工作缺乏重視，未能針對性地檢查和限制終端用戶在內網中的訪問操作，配置的殺毒軟件、防火墻系統等存在較多薄弱點，導致內網極易在終端感染病毒木馬的情況下遭到入侵，進而對企業內網的安全可靠性產生嚴重影響。網絡準入控制系統可以借助所設置的準入策略認證終端用戶身份，檢查確認用戶行為、終端狀態等，能夠有效實現對不安全終端或非法用戶的隔離阻斷，對于增強企業網絡安全可靠性具有積極意義。

1 企業網絡安全管理常見問題

1.1 未能有效管控接入終端

部分企業對內網接入終端缺乏有效管控，所應用的動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）網絡能夠為員工筆記本電腦等設備的接入提供便利，使員工攜帶的終端與企業內網設備接入后能夠直接使用內網，但相關終端在缺乏有效管控的情況下，會導致內網存在嚴重的安全隱患［1］。若內網終端因此受到病毒感染，其相關聯的終端設備也會受到影響，最終會使企業各類網絡系統的應用以及相關數據的安全性受到威脅。

1.2 云平臺相關技術存在隱患，部分終端安全防護軟件更新不及時

云平臺、云桌面是現階段企業應用較為廣泛的技術，這些技術雖然能夠有效提高員工的工作效率，但也給企業網絡安全管理帶來較大風險。由于具有較強的兼容性和工作效率，云平臺和云桌面在企業中的應用較為廣泛，當企業某臺終端設備出現病毒感染問題時，病毒能夠通過云平臺在更短的時間內進行大范圍的傳播。同時，企業終端系統在更新換代過程中容易因系統漏洞遭到木馬病毒的攻擊。為應對安全風險，企業通常采取安裝殺毒軟件的方式進行防護，然而部分企業員工對病毒庫、安全軟件的更新較為滯后，在安全防護軟件更新不及時的情況下，員工安裝不安全的軟件更容易引發網絡安全問題。此外，部分員工對計算機系統的掌握能力不足，未能從服務管理、系統安全、賬戶密碼以及網絡訪問等方面優化系統配置，導致終端設備的可靠性降低，給企業網絡安全管理帶來更多風險［2］。

1.3 未明確劃分用戶訪問權限

部分企業對終端設備的內外網訪問權限劃分不明確，企業快速發展的同時接入了大量終端設備。在長期缺乏權限管控的情況下，隨意訪問內外網的用戶數量持續增加，導致企業網絡安全可靠性持續降低。任意終端用戶的不合理操作都可能引發嚴重的網絡安全問題。部分企業在終端用戶數量較少的情況下能夠通過設置服務器訪問、修改、讀取等操作權限進行管控，并針對性地推行相關安全管理制度，然而在用戶量激增的情況下，部分網絡安全管理人員對復雜的終端用戶缺乏有效的管控，相關制度標準的執行受到嚴重影響。

2 網絡準入技術分析

2.1 IP-MAC 綁定準入技術

媒體存取控制（Media Access Control，MAC）地址是電氣與電子工程師協會（Institute of Electrical and Electronics Engineers，IEEE）統一分配的唯一地址。IEEE 能夠對MAC 地址進行統一分配，在出廠前的終端網卡帶電可擦編程只讀存儲器（Electrically Erasable Programmable Read Only Memory，EEPROM）中將地址一次性寫入。該準入技術在應用時，能夠在交換機訪問控制列表中將企業內部網段設備的MAC、互聯網協議（Internet Protocol，IP）地址錄入，終端設備訪問內網的前提是IP 與MAC 地址能夠與控制列表中錄入的地址一致。終端設備網絡準入認證期間，準入系統所接收的MAC 地址并非來源于網卡只讀存儲器，而是來源于內存緩存區，通過將指定MAC 地址發送給準入系統認證的方式，能夠有效規避準入檢查，實現對內網的非法入侵［3］。

