部署內網安全準入控制系統

802.1x是一套標準的協議規范，是局域網主機接入認證和授權手段。實施端口控制的主體是802.1x接入交換機。在交換機開啟802.1x功能后，主機終端所連接的端口將只允許特定的認證數據幀通過，基于其認證結果確定是否開放主機所連的端口接入網絡，接入后在終端可信狀態不變的情況下，將不再進行認證和檢查。

基于802.1x的可信網絡接入框架由接入請求點、網絡接入控制點和可信接入服務器組成。基于證書策略的終端準入控制過程如下：

1.網絡準入控制組件通過802.1x協議將主機終端用戶身份證書信息發送到接入交換機。

2.接入交換機將用戶身份證書信息通過RADIUS協議，發送給RADIUS認證組件。該組件通過認證服務器對用戶身份證書進行有效性判定，并把認證結果返回給交換機，交換機將認證結果傳給網絡準入控制組件。

3.用戶身份認證通過后，終端系統檢測組件根據準入策略管理組件制定的安全準入策略對終端安全狀態進行檢測。終端的安全狀態符合安全策略的要求則允許準入流控中心系統網絡。

4.如終端身份認證失敗，網絡準入控制組件通知接入交換機關閉端口；如終端安全狀態不符合安全策略要求，終端系統檢測組件將隔離終端到非工作VLAN。

5.在非工作VLAN終端，終端系統檢測組件會自動進行終端安全狀態的修復，在修復完成后，系統自動將終端重新接入正常工作VLAN。

交換機認證設置

由于不同廠家和型號系列的交換機啟用802.1x功能的設置可能不完全相同，需要網管員根據交換機用戶手冊進行相應部署操作。目前Nortel、思科、華為等主流交換機設備均支持802.1x協議。準入交換機的配置基本步驟：開啟全局802.1x和端口的802.1x功能；正確配置RADIUS服務器的IP地址、認證端口以及共享密鑰；選擇802.1x認證方法為EAP；選擇基于MAC的認證方式或Single-Host認證方式，并設置端口和MAC地址的綁定關系，以防止多臺主機（或虛擬機）通過同一交換機端口接入網絡；對于應用服務器類設備，由于其對于網絡穩定性要求比較高，不能機械套用PC機接入控制方式，可通過IP-MAC綁定技術，利用“白名單”制度實施管控，防止出現網絡通斷對業務系統造成重大影響；對于網絡特殊IP設備，如網絡打印機、網絡攝像頭、IP電話等，由于這些終端無法通過802.1x認證方法實施準入控制，可采用MAC地址認證方法，把其MAC地址作為身份進行統一認證，且在準入控制系統上配置其權限，根據授權VLAN或ACL限制其訪問范圍。

圖1 分發準入策略

以思科網絡交換機為例，認證配置命令如下：

以上配置中設定192.168.1.100為準入服務器的IP地址。

準入策略設置

準入策略設置通過控制服務端管理軟件實施。管理軟件完成基于主機或用戶的準入策略管理，負責對準入交換機或執行入網請求進行認證和響應，驗證入網主機特征標識正確性和用戶身份合法性，基于認證結果對其入網端口進行控制。

設置時，以“管理員”身份登錄主機安全監控系統管理控制臺，在“準入策略”界面可進行準入策略的新建、修改和刪除操作。錄入“策略名稱”，選擇“認證方式”，通常支持三種類型：

用戶名口令認證。以主機硬盤序列號作為用戶標識，以主機硬盤序列號作為口令標識，均自動獲取和計算，具備基本安全性。

主機證書認證。利用簽名驗證機制，對主機特征信息（IP、MAC）進行驗證，具備較高的安全級別。

用戶Key認證。利用簽名驗證機制，同時對主機特征信息（IP、MAC）和主機與UKEY間的綁定關系進行驗證，具備更高的安全級別。

完成準入策略的設置后，可通過“主機管理”或“用戶管理”界面完成，右鍵單擊某臺主機選擇“分發準入策略”進行分發（如圖1所示）。

部署實施后，通過控制管理軟件，網絡中心可對所有用戶終端進行管理控制。用戶端必需通過入網終端軟件進行認證方可連接網絡；同時終端軟件可同步實施安全檢測，對綜合評估分值過低（即風險較高）的用戶終端，通過隔離和下線等手段，阻止用戶端潛在的風險，確保入網終端可信、安全和可控。