隨著信息安全技術(shù)的發(fā)展，信息安全防護(hù)的重心已經(jīng)從傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)(比如防火墻、人侵防護(hù)系統(tǒng)、人侵檢測(cè)系統(tǒng)等)向終端安全防護(hù)轉(zhuǎn)移，終端的安全對(duì)整個(gè)系統(tǒng)的安全起到了至關(guān)重要的作用。

　　1、網(wǎng)絡(luò)訪問(wèn)現(xiàn)狀

　　筆者所在企業(yè)經(jīng)過(guò)多年的信息安全建設(shè)，在網(wǎng)絡(luò)邊界已經(jīng)部署了防火墻、人侵防護(hù)系統(tǒng)等多種安全防護(hù)產(chǎn)品，基本上能防止來(lái)自外部的大部分攻擊行為。但是隨著公司第三方人員的頻繁往來(lái)、以及筆記本電腦的普遍使用，終端的安全隱患是公司目前面臨的最大風(fēng)險(xiǎn)：

　　1)無(wú)法確保所有終端及時(shí)更新系統(tǒng)補(bǔ)丁，曾經(jīng)多次發(fā)生過(guò)病毒利用系統(tǒng)漏洞在局域網(wǎng)內(nèi)擴(kuò)散的安全事件。

　　2)無(wú)法確保每個(gè)終端都安裝防病毒軟件并及時(shí)更新。

　　3)通過(guò)其他網(wǎng)絡(luò)監(jiān)控設(shè)備經(jīng)常會(huì)在網(wǎng)絡(luò)上發(fā)現(xiàn)違反公司安全策略的應(yīng)用流量。

　　4)公司無(wú)線接人風(fēng)險(xiǎn)問(wèn)題，并沒(méi)有完全開(kāi)啟應(yīng)用。

　　5)雖然公司在部分敏感區(qū)域?qū)嵤┝擞芯�網(wǎng)絡(luò)端口MAC地址綁定的控制措施，并規(guī)定了人工的安全檢查流程，檢查第三方終端。但是由于人力有限，目前僅檢查防病毒軟件是否安裝、定義庫(kù)是否接入和操作系統(tǒng)補(bǔ)丁更新情況這3項(xiàng);對(duì)于具體某幾個(gè)關(guān)鍵的操作系統(tǒng)補(bǔ)丁是否更新齊全，是否帶有惡意軟件、受限軟件等無(wú)法逐一檢查。此外，對(duì)于接人后的病毒定義庫(kù)和補(bǔ)丁更新也無(wú)法進(jìn)行有效管理;因此才會(huì)出現(xiàn)接人網(wǎng)絡(luò)后的計(jì)算機(jī)病毒定義庫(kù)和補(bǔ)丁不更新，甚至出現(xiàn)重裝操作系統(tǒng)后未進(jìn)行任何安全加固的情況出現(xiàn)，嚴(yán)重威脅公司局域網(wǎng)的安全。

　　6)部分員工由于擁有本機(jī)管理員權(quán)限，存在部分終端不加公司域等現(xiàn)象，這樣終端無(wú)法通過(guò)公司指定的終端管理軟件進(jìn)行自動(dòng)補(bǔ)丁更新;或者由于終端系統(tǒng)配置問(wèn)題導(dǎo)致白動(dòng)補(bǔ)丁更新失敗。這些無(wú)法自動(dòng)更新操作系統(tǒng)補(bǔ)丁的終端也是局域網(wǎng)的安全隱患。

　　7)目前所有終端的防病毒定義庫(kù)由防病毒服務(wù)器統(tǒng)一下發(fā)更新，但是同樣存在由于終端原因?qū)е碌拿摍C(jī)現(xiàn)象.這些終端無(wú)法及時(shí)更新病毒定義庫(kù)。

　　2、網(wǎng)絡(luò)訪問(wèn)控制解決方案

　　鑒于筆者公司無(wú)線和有線接人的復(fù)雜性和當(dāng)前的管理現(xiàn)狀，如何有效控制終端對(duì)局域網(wǎng)的訪問(wèn)、確保其符合安全策略，對(duì)于生產(chǎn)環(huán)境的穩(wěn)定運(yùn)行至關(guān)重要。因此垂需部署一套集中管理的網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)，對(duì)所有類(lèi)型的終端接人(包括有線、無(wú)線、PC、筆記本、虛擬機(jī)等)進(jìn)行安全檢查并控制:

　　1)能夠?qū)λ�有需要接入局域網(wǎng)的終端進(jìn)行安全檢查，安全檢查的內(nèi)容包括防病毒軟件、定義庫(kù)、操作系統(tǒng)補(bǔ)丁等。

　　2)對(duì)于安裝有網(wǎng)絡(luò)訪問(wèn)控制agent的終端，在完成安全檢查后并且確認(rèn)終端是可信安全的，才能接入公司局域網(wǎng)，能夠訪問(wèn)各種資源。

　　3)對(duì)于安裝有網(wǎng)絡(luò)訪問(wèn)控制agent的終端，如果沒(méi)有通過(guò)安全檢查.其網(wǎng)絡(luò)訪問(wèn)就要受到限制，只能訪問(wèn)修補(bǔ)服務(wù)器，完成修補(bǔ)后并且通過(guò)安全檢查才能接入局域網(wǎng);修補(bǔ)最好能夠由終端自動(dòng)完成，無(wú)需用戶(hù)干預(yù)。

　　4)對(duì)于未安裝有網(wǎng)絡(luò)訪問(wèn)控制agent的終端(包括第三方人員、員工個(gè)人筆記本)不允許訪間局域網(wǎng)。

　　5)對(duì)于在普通終端上安裝的虛擬機(jī)等同于一般終端處理，同樣必須安裝網(wǎng)絡(luò)訪問(wèn)控制agent后才能接入局域網(wǎng)。

　　6)對(duì)于某些特殊的終端(IP電話(huà)、網(wǎng)絡(luò)打印機(jī)等)能夠根據(jù)預(yù)先定義策略的進(jìn)行控制。

　　7)網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)能夠提供合理的高可用性方案，確保公司兩個(gè)辦公地點(diǎn)的安全終端隨時(shí)都能夠訪問(wèn)網(wǎng)絡(luò)資源。

　　8)網(wǎng)絡(luò)訪問(wèn)控制實(shí)施要簡(jiǎn)單易行，盡量不破壞現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。

　　3、網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)的實(shí)施

　　為了實(shí)現(xiàn)上述網(wǎng)絡(luò)訪問(wèn)控制的需求，筆者在調(diào)研并測(cè)試了國(guó)內(nèi)外安全廠商的網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)后，挑選了一家主流廠商的解決方案。實(shí)際的實(shí)施方案如圖1所示。
 

　　1)系統(tǒng)功能模塊介紹

　　整個(gè)網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)中的關(guān)鍵功能模塊如下:

　　(1)策略管理服務(wù)器:負(fù)責(zé)網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)安全檢查策略的制定和下發(fā)。

　　(2)局域網(wǎng)控制器:負(fù)責(zé)對(duì)所有有線接人的終端進(jìn)行身份認(rèn)證，校驗(yàn)安全檢查結(jié)果。

　　(3)交換機(jī):啟用802.1 x身份認(rèn)證，配置兩個(gè)虛擬局域網(wǎng)(VLAN)，一個(gè)分配給可信的終端，另一個(gè)分配給不可信的終端。

　　(4)網(wǎng)關(guān)控制器:串接在無(wú)線接入終端之前，對(duì)所有無(wú)線流量進(jìn)行控制，確保可信終端正常訪問(wèn)局域網(wǎng)。

　　(5) DHCP控制器:部署在DHCP服務(wù)器上，對(duì)無(wú)線接人終端的DHCP請(qǐng)求進(jìn)行檢查，根據(jù)不同的安全檢查結(jié)果分配相應(yīng)的IP地址。

　　2)安全檢查策略的制定

　　為了確保整個(gè)局域網(wǎng)的安全，要求每個(gè)接人終端都必須進(jìn)行如下的安全檢查:

　　(1)檢查操作系統(tǒng)的services pack版本，要求必須是最新的。

　　(2)檢查防病毒軟件是否安裝并且定義庫(kù)是否是最新的。

　　(3)檢查終端是否登本公司的域。

　　(4)檢查終端是否安裝了指定的終端管理軟件。

　　(5)檢查幾個(gè)爆發(fā)過(guò)病毒的操作系統(tǒng)關(guān)鍵補(bǔ)丁是否已經(jīng)安裝。

　　(6)檢查是否安裝有違反公司安全策略的軟件、進(jìn)程等。

　　3)高可用性設(shè)計(jì)

　　由于筆者公司有兩處辦公地點(diǎn)，而網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)關(guān)系到所有用戶(hù)終端能否正常訪問(wèn)局域網(wǎng)的資源，因此整個(gè)系統(tǒng)的高可用性設(shè)計(jì)方案如下:

　　(1)策略管理服務(wù)器的冗余

　　在兩個(gè)辦公地點(diǎn)各部署一臺(tái)策略管理服務(wù)器作為冗余，兩臺(tái)服務(wù)器可以同時(shí)工作，負(fù)責(zé)管理本地的所有終端;但是如果一臺(tái)服務(wù)器出現(xiàn)了間題，另外一臺(tái)可以接管所有終端并繼續(xù)正常工作。

　　(2)局域網(wǎng)控制器的冗余

　　同樣在兩個(gè)辦公地點(diǎn)各部署一臺(tái)局域網(wǎng)控制器作為冗余，并同時(shí)進(jìn)行工作。

　　(3)網(wǎng)關(guān)控制器

　　串聯(lián)于網(wǎng)絡(luò)中的網(wǎng)關(guān)控制器帶有fail-ipen模塊，如宕機(jī)亦不影響網(wǎng)絡(luò)訪問(wèn)。

　　4)有線網(wǎng)絡(luò)接入

　　對(duì)于可信終端A、未通過(guò)安全檢查的終端B和不可信終端C三種可信屬性的終端的具體接入機(jī)制如圖2。
 

　　各終端接入企業(yè)局域網(wǎng)的流程如下:

　　可信的終端A:

　　(1)當(dāng)終端A接入公司局域網(wǎng)時(shí)，將首先由網(wǎng)絡(luò)訪問(wèn)控制agent發(fā)起EAP驗(yàn)證請(qǐng)求，交換機(jī)收到請(qǐng)求并將之轉(zhuǎn)發(fā)給局域網(wǎng)控制器。

　　(2)局域網(wǎng)控制器根據(jù)策略管理服務(wù)器下發(fā)的安全檢查策略要求對(duì)其進(jìn)行安全檢查。

　　(3)局域網(wǎng)控制器將檢查結(jié)果通知給802.1 X交換機(jī)。

　　(4) 802.1 x交換機(jī)根據(jù)局域網(wǎng)控制器的返回信息將其切換到正常訪問(wèn)VLAN。

　　未通過(guò)安全檢查的終端B:

　　(1)當(dāng)終端B接入公司局域網(wǎng)時(shí)，將首先由網(wǎng)絡(luò)訪問(wèn)控制agent發(fā)起EAP驗(yàn)證請(qǐng)求，交換機(jī)收到請(qǐng)求并將之轉(zhuǎn)發(fā)給局域網(wǎng)控制器。

　　(2)局域網(wǎng)控制器根據(jù)相關(guān)安全檢查策略進(jìn)行安全檢查，發(fā)現(xiàn)未通過(guò)安全檢查。

　　(3)通知802.1 x交換機(jī)。

　　(4) 802.1 x交換機(jī)將其暫時(shí)切換到隔離VLAN并嘗試對(duì)其修復(fù)。

　　(5)終端如修復(fù)完成將通過(guò)安全檢查并被切換到正常訪問(wèn)VLAN;如失敗將一直處于隔離VLAN，無(wú)法訪問(wèn)公司網(wǎng)絡(luò)。

　　不可信的終端C:

　　(1)無(wú)網(wǎng)絡(luò)訪問(wèn)控制agent的終端，無(wú)法使用發(fā)起802.1 X驗(yàn)證，其802.1 x驗(yàn)證將失敗。