2.2 DHCP 準入技術

動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）準入技術能動態分配和集中管理IP地址，該技術在應用時主要涉及客戶端與服務器端兩部分。其中，服務器端用于處理客戶端的相關請求，如IP 地址設定、子網掩碼參數修改等。在實際應用過程中，該技術能夠借助DHCP Snooping（DHCP 安全特性）實現對非法服務器接入的有效管控，規避用戶隨意修改IP 地址，借助DHCP 服務器實現對終端設備IP地址的收回或分配，從而對終端設備與內網的接入進行有效管控。終端設備與內網連接時，DHCP 服務器能夠將隔離網段IP 分配給終端設備，同步針對終端設備進行審核認證，當認證通過時，方可分配相應的IP地址，允許終端設備訪問內網，否則對其隔離阻斷操作。DHCP Snooping 技術能夠有效過濾不可控終端的相關信息，避免因非法終端持續申請接入導致網絡資源受到限制。但是，該技術在實際應用時未能全面檢查終端設備的網絡安全狀態，更容易遭受IP欺騙攻擊。

2.3 802.1x 準入技術

8.2.1x 協議（訪問控制和認證協議）對于無線局域網的網絡準入控制具有重要作用，該協議能夠將交換機端口劃分為非受控與受控量兩種。其中，非受控端口用于認證，而受控端口用于業務，通過將認證流與業務流分離的方式為網絡準入控制提供便利。對于初次訪問企業網絡的終端設備，交換機不會為該終端開放業務流端口，而是通過單獨開發的認證流端口對終端進行認證，結合認證檢查結果，對端口的開放情況進行確認，從而實現非法終端用戶與企業內網之間的有效隔離。該準入技術借助交換機對所接入的終端進行準入控制，能夠根據安全策略對終端可靠性進行判斷，通過禁止不可控終端訪問內網的方式提升企業網絡的安全可靠性。在實際應用時，企業需要充分考慮802.1x協議的兼容性問題，避免設備不兼容導致準入系統的配置受到影響。同時，企業也需要考慮該技術對虛擬局域網（Virtual Local Area Network，VLAN）要求較多的問題，必要時可以將其與Web Portal 等技術聯合應用，實現對網絡準入系統部署成本和系統性能的有效優化［4］。

3 網絡準入控制方案

3.1 NAC 網絡準入方案

NAC 網絡準入控制系統結構如圖1 所示，該系統主要涉及測量服務器、管理服務器、終端端點安全代理以及網絡連接設備等部分。

圖1 NAC 的網絡結構

在應用過程中，無論是無線用戶還是有線網絡用戶，在無登錄信息的情況下，都無法訪問企業網絡。用戶對任意網頁的訪問行為最終都會在NAC 的控制下來到登錄界面。終端用戶將賬號密碼輸入后，NAC準入系統會對賬號密碼進行驗證，如果驗證不通過，則返回登錄界面；如果驗證通過，則繼續結合所設置的安全策略對終端設備的安全狀態進行驗證，如果驗證通過，則允許終端設備訪問內網，否則將對其進行隔離和在線修復［5］。

3.2 NAP 網絡準入方案

在實際應用時，NAP 系統管理員能夠結合安全策略、客戶端從屬和身份對網絡訪問權限進行細分控制，當客戶端與安全策略要求不符時，NAP 系統能夠借助修正服務器對其安全性問題進行修復處理，確認符合要求后再劃分網絡權限。

4 基于企業網絡安全管理的網絡準入系統設計思路

為滿足企業網絡安全管理需求，本文選擇NAC 準入控制系統，結合相關控制技術實現對終端設備與企業內網接入的有效控制，滿足準入控制、終端合規性檢測、終端身份識別等功能需求，為企業內網建立可靠的安全防護體系。對于網絡結構復雜、終端用戶數量多的大中型企業，網絡準入系統采取分層防護的方式實現網絡準入的有效控制以及終端安全問題的在線修復。接下來，筆者對系統框架、設計流程等進行詳細論述。

