NEWS

浅谈网络准入的技术、应用及前景. 2020-06-23


在互联网日益发达的今天,越来越多的应用服务暴露在公众视线,攻击者溜入企业内网的途径也随之增加,方式也是多种多样,企业内网的安全防护日趋重要,一旦企业的安全防护体系被突破,核心数据记录丢失或被盗,将会面临难以估计的损失。如何保障网络信息安全,如何最大限度地减少或避免因网络内部接入客户端因素造成的信息泄漏和破坏,成为摆在我们面前一项刻不容缓的重要课题。网络准入控制技术应运而生,成为各大企业网络安全体系中不可或缺的一部分。

 

 

一、网络准入控制原理

网络准入控制的宗旨是防止计算机病毒和蠕虫等黑客攻击技术对企业安全造成危害。借助网络准入控制技术,只有被授权、合法、安全、值得信任的终端设备接入企业网络,未经授权的终端不能接入。

网络准入控制系统将整个内网安全防护策略划分为逻辑上的3个组成部分:①内网边界安全防护,对来自网络外部的安全威胁进行安全防护;②内网安全威胁防护,对来自网络内部的安全威胁进行防护;③外网用户安全接入防护,保证内部用户在不同网络环境中的自身安全及企业网络安全。因此,只有建立完整的网络准入控制体系才能有效保护内部网络安全,也只有拥有网络准入控制的终端安全管理体系才能够提供终端的全程、纵深终端安全保障体系。

 

二、网络准入控制技术实现方式

网络准入控制技术主要有以下几种实现方式:①基于802.1x协议的网络准入控制;②网关型网络准入控制;③DHCP方式的网络准入控制;④软件方式的网络准入控制。几种网络准入控制技术的比较如表1所示。

表1 网络准入控制技术比较

其中,基于802.1x协议的网络准入控制方式由于其安全性、可靠性和多设备厂商支持等特性在市场上得到了大量的应用。本文主要讨论这种类型的网络准入控制技术及扩展应用。

三、基于802.1x协议的准入控制技术

802.1x 协议是在802.11c协议之上扩展而来,为了解决基于端口的接入控制(Port-Based Network Access Control)而定义的一个标准体系。

基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP(Extensible Authentication Protocol,可扩展认证协议)协议传送认证信息,认证系统与认证服务器之间通过Radius协议传送认证信息。IEEE 802.1x认证系统利用EAP协议,在客户端和认证服务器之间交换认证信息,此机制如图1所示。

图1 认证系统的工作机制

(1)在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。

(2)在设备端与RADIUS服务器之间,EAP协议报文可以使用EAPOR(EAP over RADIUS)封装格式,承载于RADIUS协议中;也可以由设备端进行终结,而在设备端与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

(3)当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端根据RADIUS服务器的指示决定受控端口的授权/非授权状态。

 

四、网络准入控制技术在终端安全管理中的应用

通过网络准入控制技术,对接入网络的计算机终端进行实时安全检查,检查的内容包括:

(1)账户检查:用户名和密码。防止外来人员私自安装一个相同的Agent后接入网络。

(2)安全设置规范检查:终端安全设置。检查终端操作系统补丁安装情况;检查终端的防病毒安装情况及其病毒特征库是否及时升级;检查终端是否有可疑的注册表项;检查终端是否有可疑的文件存在;检查终端是否安装了非法软件。

(3)终端MAC地址检查:检查终端是否在内部网络登记过。网络准入控制确保接入网络的计算机终端是合法且符合接入安全管理规范的计算机终端,并且接受管理的计算机终端。其次,对接入网络的计算机终端,可以进行进一步的安全管理和安全审计,通过集中式控制平台,进行各种批量的查询和统计。例如:

①策略分发。集中、批量、分组对桌面终端计算机进行安全设置、安全状态查询;

②补丁管理及软件分发。减轻管理员的日常维护工作量,提高效率,如为某个部门的所有机器批量安装防病毒软件;

③远程控制。允许系统维护人员维护远程终端设备;

④设备定位。管理员能够快速定位不安全的接入设备,及时控制攻击扩散,或者直接断开此设备的连接;

⑤资产管理。管理员可以统计汇总连接到网络上所有设备的软硬件配置。对于不同级别的安全事件,采取不同的处理流程,确保重要的安全事件能够得到快速、有效的处理。

 

五、展望及结语

 

目前金融机构ATM自助设备、排号机、以及如摄像头、IP电话、门禁等非管控终端需要接入网络,对网络安全接入管理带来挑战,传统准入客户端管理模式无法管控这些设备。随着大数据分析技术的发展,未来将采用基于特征识别的扫描技术实现接入控制管理,可及时感知设备接入网络状态,进行持续监控,对非法接入的端点、设备主动预警,并可与交换机联动及时阻断异常行为。

万物物联时代的到来,给终端网络安全接入管理提出了挑战,基于大数据分析技术智能分析提取终端“指纹”特征,构建一个立体的网络主动安全防御体系,能够有效避免终端非法接入,为企业打造一个更安全、更高效、更智能的终端网络接入环境。

 

网络准入控制解决方案

 

转自匠心独运维妙维效



上一篇:企业文档防泄密文件透明加密系统
下一篇:有备无患:防止数据丢失的4种有效方法