企業內網準入安全實務研究

高春科

摘要：文章著重分析了802.1X協議的接入控制技術和流程，通過基于802.1X協議的相關產品實現企業內網對于用戶的安全接入和控制。通過相關技術和產品的研究和比較，從而構成企業內網接入的終端控制集成方案，并通過具體工程進行驗證。

關鍵詞：網絡安全；802.1X協議；企業內網；安全接入控制

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-2374（2013）23-0157-03

目前，國內的大中型企業均已完成了企業內部網絡和信息系統的建設，但各類來訪人員終端接入公司內部網絡時，普遍處于不可控狀態；另外，企業在金融資本市場上需要遵守某些國際的規則和法案（如SOX法案404條款）。企業成立內控部門，力求企業生產運營過程各環節的可追溯、可審計。因此，需要通過對于終端接入的認證管理，實現終端接入的可控和可審計，滿足安全和內控要求。現有企業網絡還不能滿足上述需求。本文針對這些需求進行研究，提出解決方案。

1 802.1X協議及解決方案

1.1 什么是802.1X

IEEE 802.1X是IEEE制定關于用戶接入網絡的認證標準。它的全稱是“基于端口的網絡接入控制”。802.1X協議起源于802.11協議，802.1X協議的主要目的是為了解決無線局域網用戶的接入認證問題。

在802.1X出現之前，企業網上有線LAN應用都沒有直接控制到端口的方法，也不需要控制到端口，但是隨著無線LAN的應用以及LAN接入在電信網上大規模開展，有必要對端口加以控制，以實現用戶級的接入控制。802.1X就是IEEE為了解決基于端口的接入控制（Port-Based Access Control）而定義的一個標準。

1.2 802.1X認證體系結構

802.1X的認證體系分為三部分結構：Supplicant System客戶端（PC/網絡設備）、Authenticator System認證系統、Authentication Server System認證服務器。

基于以太網端口認證的802.1X協議有如下特點：IEEE802.1X協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本；借用了在RAS系統中常用的EAP（擴展認證協議），可以提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容；802.1X的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現業務與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數據包是無需封裝的純數據包；可以使用現有的后臺認證系統降低部署的成本，并有豐富的業務支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能。

1.3 802.1X解決方案

1.3.1 Cisco NAC。思科與防病毒廠商（包括趨勢、McAfee等）合作的安全網絡接入控制（下稱NAC）方案，可實現基于用戶身份的認證，也可對客戶端防病毒安全狀態進行評估，對不滿足條件（預先制定的策略）的用戶，對其接入網絡的能力和范圍實現控制，從而提高全網整體的安全防護能力；采用思科網絡安全接入控制方案（NAC），可以有效地解決SOX法案要求局域網接入認證的內控要求。

NAC是由思科公司倡導的跨業界合作的整套安全解決方案，自2003年11月提出后獲得防病毒廠商的廣泛支持。目前，包括國外軟件廠商：趨勢科技、McAfee、賽門鐵克、CA、IBM，國內軟件廠商：瑞星和金山等15家安全領域主要廠商，都已成為思科NAC合作伙伴。

1.3.2 華為 I3SAFE Numen。I3SAFE Numen終端安全系統（以下簡稱終端安全系統）是在I3SAFE Numen系統框架基礎上開發的針對企業、運營商的內部網絡終端安全防護產品。終端安全系統通過在每一臺終端上安裝安全代理，對終端的安全狀況進行檢測，并實時監控和采集用戶涉及主機安全的行為記錄。同時通過與接入設備的聯動，限制不符合安全要求的終端的上網。

1.3.3 局域網準入方案比較。

實施方法比較：

（1）協議方面。兩種方案都采用EAP協議、RADIUS協議和802.1X協議實現接入控制。但思科的方案還可以支持不采用客戶端的方式實現接入認證，即無客戶端方式，為用戶提供另外一種選擇。

身份認證管理方面。兩種方案在后臺都選擇了使用RADIUS服務器作為認證管理平臺；華為只能以用戶名/密碼方式進行身份認證，思科除了采用用戶名/密碼方式外，還可以采用證書方式管理用戶身份。

管理方式方面。都采取集中式控制和管理方式。策略控制和應用由策略服務器（通常是RADIUS服務器）和第三方的軟件產品（病毒庫管理，系統補丁等）協作進行；用戶資料和準入策略由統一的管理平臺負責。

（2）協作廠商比較。NAC是由思科公司倡導的跨業界合作的整套安全解決方案，于2003年11月提出。其主旨是向已獲授權的合作伙伴提供協議和技術信息，以便合作伙伴開發和銷售支持NAC網絡、策略服務器及客戶端應用。NAC方案支持的廠商包括國外軟件廠商：趨勢科技、McAfee、賽門鐵克、CA、IBM，國內軟件廠商：瑞星和金山等15家安全領域主要廠商。

