多類型網絡終端的準入控制實現

姜新超 王進 孫佳偉 信息工程大學

1 前言

隨著現代計算機技術和網絡通信技術的發展、融合，傳統意義上的“終端”已經發生了變化，它不僅是網絡中與網線連接的臺式機、筆記本電腦以及服務器，還包括智能手機、平板電腦、電子閱讀器等各類新式的移動設備，而企業網絡中的打印機、IP電話等也是不容忽視的“啞終端”。這些形形色色的終端給網絡安全工作帶來了巨大挑戰：一方面它們類型眾多，通過有線、無線、VPN等多種方式接入；另一方面，它們是網絡中大部分事物的源頭和起點，更是病毒傳播、從內部發起的惡意攻擊、內部保密數據盜用或失竊的途徑。因此，終端安全管理對每個企業來說都是非常重要的，良好的終端安全控制技術能夠保證企業的安全策略真正得到實施，有效控制各種非法安全事件，確保企業網絡安全。

2 終端準入控制實現原則

2.1 身份認證

建立用戶實名管理機制，所有用戶、接入終端都必須實名接入網絡。通過該管理機制，可以彌補現實與網絡虛擬世界之間的鴻溝，以保證網絡中的安全問題都可以精確定位和追根溯源，這樣就可以建立對網絡違規和非法行為的威懾力，確保用戶在網絡的各項行為都嚴格按照管理要求進行，最終消除內網安全問題的隱患。基于RADIUS協議的終端準入控制技術是業界成熟的終端實名接入控制方案。終端準入控制系統為企業所有員工、外部員工、訪客（提供訪客登記管理）分配基于真實身份的接入賬號。接入者使用企業終端通過802.1X、Web Portal、VPN等接入方式訪問網絡時，必須輸入真實的賬號和密碼，經終端準入控制系統驗證后，才允許接入企業網絡。

2.2 安全檢查

除基本的身份驗證外，終端準入控制系統還可對接入終端實施安全檢查，對于不符合企業既定安全策略的終端通過網絡隔離、拒絕接入等方式處理，阻斷不安全終端對企業網絡的影響。

2.3 權限控制

接入終端通過身份認證和安全檢查后，終端準入控制系統根據接入終端的身份屬性，對接入的網絡設備下發VLAN、ACL來控制終端的網絡訪問范圍，防止接入終端對網絡的越權訪問。

2.4 監控審計

終端準入控制系統提供對終端接入的監控和審計，管理員不僅可以看到接入終端的實時在線狀態，還可以通過下線、黑名單等手段對終端進行實時控制。

3 多類型終端的準入控制

終端準入控制在企業的部署雖然保證了企業終端接入網絡時，都必須經過身份認證、安全檢查、權限控制、監控審計四個層面的安全控制，但是由于企業終端類型的多樣性，實施的身份驗證方法、接入方式、安全策略也往往有所差異。企業終端大致可分為PC、服務器、啞終端和移動智能終端四種類型，下面具體介紹每種類型的終端對應的準入控制方式。

3.1 PC終端的準入控制

大多數企業采用安裝了Windows操作系統的臺式機、便攜機作為辦公電腦。網絡接入方式上以有線網絡及VPN為主體，而無線網絡作為輔助。這種情況下，對于PC的網絡接入管理一般采用為PC安裝安全認證代理方式，根據企業網絡接入控制點的位置，靈活采用802.1X、Portal、L2TP VPN等方式接入網絡。在這種認證環境下，身份認證的手段也非常多樣，除了傳統的用戶名/密碼認證外，對于需要特殊管控的賬號，可以要求采用智能卡、數字證書等方式進行身份認證。同時可以要求PC在認證時提供“綁定信息”作為身份標識的附屬品，例如IP、MAC地址、接入設備的IP和端口、主機的域用戶名及計算機名等。

終端經過身份認證、安全檢查接入網絡后，可根據其身份下發已配置的VLAN、ACL到接入設備的端口上，對接入終端進行訪問權限控制。對于某些網絡精細化的管理要求，還可配置主機防火墻規則下發到終端安裝的安全代理軟件上，對接入終端的訪問行為進行嚴格管控。

