企業內部網絡接入控制技術應用淺析

摘要：企業信息化應用程度越來越廣，越來越深入，信息安全的要求也隨之而來，其中網絡接入控制是信息安全的一個非常重要的方案，本文通過對目前比較流行的網絡接入控制的技術進行分析，得出適合各種不同類型企業的優缺點。

關鍵詞：信息安全 網絡接入控制

1 網絡接入控制技術概述

網絡接入控制，也稱網絡準入控制（Network Admission Control，簡稱NAC）概念最早是由Cisco提出來的，最初目的是利用網絡基礎設施來防止病毒和蠕蟲危害網絡。Cisco NAC方案是Cisco自防御網絡計劃的第一階段。企業目前的大多數信息資料都可以通過連入到內部信息網絡中獲取，所以控制內部網絡的接入成了整個信息安全很重要的一環，為此希望通過實施網絡接入控制加強信息安全的管理手段。

網絡準入控制實現終端注冊、安全檢查、安全隔離、安全通知和安全修復，保證接入到網絡的終端設備的身份是可信的、是滿足強制安全策略要求的。對于外來終端設備可以限制其只能訪問一些公開的資源；對于不符合強制安全策略要求的終端設備可以對其進行安全隔離，只有修復后才能正常訪問網絡資源；只有符合強制安全策略要求并且是內部用戶的終端設備才能正常訪問網絡資源。

圖1是網絡準入控制通用架構。

接入網絡的終端設備通過代理程序向接入控制服務器提供自己的安全特性信息，接入控制服務器向策略服務器驗證安全特性信息是否符合強制策略要求、終端設備的身份，接入控制器根據驗證結果控制接入控制點，告訴接入控制點終端設備可以訪問的網絡資源。

2 主流網絡接入控制技術分析

網絡準入控制實現上要解決的一個關鍵問題是如何能夠適應用戶的各種網絡環境。目前有四種常見技術來實現網絡準入控制：Cisco NAC、微軟NAP（Network Access Protection）、網關（防火墻、代理服務器）、ARP技術。這些技術采用的接入控制點設備不同，所以代理與接入控制點之間、接入控制點與接入控制服務器之間的協議也不相同，能夠起到的效果也不盡同。

2.1 Cisco NAC技術

為了解決不同網絡環境的準入控制問題，Cisco NAC提出了三種實現方式：

2.1.1 NAC-L2-802.1x

基于IEEE802.1x協議，根據接入網絡的終端設備身份和安全特性，動態打開/關閉網絡交換機端口、或者動態切換網絡交換機端口的VLAN來控制終端設備能夠訪問的網絡資源。NAC-L2-802.1x要求接入層網絡交換機支持IEEE802.1x協議，并且每個交換機端口只能連接一個終端設備，不支持Hub方式連接。Cisco 2940以上的大部分網絡交換機都支持IEEE802.1x協議，另外其它主流廠商的網絡設備如華為-3Com一些網絡交換機也支持該協議。所有基于IEEE802.1x協議的網絡準入控制方法包括NAC-L2-802.1x都是最徹底的解決方法，因為在終端設備沒有得到驗證之前網絡是不通的。

2.1.2 NAC-L2-IP

為了解決NAC-L2-802.1x要求所有接入層交換機支持IEEE802.1x并且每個交換機端口只能連接一個終端設備的限制，Cisco在標準EAP協議基礎上增加了一種EAPoUDAP的協議，該協議被Cisco的3550以上的交換機支持。網絡的接入層、匯聚層或者核心層支持EAPoUDP協議（即有Cisco 3550以上交換機）的交換機都可以作為網絡準入控制的“控制點設備”。當終端設備接入網絡并發送ARP包或者DHCP包時，接入層、匯聚層或者核心層中支持EAPoUDP協議的網絡交換機在轉發ARP或者DHCP包之前，會要求終端設備提供身份信息和安全特性信息，并轉發給ACS服務器，ACS服務器根據驗證結果向網絡交換機的相應端口動態設置該終端設備的ACL，這樣終端設備就只能訪問規定的網絡資源。另外ACS服務器還可以向網絡交換機端口下載一個重定向URL，當終端設備訪問Web服務器時，就會被網絡交換機重定向到指定URL中，如修復服務器的URL。