　　(2)局域網(wǎng)控制器通知交換機(jī)將其切換到隔離VLAN，無(wú)法訪問(wèn)公司網(wǎng)絡(luò)。

　　5)通過(guò)網(wǎng)關(guān)控制器的無(wú)線接入

　　網(wǎng)關(guān)控制器將被部署在無(wú)線AP之前進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制，如圖3。
 

　　(1)安裝有網(wǎng)絡(luò)訪問(wèn)控制agent無(wú)線終端A接人到公司網(wǎng)絡(luò)時(shí)，網(wǎng)關(guān)控制器確認(rèn)其通過(guò)安全檢查后允許其訪問(wèn)局域網(wǎng)。

　　(2)安裝有網(wǎng)絡(luò)訪問(wèn)控制agent無(wú)線終端B接人到公司網(wǎng)絡(luò)時(shí)，網(wǎng)關(guān)控制器確認(rèn)其未通過(guò)安全檢查后限制其訪問(wèn)局域網(wǎng)，只能訪問(wèn)修補(bǔ)服務(wù)器;完成修補(bǔ)并通過(guò)安全檢查才允許其訪問(wèn)局域網(wǎng)。

　　(3)沒(méi)有安裝網(wǎng)絡(luò)訪問(wèn)控制agent無(wú)線終端C，網(wǎng)關(guān)控制器將拒絕其訪問(wèn)局域網(wǎng)。

　　6)通過(guò)DHCP控制器的無(wú)線接入

　　由于公司辦公地點(diǎn)Site1的無(wú)線接人環(huán)境比較復(fù)雜，無(wú)法通過(guò)網(wǎng)關(guān)控制器覆蓋所有無(wú)線接人，因此采用DHCP控制器的方式進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制，控制機(jī)制如圖4。
 

　　(1)安裝有網(wǎng)絡(luò)訪問(wèn)控制agent的無(wú)線用戶(hù)預(yù)接入到公司網(wǎng)絡(luò)，首先發(fā)起DHCP請(qǐng)求。

　　(2)充當(dāng)DHCP中繼的DHCP控制器攔截到DHCP請(qǐng)求。

　　(3) DHCP控制器根據(jù)相關(guān)安全檢查策略對(duì)其進(jìn)行安全檢查。通過(guò)安全檢查則通知DHCP服務(wù)器分配給正常訪問(wèn)IP;未通過(guò)安全檢查將被分配給受限訪問(wèn)IP自行修復(fù)。

　　7)非PC終端部署配置

　　考慮到公司的網(wǎng)絡(luò)環(huán)境中存在較多的網(wǎng)絡(luò)打印機(jī)和IP電話(huà)，因此在進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制部署時(shí)需要將這部分設(shè)備排除在外，不對(duì)其進(jìn)行認(rèn)證控制。其接人機(jī)制如圖5。
 

　　局域網(wǎng)控制器與接人層交換機(jī)配合實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，在準(zhǔn)人過(guò)程中交換機(jī)對(duì)直連到端口的終端進(jìn)行認(rèn)證。由于準(zhǔn)入控制是基于交換機(jī)端口進(jìn)行認(rèn)證，因此當(dāng)該端口直連的是打印機(jī)或者iP電話(huà)時(shí)，需要將該端口的認(rèn)證取消，否則將無(wú)法使用打印機(jī)和IP電話(huà)。

　　4、結(jié)語(yǔ)

　　本文以終端安全為切入點(diǎn)，通過(guò)分析筆者公司面臨的終端安全現(xiàn)狀和復(fù)雜的網(wǎng)絡(luò)環(huán)境，從接入方式、接入終端類(lèi)別以及終端安全狀態(tài)提出解決方案，最終建立一套清晰、完整的網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)。該系統(tǒng)很好地應(yīng)用了當(dāng)今多種主流的網(wǎng)絡(luò)訪問(wèn)控制技術(shù)，解決了困擾該公司多年的終端安全間題，在實(shí)際應(yīng)用中取得了良好的效果。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.vmgcyvh.cn/

本文標(biāo)題：網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)在企業(yè)中的應(yīng)用

本文網(wǎng)址：http://m.vmgcyvh.cn/html/support/11121810402.html