4.1 網絡準入系統框架

為滿足網絡準入控制需求，本系統主要應用NAC客戶端、交換機（滿足802.1x 協議應用需求）、終端身份認證服務器、NAC 準入控制器幾部分開展系統建設工作。其中，準入控制器與核心交換機的連接采取旁路部署模式，通過將流量鏡像端口配置在交換機中來滿足終端對內網的訪問接入需求，NAC 控制器能夠與端口進行連接和控制。核心交換機連接了終端身份認證服務器，該服務器包括本地認證服務器，也包括MailServer（郵件服務器）、HTTPServer（網頁服務器）等外部身份認證服務器。終端設備通過交換機與核心交換機連接，其內部需安裝相應的NAC 客戶端。該系統能夠將企業內網劃分為一般區域、VLAN 隔離區、核心應用區以及修復區。其中，修復區服務器內部安裝了具備終端系統網絡安全修復功能的軟件，能夠對準入認證不通過的終端進行安全防護軟件安裝等操作；核心營業區主要用于存儲重要數據、部署核心應用。

4.2 準入控制流程設計

為確保網絡準入系統能夠在企業網絡安全管理過程中得到有效應用，滿足企業網絡對終端接入相關問題的有效管控，NAC 控制系統的設計需要從認證方式、準入方式、阻斷與引導修復以及終端合規性檢查結果方面入手，下面進行詳細論述。

4.2.1 NAC 控制系統認證與準入方式

在準入認證時，NAC 控制系統將WebPortal（門戶網站認證）與802.1x 兩種技術融合應用。802.1x 認證技術需要在滿足該技術協議接入需求的設備中應用，因此需要選取具備該認證技術兼容性的交換機，從端口及對終端量龐大的大中型局域網進行網絡認證管理。對于臨時訪問企業內網、無NAC 準入客戶端的終端用戶，系統借助WebPortal 技術進行優化配置，該認證技術能夠在瀏覽器中通過瀏覽器/服務器模式（Browser/Server，B/S）架構實現對不同終端用戶網絡訪問權限的合理配置，滿足通過準入認證的終端設備的網絡資源訪問需求。在WebPortal 技術應用時，終端用戶將通過門戶服務器中的相關服務器進行賬號密碼認證或者NAC客戶端認證，實現對企業內網的訪問。

4.2.2 NAC 控制系統阻斷與修復引導策略

為阻斷安全項不合格或身份認證不通過的終端設備網絡訪問需求，NAC 控制系統一方面能夠借助802.1x 技術將終端設備置于修復區或隔離區VLAN，另一方面也可以借助交換機端口監聽技術實現阻斷處理，通過HTTP302 將終端設備劃入Web 修復界面，引導用戶基于修復策略進行修復處理，從而滿足后續的安全性檢查和身份認證需求。

4.2.3 NAC 控制系統終端合規性檢查策略

管理員需提前完成終端準入策略的配置，以滿足安全項合規性的檢查需求。NAC 客戶端能夠將終端設備“services”中的配置信息以及系統注冊表鍵值與安全策略進行對比，實現對合規性的有效判斷。合規性判斷的主要項目包括系統版本、漏洞情況、系統安全配置情況、安全服務啟動情況、殺毒軟件安裝情況等。NAC 客戶端能夠根據終端設備的檢查情況向NAC 準入控制器反饋結果，以便控制終端企業網絡的準入情況。

5 結語

企業網絡安全管理人員需要重視網絡準入系統的部署工作，結合企業網絡安全管理期間存在的終端接入控制不合理、權限劃分不明確、終端安全性監控不到位等問題建立相應的準入控制系統，基于NAC 準入控制方案以及802.1x 和WebPortal 相關技術聯合應用的方式，對終端與企業網絡的接入進行嚴格管控，同時通過合規性檢查、引導修復等方式對終端設備安全性問題進行檢查和修復處理，以此有效提升企業網絡安全可靠性。