隨著信息安全技術的發(fā)展，信息安全防護的重心已經(jīng)從傳統(tǒng)的網(wǎng)絡安全防護(比如防火墻、人侵防護系統(tǒng)、人侵檢測系統(tǒng)等)向終端安全防護轉(zhuǎn)移，終端的安全對整個系統(tǒng)的安全起到了至關重要的作用。

　　1、網(wǎng)絡訪問現(xiàn)狀

　　筆者所在企業(yè)經(jīng)過多年的信息安全建設，在網(wǎng)絡邊界已經(jīng)部署了防火墻、人侵防護系統(tǒng)等多種安全防護產(chǎn)品，基本上能防止來自外部的大部分攻擊行為。但是隨著公司第三方人員的頻繁往來、以及筆記本電腦的普遍使用，終端的安全隱患是公司目前面臨的最大風險：

　　1)無法確保所有終端及時更新系統(tǒng)補丁，曾經(jīng)多次發(fā)生過病毒利用系統(tǒng)漏洞在局域網(wǎng)內(nèi)擴散的安全事件。

　　2)無法確保每個終端都安裝防病毒軟件并及時更新。

　　3)通過其他網(wǎng)絡監(jiān)控設備經(jīng)常會在網(wǎng)絡上發(fā)現(xiàn)違反公司安全策略的應用流量。

　　4)公司無線接人風險問題，并沒有完全開啟應用。

　　5)雖然公司在部分敏感區(qū)域?qū)嵤┝擞芯�網(wǎng)絡端口MAC地址綁定的控制措施，并規(guī)定了人工的安全檢查流程，檢查第三方終端。但是由于人力有限，目前僅檢查防病毒軟件是否安裝、定義庫是否接入和操作系統(tǒng)補丁更新情況這3項;對于具體某幾個關鍵的操作系統(tǒng)補丁是否更新齊全，是否帶有惡意軟件、受限軟件等無法逐一檢查。此外，對于接人后的病毒定義庫和補丁更新也無法進行有效管理;因此才會出現(xiàn)接人網(wǎng)絡后的計算機病毒定義庫和補丁不更新，甚至出現(xiàn)重裝操作系統(tǒng)后未進行任何安全加固的情況出現(xiàn)，嚴重威脅公司局域網(wǎng)的安全。

　　6)部分員工由于擁有本機管理員權限，存在部分終端不加公司域等現(xiàn)象，這樣終端無法通過公司指定的終端管理軟件進行自動補丁更新;或者由于終端系統(tǒng)配置問題導致白動補丁更新失敗。這些無法自動更新操作系統(tǒng)補丁的終端也是局域網(wǎng)的安全隱患。

　　7)目前所有終端的防病毒定義庫由防病毒服務器統(tǒng)一下發(fā)更新，但是同樣存在由于終端原因?qū)е碌拿摍C現(xiàn)象.這些終端無法及時更新病毒定義庫。

　　2、網(wǎng)絡訪問控制解決方案

　　鑒于筆者公司無線和有線接人的復雜性和當前的管理現(xiàn)狀，如何有效控制終端對局域網(wǎng)的訪問、確保其符合安全策略，對于生產(chǎn)環(huán)境的穩(wěn)定運行至關重要。因此垂需部署一套集中管理的網(wǎng)絡訪問控制系統(tǒng)，對所有類型的終端接人(包括有線、無線、PC、筆記本、虛擬機等)進行安全檢查并控制:

　　1)能夠?qū)λ�有需要接入局域網(wǎng)的終端進行安全檢查，安全檢查的內(nèi)容包括防病毒軟件、定義庫、操作系統(tǒng)補丁等。

　　2)對于安裝有網(wǎng)絡訪問控制agent的終端，在完成安全檢查后并且確認終端是可信安全的，才能接入公司局域網(wǎng)，能夠訪問各種資源。

　　3)對于安裝有網(wǎng)絡訪問控制agent的終端，如果沒有通過安全檢查.其網(wǎng)絡訪問就要受到限制，只能訪問修補服務器，完成修補后并且通過安全檢查才能接入局域網(wǎng);修補最好能夠由終端自動完成，無需用戶干預。

　　4)對于未安裝有網(wǎng)絡訪問控制agent的終端(包括第三方人員、員工個人筆記本)不允許訪間局域網(wǎng)。

　　5)對于在普通終端上安裝的虛擬機等同于一般終端處理，同樣必須安裝網(wǎng)絡訪問控制agent后才能接入局域網(wǎng)。

　　6)對于某些特殊的終端(IP電話、網(wǎng)絡打印機等)能夠根據(jù)預先定義策略的進行控制。

　　7)網(wǎng)絡訪問控制系統(tǒng)能夠提供合理的高可用性方案，確保公司兩個辦公地點的安全終端隨時都能夠訪問網(wǎng)絡資源。

　　8)網(wǎng)絡訪問控制實施要簡單易行，盡量不破壞現(xiàn)有的網(wǎng)絡架構。

　　3、網(wǎng)絡訪問控制系統(tǒng)的實施

　　為了實現(xiàn)上述網(wǎng)絡訪問控制的需求，筆者在調(diào)研并測試了國內(nèi)外安全廠商的網(wǎng)絡訪問控制系統(tǒng)后，挑選了一家主流廠商的解決方案。實際的實施方案如圖1所示。
 

　　1)系統(tǒng)功能模塊介紹

　　整個網(wǎng)絡訪問控制系統(tǒng)中的關鍵功能模塊如下:

