企業(yè)內(nèi)網(wǎng)準入安全實務(wù)研究

高春科

摘要：文章著重分析了802.1X協(xié)議的接入控制技術(shù)和流程，通過基于802.1X協(xié)議的相關(guān)產(chǎn)品實現(xiàn)企業(yè)內(nèi)網(wǎng)對于用戶的安全接入和控制。通過相關(guān)技術(shù)和產(chǎn)品的研究和比較，從而構(gòu)成企業(yè)內(nèi)網(wǎng)接入的終端控制集成方案，并通過具體工程進行驗證。

關(guān)鍵詞：網(wǎng)絡(luò)安全；802.1X協(xié)議；企業(yè)內(nèi)網(wǎng)；安全接入控制

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-2374（2013）23-0157-03

目前，國內(nèi)的大中型企業(yè)均已完成了企業(yè)內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)，但各類來訪人員終端接入公司內(nèi)部網(wǎng)絡(luò)時，普遍處于不可控狀態(tài)；另外，企業(yè)在金融資本市場上需要遵守某些國際的規(guī)則和法案（如SOX法案404條款）。企業(yè)成立內(nèi)控部門，力求企業(yè)生產(chǎn)運營過程各環(huán)節(jié)的可追溯、可審計。因此，需要通過對于終端接入的認證管理，實現(xiàn)終端接入的可控和可審計，滿足安全和內(nèi)控要求。現(xiàn)有企業(yè)網(wǎng)絡(luò)還不能滿足上述需求。本文針對這些需求進行研究，提出解決方案。

1 802.1X協(xié)議及解決方案

1.1 什么是802.1X

IEEE 802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認證標準。它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。802.1X協(xié)議起源于802.11協(xié)議，802.1X協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題。

在802.1X出現(xiàn)之前，企業(yè)網(wǎng)上有線LAN應(yīng)用都沒有直接控制到端口的方法，也不需要控制到端口，但是隨著無線LAN的應(yīng)用以及LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制，以實現(xiàn)用戶級的接入控制。802.1X就是IEEE為了解決基于端口的接入控制（Port-Based Access Control）而定義的一個標準。

1.2 802.1X認證體系結(jié)構(gòu)

802.1X的認證體系分為三部分結(jié)構(gòu)：Supplicant System客戶端（PC/網(wǎng)絡(luò)設(shè)備）、Authenticator System認證系統(tǒng)、Authentication Server System認證服務(wù)器。

基于以太網(wǎng)端口認證的802.1X協(xié)議有如下特點：IEEE802.1X協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴展認證協(xié)議），可以提供良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認證架構(gòu)的兼容；802.1X的認證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能。

1.3 802.1X解決方案

1.3.1 Cisco NAC。思科與防病毒廠商（包括趨勢、McAfee等）合作的安全網(wǎng)絡(luò)接入控制（下稱NAC）方案，可實現(xiàn)基于用戶身份的認證，也可對客戶端防病毒安全狀態(tài)進行評估，對不滿足條件（預(yù)先制定的策略）的用戶，對其接入網(wǎng)絡(luò)的能力和范圍實現(xiàn)控制，從而提高全網(wǎng)整體的安全防護能力；采用思科網(wǎng)絡(luò)安全接入控制方案（NAC），可以有效地解決SOX法案要求局域網(wǎng)接入認證的內(nèi)控要求。

NAC是由思科公司倡導的跨業(yè)界合作的整套安全解決方案，自2003年11月提出后獲得防病毒廠商的廣泛支持。目前，包括國外軟件廠商：趨勢科技、McAfee、賽門鐵克、CA、IBM，國內(nèi)軟件廠商：瑞星和金山等15家安全領(lǐng)域主要廠商，都已成為思科NAC合作伙伴。

1.3.2 華為 I3SAFE Numen。I3SAFE Numen終端安全系統(tǒng)（以下簡稱終端安全系統(tǒng)）是在I3SAFE Numen系統(tǒng)框架基礎(chǔ)上開發(fā)的針對企業(yè)、運營商的內(nèi)部網(wǎng)絡(luò)終端安全防護產(chǎn)品。終端安全系統(tǒng)通過在每一臺終端上安裝安全代理，對終端的安全狀況進行檢測，并實時監(jiān)控和采集用戶涉及主機安全的行為記錄。同時通過與接入設(shè)備的聯(lián)動，限制不符合安全要求的終端的上網(wǎng)。