EAD方案，于2005年底在媒體上逐步推出。EAD方案目前支持的廠商主要有瑞星、江民、金山三家廠商。

（3）對現網設備利舊的支持。思科NAC方案和華為EAD方案雖然在業務控制流程和功能組件上類似，都是基于對802.1X和EAP協議的開發，但目前并不兼容。

NAC方案：由于目前大型企業數據網絡設備中主要采用的是思科的接入設備和策略控制服務器，采用思科NAC方案可以充分利用現有的網絡設備和策略控制設備。

EAD方案：如果采用華為EAD方案，現在思科的接入設備將全部更換，并且需要配置新的策略控制設備。

（4）與現網設備的兼容性。

NAC方案：思科方案與現網設備不存在兼容性問題。

EAD方案：由于華為EAD方案必須采用華為的二層交換機，與現網思科的交換機互聯，很容易出現由于生成樹協議配置不當而引起廣播風暴。

2 接入控制技術的實際應用

2.1 企業內部網絡現狀

浙江某運營商DCN網絡是企業的運行支撐網絡，為各個專業網管系統和企業應用系統提供了統一的數據通信平臺，目前網絡已經覆蓋到各交換母局和大的營業網點。

當前存在的問題如下：（1）移動辦公和遠程維護的需求強烈，但缺乏安全的接入手段，因此只能小范圍試用。（2）內網多出口現象嚴重，繞開統一出口直接訪問公網，造成病毒嚴重，嚴重威脅內網安全。（3）缺乏安全的內網無線接入手段。（4）內網缺乏統一的安全策略規范和控制機制。（5）沒有接入控制機制，內網接入隨意，基本沒有保護，對第三方人員和企業內部員工不健康的終端均無限制手段，嚴重威脅企業信息安全。

2.2 工程實施內容及建設方案

2.2.1 工程建設需求：（1）滿足遠程接入需求，實現用戶在外網時能夠安全接入DCN網絡；（2）滿足用戶通過統一入口VPN方式接入DCN網絡后，能夠訪問各類內網應用系統；（3）用戶在外網接入內網時，應首先通過入口的Radius認證和動態口令認證；（4）終端在局域網通過有線或無線方式接入時，對終端安全性進行檢測，認證后準許進入網絡。

2.2.2 工程建設方案。

工程組網：Internet統一出入口通過一臺Juniper ISG2000防火墻DCN的出口網關設備，完成省公司員工訪問Internet的訪問控制和安全防護；兩臺SA4000設備部署在防火墻的DMZ區，連接在DMZ交換機上，采用A/P的高可用方式部署，防火墻映射一個公網地址到SA集群的浮動地址上。防火墻實現基本DOS保護、策略過濾，SA設備則實現SSL VPN，進行應用層保護過濾和接入。部署一套Juniper SBR radius軟件，作為DCN網絡AAA認證服務器，用于實現對內部各系統的集中身份認證和授權。該系統能夠與原有的目錄服務器結合，降低部署的復雜度。

終端安全檢查策略：Juniper SA 4000設備在用戶接入前通過預先設定的策略檢查用戶終端的安全狀況，包括補丁、殺毒軟件安裝或更新情況。根據DCN的終端安全要求設定終端安全檢查策略，一般建議檢查是否安裝有殺毒軟件，不符合條件的拒絕登錄或提示后登錄。

接入方式：由于SA 4000設備具有Core、SAM和NC三種接入方式，三種方式獲得的權限各不相同，對于每個用戶組（Role），需要選擇其能夠使用的接入方式。

資源策略設置：在每種接入方式下，可以設定Role能夠訪問的資源，類似于防火墻的ACL（訪問控制列表）。根據不同Role的實際需要，設定不同的訪問權限，保證每個用戶能夠訪問到其必須訪問的資源，同時不獲得超出其工作需要的權限。

局域網內，通過部署Cisco的NAC方案實現無線和有線接入時基于802.1X的終端認證和健康性檢查。企業可以根據不同的安全策略對終端安全狀況進行檢測，內容包括終端補丁安裝情況、終端防病毒軟件安裝以及版本更新情況、病毒代碼庫的更新情況、個人防火墻的配置情況、屏幕保護的配置情況等，并保護企業重要信息資源不被外來終端訪問，阻止外來終端或者未納入終端管理系統的終端接入到企業網絡。通過企業目錄服務集成，提供統一身份認證，統一授權的基礎，確保用戶信息在各系統中的

同步。

2.3 工程實施效果

工程實施效果見表1。

3 結語

企業信息化建設過程中，較多關注于信息系統建設，對于信息化基礎的網絡安全，關注不夠全面，本文重點關注于之前企業安全管理薄弱的網絡接入控制技術，并結合業界解決方案，應用于實際工程。

參考文獻

[1] 寧宇鵬，薛靜鋒.信息安全-理論、實踐與應用[M].

[2] 馬燕，曹周湛，等.信息安全法規與標準[M].北京：機械工業出版社.

[3] 高海英.VPN技術[M].北京：機械工業出版社.

[4] 802.1X IEEE Standard for Localand metropolitan are ane tworksPort-Based Network Access Contr ol IEEEStd 802.1X?-2004.

[5] 華信郵電咨詢設計院培訓材料.電信運營商IT系統薩班斯法案符合性解決方案白皮書[M].