2.1.3 NAC-L3-IP

NAC-L3-IP采用Cisoc路由器作為“控制點設備”。與NAC-L2-IP類似，通過設置NAC-L3-IP也是設置路由器端口的ACL和重定向URL來控制終端設備可以訪問的網絡資源。

2.2 微軟NAP技術

微軟NAP提供了四種方法來解決不同網絡環境的網絡準入控制：

①基于IPSec通訊。基于IPSec的NAP客戶端會根據與其通訊的對方客戶端擁有什么樣的健康證書（Health Certificate）來決定是否與其通訊。NAP系統通過HCS為網絡內的客戶端分配健康證書以及指定客戶端在通訊時是否需要對方提供健康證書將網絡分為三部分：安全網絡、邊界網絡和受限網絡。安全網絡內的設備都擁有健康證書并且要求通訊對方也擁有健康證書；邊界網絡內的設備也擁有健康證書但它不要求對方擁有健康證書；受限網絡內的設備不擁有健康證書，所以只能訪問邊界網絡內資源。

②基于DHCP服務。NAP系統通過DHCP服務器為接入網絡的終端分配不同的IP地址來控制其能夠訪問的網絡資源。

③基于VPN。NAP系統通過VPN服務器為接入網絡的終端設備進行包過濾來控制其能夠訪問的網絡資源。

④基于IEEE802.1x。NAP系統通過支持IEEE802.1x協議的網絡交換機控制接入網絡的終端設備能夠訪問的網絡資源。

2.3 網關實現技術

防火墻、代理服務器是一個網絡中的出口，所以如果和防火墻、代理服務器進行聯動也能夠在一定程度上實現終端設備的網絡準入控制。不滿足身份要求或者強制安全策略的終端設備可以禁止其訪問防火墻和代理服務器后面的網絡資源。

2.4 ARP干擾實現技術

基于ARP干擾的網絡準入控制主要是利用ARP自身的漏洞，通過對不滿足強制安全策略要求的終端設備進行ARP欺騙，從而限制這些終端訪問網絡資源。

3 主流網絡接入控制技術比較

Cisco NAC是圍繞Cisco網絡設備提出的，對Cisco網絡設備有嚴重依賴性，象NAC-L2-IP、NAC-L3-IP都是Cisco私有方法，在多廠商網絡設備并存的網絡環境很難使用。另外Cisco Trust Agent所能提供的安全特性非常有限，主要是操作系統版本、SP版本、防病毒軟件版本和病毒特征庫，還不能提供象系統補丁包、其它安裝軟件、木馬或者間諜軟件等檢查。

微軟NAP架構提供的四種方法中，基于VPN和基于IEEE802.1x實現方法和具體網絡設備有關，基于IPSec通訊和基于DHCP服務的實現方法和具體網絡設備無關，所以具有較好的適應性。但微軟NAP架構只在Win7和Vista操作系統中提供，只能支持Vista操作系統終端設備。另外微軟NAP架構更多的是提供了一個網絡準入控制的開發平臺，還需要第三方廠商做二次開發才能很好地滿足具有用戶的需求。

基于網關的網絡準入控制實現方法與Cisco NAC、微軟NAP架構相比有幾個致命問題：一是沒有標準化，各個廠商的網關設備對外提供的聯動接口或者API都是非標準的，不具有普適性。二是控制不夠靈活，不能將網絡資源劃分為不同的資源區，根據終端的身份和安全特性細化可以訪問的網絡資源。

ARP干擾有如下這些問題：①會給網絡帶來大量ARP干擾包，會占用網絡帶寬，并且如果部署了IDS設備，會產生攻擊告警；②在每個物理網段需要部署一個ARP干擾設備，對于物理網段較多的網絡，有較大維護工作量；③終端設備可以很容易繞開被ARP干擾，如靜態設置網關的ARP。

總之，通過以上的技術分析，雖然每種技術手段實現的最終效果還是有差異，且應對特殊需求時都有相對的局限性，但就目前我們需要實現的防止非法設備接入企業網絡的功能來說，這些技術手段都可以起到足夠的效果，通過對以上幾種技術的分析，可以清楚各個企業目前所需要的技術手段。

參考文獻：

[1]Cisco系統技術支持網站.

[2]《淺談網絡探針接入控制技術》中國管理信息化.2010（15）.

[3]何欣全.新一代網絡安全接入技術TNC[J].信息網絡安全.2007（03）.