1.3.3 局域網(wǎng)準入方案比較。

實施方法比較：

（1）協(xié)議方面。兩種方案都采用EAP協(xié)議、RADIUS協(xié)議和802.1X協(xié)議實現(xiàn)接入控制。但思科的方案還可以支持不采用客戶端的方式實現(xiàn)接入認證，即無客戶端方式，為用戶提供另外一種選擇。

身份認證管理方面。兩種方案在后臺都選擇了使用RADIUS服務(wù)器作為認證管理平臺；華為只能以用戶名/密碼方式進行身份認證，思科除了采用用戶名/密碼方式外，還可以采用證書方式管理用戶身份。

管理方式方面。都采取集中式控制和管理方式。策略控制和應(yīng)用由策略服務(wù)器（通常是RADIUS服務(wù)器）和第三方的軟件產(chǎn)品（病毒庫管理，系統(tǒng)補丁等）協(xié)作進行；用戶資料和準入策略由統(tǒng)一的管理平臺負責。

（2）協(xié)作廠商比較。NAC是由思科公司倡導的跨業(yè)界合作的整套安全解決方案，于2003年11月提出。其主旨是向已獲授權(quán)的合作伙伴提供協(xié)議和技術(shù)信息，以便合作伙伴開發(fā)和銷售支持NAC網(wǎng)絡(luò)、策略服務(wù)器及客戶端應(yīng)用。NAC方案支持的廠商包括國外軟件廠商：趨勢科技、McAfee、賽門鐵克、CA、IBM，國內(nèi)軟件廠商：瑞星和金山等15家安全領(lǐng)域主要廠商。

EAD方案，于2005年底在媒體上逐步推出。EAD方案目前支持的廠商主要有瑞星、江民、金山三家廠商。

（3）對現(xiàn)網(wǎng)設(shè)備利舊的支持。思科NAC方案和華為EAD方案雖然在業(yè)務(wù)控制流程和功能組件上類似，都是基于對802.1X和EAP協(xié)議的開發(fā)，但目前并不兼容。

NAC方案：由于目前大型企業(yè)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備中主要采用的是思科的接入設(shè)備和策略控制服務(wù)器，采用思科NAC方案可以充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備和策略控制設(shè)備。

EAD方案：如果采用華為EAD方案，現(xiàn)在思科的接入設(shè)備將全部更換，并且需要配置新的策略控制設(shè)備。

（4）與現(xiàn)網(wǎng)設(shè)備的兼容性。

NAC方案：思科方案與現(xiàn)網(wǎng)設(shè)備不存在兼容性問題。

EAD方案：由于華為EAD方案必須采用華為的二層交換機，與現(xiàn)網(wǎng)思科的交換機互聯(lián)，很容易出現(xiàn)由于生成樹協(xié)議配置不當而引起廣播風暴。

2 接入控制技術(shù)的實際應(yīng)用

2.1 企業(yè)內(nèi)部網(wǎng)絡(luò)現(xiàn)狀

浙江某運營商DCN網(wǎng)絡(luò)是企業(yè)的運行支撐網(wǎng)絡(luò)，為各個專業(yè)網(wǎng)管系統(tǒng)和企業(yè)應(yīng)用系統(tǒng)提供了統(tǒng)一的數(shù)據(jù)通信平臺，目前網(wǎng)絡(luò)已經(jīng)覆蓋到各交換母局和大的營業(yè)網(wǎng)點。

當前存在的問題如下：（1）移動辦公和遠程維護的需求強烈，但缺乏安全的接入手段，因此只能小范圍試用。（2）內(nèi)網(wǎng)多出口現(xiàn)象嚴重，繞開統(tǒng)一出口直接訪問公網(wǎng)，造成病毒嚴重，嚴重威脅內(nèi)網(wǎng)安全。（3）缺乏安全的內(nèi)網(wǎng)無線接入手段。（4）內(nèi)網(wǎng)缺乏統(tǒng)一的安全策略規(guī)范和控制機制。（5）沒有接入控制機制，內(nèi)網(wǎng)接入隨意，基本沒有保護，對第三方人員和企業(yè)內(nèi)部員工不健康的終端均無限制手段，嚴重威脅企業(yè)信息安全。