3.2 服務器終端的準入控制

企業中的服務器一般是統一放置在數據中心的機房內，服務器的IP地址、接入的設備端口一般都是固定不變的，對于網絡的穩定性要求上比較高，出現網絡通斷會對運行于其上的業務系統造成重大影響。因此，服務器并不能使用傳統的802.1X、Portal認證的方式去統一管理。對于服務器接入這種情況，可通過管理系統的IP+MAC綁定技術進行控制。通過在管理系統上配置服務器MAC地址與接入設備的IP、端口綁定，實行“白名單”制度。

管理系統會根據制定的白名單對接入服務器的設備進行自動掃描，當發現某端口上的接入MAC不屬于“白名單”范圍內時，一方面會產生“異常接入明細”和告警向管理員進行報告，另一方面可根據已配置的處理策略，對非法接入的端口進行關閉，以避免非法的終端利用服務器的“免認證”漏洞接入企業網絡。

3.3 啞終端的準入控制

企業網絡中啞終端的數量和種類也在不斷地增加，例如打印機、IP電話等，這些設備一般安放在企業的多個位置。由于這些啞終端并無通用操作系統，因此無法通過802.1X或Portal認證對其進行準入控制。但如果將啞終端的接入端口設置為免認證，這無疑給企業網絡的全面接入控制留下了一個漏洞。企業內部人員可以利用該免認證端口接入PC，從而逃避企業準入控制的安全要求。因此，啞終端也應該擁有身份信息，并對其網絡接入權限進行控制。

啞終端設備可以采用MAC地址認證技術進行網絡接入認證，即把啞終端的MAC地址作為其身份到企業準入控制系統進行統一認證。在啞終端接入企業網絡時，接入設備在首次檢測到啞終端的MAC地址以后，接入設備將作為RADIUS客戶端，將檢測到的用戶MAC地址作為用戶名和密碼發送給企業準入控制系統，與企業準入控制系統配合完成MAC地址認證操作。企業準入控制系統完成對該MAC地址的認證后，認證通過的啞終端可以訪問網絡。

3.4 移動智能終端的準入控制

由于智能終端的多樣性和其私有屬性，不便在智能手機、平板電腦上安裝智能客戶端對其進行網絡認證和安全控制。所以移動智能終端一般通過基于無線的Portal認證來接入企業網絡。當用戶在移動智能終端瀏覽器中輸入訪問的URL時，接入控制設備會將重定向至企業內部的Web認證頁面，只有輸入分配給智能終端的賬號、密碼進行驗證后，該智能終端才可接入企業網絡。為進一步保證合法智能終端才能接入企業無線網絡，身份認證時可以要求綁定接入的SSID、智能終端的IP地址以及交換機端口等，確保智能終端網絡身份的真實性。對智能終端可以通過對接入設備下發VLAN或ACL來嚴格控制其訪問范圍，盡量減小智能終端對企業網絡的影響。

智能終端系統，從蘋果的iOS到谷歌的Android等等，目前所呈現的安全漏洞問題并不多，當下很難對企業網絡產生沖擊。因此目前的階段，對移動終端的主機安全可以不作安全檢查要求。但是隨著移動智能終端在企業網絡的不斷普及，其自身的安全性將逐漸成為企業網絡值得重視的問題。

4 結語

終端準入控制技術徹底改變了原有網絡安全管理與用戶管理、終端管理相脫節的局面，通過建立終端、用戶與網絡之間接入控制系統，構建起網絡安全防御環，從而革命性地改變了企業網絡架構，使企業網絡的安全性上了一個新的臺階。

終端管理問題千頭萬緒，但只要抓住準入這一關鍵點，保證終端安全制度可以實施起來，讓每個用戶都養成良好的習慣，并融入其他的安全技術和管理技術，建立主動防御的安全體系，在實踐中不斷完善。