2.2 工程實施內(nèi)容及建設(shè)方案

2.2.1 工程建設(shè)需求：（1）滿足遠程接入需求，實現(xiàn)用戶在外網(wǎng)時能夠安全接入DCN網(wǎng)絡(luò)；（2）滿足用戶通過統(tǒng)一入口VPN方式接入DCN網(wǎng)絡(luò)后，能夠訪問各類內(nèi)網(wǎng)應(yīng)用系統(tǒng)；（3）用戶在外網(wǎng)接入內(nèi)網(wǎng)時，應(yīng)首先通過入口的Radius認證和動態(tài)口令認證；（4）終端在局域網(wǎng)通過有線或無線方式接入時，對終端安全性進行檢測，認證后準許進入網(wǎng)絡(luò)。

2.2.2 工程建設(shè)方案。

工程組網(wǎng)：Internet統(tǒng)一出入口通過一臺Juniper ISG2000防火墻DCN的出口網(wǎng)關(guān)設(shè)備，完成省公司員工訪問Internet的訪問控制和安全防護；兩臺SA4000設(shè)備部署在防火墻的DMZ區(qū)，連接在DMZ交換機上，采用A/P的高可用方式部署，防火墻映射一個公網(wǎng)地址到SA集群的浮動地址上。防火墻實現(xiàn)基本DOS保護、策略過濾，SA設(shè)備則實現(xiàn)SSL VPN，進行應(yīng)用層保護過濾和接入。部署一套Juniper SBR radius軟件，作為DCN網(wǎng)絡(luò)AAA認證服務(wù)器，用于實現(xiàn)對內(nèi)部各系統(tǒng)的集中身份認證和授權(quán)。該系統(tǒng)能夠與原有的目錄服務(wù)器結(jié)合，降低部署的復(fù)雜度。

終端安全檢查策略：Juniper SA 4000設(shè)備在用戶接入前通過預(yù)先設(shè)定的策略檢查用戶終端的安全狀況，包括補丁、殺毒軟件安裝或更新情況。根據(jù)DCN的終端安全要求設(shè)定終端安全檢查策略，一般建議檢查是否安裝有殺毒軟件，不符合條件的拒絕登錄或提示后登錄。

接入方式：由于SA 4000設(shè)備具有Core、SAM和NC三種接入方式，三種方式獲得的權(quán)限各不相同，對于每個用戶組（Role），需要選擇其能夠使用的接入方式。

資源策略設(shè)置：在每種接入方式下，可以設(shè)定Role能夠訪問的資源，類似于防火墻的ACL（訪問控制列表）。根據(jù)不同Role的實際需要，設(shè)定不同的訪問權(quán)限，保證每個用戶能夠訪問到其必須訪問的資源，同時不獲得超出其工作需要的權(quán)限。

局域網(wǎng)內(nèi)，通過部署Cisco的NAC方案實現(xiàn)無線和有線接入時基于802.1X的終端認證和健康性檢查。企業(yè)可以根據(jù)不同的安全策略對終端安全狀況進行檢測，內(nèi)容包括終端補丁安裝情況、終端防病毒軟件安裝以及版本更新情況、病毒代碼庫的更新情況、個人防火墻的配置情況、屏幕保護的配置情況等，并保護企業(yè)重要信息資源不被外來終端訪問，阻止外來終端或者未納入終端管理系統(tǒng)的終端接入到企業(yè)網(wǎng)絡(luò)。通過企業(yè)目錄服務(wù)集成，提供統(tǒng)一身份認證，統(tǒng)一授權(quán)的基礎(chǔ)，確保用戶信息在各系統(tǒng)中的

同步。

2.3 工程實施效果

工程實施效果見表1。

3 結(jié)語

企業(yè)信息化建設(shè)過程中，較多關(guān)注于信息系統(tǒng)建設(shè)，對于信息化基礎(chǔ)的網(wǎng)絡(luò)安全，關(guān)注不夠全面，本文重點關(guān)注于之前企業(yè)安全管理薄弱的網(wǎng)絡(luò)接入控制技術(shù)，并結(jié)合業(yè)界解決方案，應(yīng)用于實際工程。

參考文獻

[1] 寧宇鵬，薛靜鋒.信息安全-理論、實踐與應(yīng)用[M].

[2] 馬燕，曹周湛，等.信息安全法規(guī)與標準[M].北京：機械工業(yè)出版社.

[3] 高海英.VPN技術(shù)[M].北京：機械工業(yè)出版社.

[4] 802.1X IEEE Standard for Localand metropolitan are ane tworksPort-Based Network Access Contr ol IEEEStd 802.1X?-2004.

[5] 華信郵電咨詢設(shè)計院培訓材料.電信運營商IT系統(tǒng)薩班斯法案符合性解決方案白皮書[M].