　　(1)策略管理服務器:負責網(wǎng)絡訪問控制系統(tǒng)安全檢查策略的制定和下發(fā)。

　　(2)局域網(wǎng)控制器:負責對所有有線接人的終端進行身份認證，校驗安全檢查結果。

　　(3)交換機:啟用802.1 x身份認證，配置兩個虛擬局域網(wǎng)(VLAN)，一個分配給可信的終端，另一個分配給不可信的終端。

　　(4)網(wǎng)關控制器:串接在無線接入終端之前，對所有無線流量進行控制，確�？尚沤K端正常訪問局域網(wǎng)。

　　(5) DHCP控制器:部署在DHCP服務器上，對無線接人終端的DHCP請求進行檢查，根據(jù)不同的安全檢查結果分配相應的IP地址。

　　2)安全檢查策略的制定

　　為了確保整個局域網(wǎng)的安全，要求每個接人終端都必須進行如下的安全檢查:

　　(1)檢查操作系統(tǒng)的services pack版本，要求必須是最新的。

　　(2)檢查防病毒軟件是否安裝并且定義庫是否是最新的。

　　(3)檢查終端是否登本公司的域。

　　(4)檢查終端是否安裝了指定的終端管理軟件。

　　(5)檢查幾個爆發(fā)過病毒的操作系統(tǒng)關鍵補丁是否已經(jīng)安裝。

　　(6)檢查是否安裝有違反公司安全策略的軟件、進程等。

　　3)高可用性設計

　　由于筆者公司有兩處辦公地點，而網(wǎng)絡訪問控制系統(tǒng)關系到所有用戶終端能否正常訪問局域網(wǎng)的資源，因此整個系統(tǒng)的高可用性設計方案如下:

　　(1)策略管理服務器的冗余

　　在兩個辦公地點各部署一臺策略管理服務器作為冗余，兩臺服務器可以同時工作，負責管理本地的所有終端;但是如果一臺服務器出現(xiàn)了間題，另外一臺可以接管所有終端并繼續(xù)正常工作。

　　(2)局域網(wǎng)控制器的冗余

　　同樣在兩個辦公地點各部署一臺局域網(wǎng)控制器作為冗余，并同時進行工作。

　　(3)網(wǎng)關控制器

　　串聯(lián)于網(wǎng)絡中的網(wǎng)關控制器帶有fail-ipen模塊，如宕機亦不影響網(wǎng)絡訪問。

　　4)有線網(wǎng)絡接入

　　對于可信終端A、未通過安全檢查的終端B和不可信終端C三種可信屬性的終端的具體接入機制如圖2。
 

　　各終端接入企業(yè)局域網(wǎng)的流程如下:

　　可信的終端A:

　　(1)當終端A接入公司局域網(wǎng)時，將首先由網(wǎng)絡訪問控制agent發(fā)起EAP驗證請求，交換機收到請求并將之轉(zhuǎn)發(fā)給局域網(wǎng)控制器。

　　(2)局域網(wǎng)控制器根據(jù)策略管理服務器下發(fā)的安全檢查策略要求對其進行安全檢查。

　　(3)局域網(wǎng)控制器將檢查結果通知給802.1 X交換機。

　　(4) 802.1 x交換機根據(jù)局域網(wǎng)控制器的返回信息將其切換到正常訪問VLAN。

　　未通過安全檢查的終端B:

　　(1)當終端B接入公司局域網(wǎng)時，將首先由網(wǎng)絡訪問控制agent發(fā)起EAP驗證請求，交換機收到請求并將之轉(zhuǎn)發(fā)給局域網(wǎng)控制器。

　　(2)局域網(wǎng)控制器根據(jù)相關安全檢查策略進行安全檢查，發(fā)現(xiàn)未通過安全檢查。

　　(3)通知802.1 x交換機。

　　(4) 802.1 x交換機將其暫時切換到隔離VLAN并嘗試對其修復。

　　(5)終端如修復完成將通過安全檢查并被切換到正常訪問VLAN;如失敗將一直處于隔離VLAN，無法訪問公司網(wǎng)絡。

　　不可信的終端C:

　　(1)無網(wǎng)絡訪問控制agent的終端，無法使用發(fā)起802.1 X驗證，其802.1 x驗證將失敗。

　　(2)局域網(wǎng)控制器通知交換機將其切換到隔離VLAN，無法訪問公司網(wǎng)絡。

　　5)通過網(wǎng)關控制器的無線接入

　　網(wǎng)關控制器將被部署在無線AP之前進行網(wǎng)絡訪問控制，如圖3。
 

　　(1)安裝有網(wǎng)絡訪問控制agent無線終端A接人到公司網(wǎng)絡時，網(wǎng)關控制器確認其通過安全檢查后允許其訪問局域網(wǎng)。

　　(2)安裝有網(wǎng)絡訪問控制agent無線終端B接人到公司網(wǎng)絡時，網(wǎng)關控制器確認其未通過安全檢查后限制其訪問局域網(wǎng)，只能訪問修補服務器;完成修補并通過安全檢查才允許其訪問局域網(wǎng)。

　　(3)沒有安裝網(wǎng)絡訪問控制agent無線終端C，網(wǎng)關控制器將拒絕其訪問局域網(wǎng)。

　　6)通過DHCP控制器的無線接入

　　由于公司辦公地點Site1的無線接人環(huán)境比較復雜，無法通過網(wǎng)關控制器覆蓋所有無線接人，因此采用DHCP控制器的方式進行網(wǎng)絡訪問控制，控制機制如圖4。
 

　　(1)安裝有網(wǎng)絡訪問控制agent的無線用戶預接入到公司網(wǎng)絡，首先發(fā)起DHCP請求。

　　(2)充當DHCP中繼的DHCP控制器攔截到DHCP請求。

　　(3) DHCP控制器根據(jù)相關安全檢查策略對其進行安全檢查。通過安全檢查則通知DHCP服務器分配給正常訪問IP;未通過安全檢查將被分配給受限訪問IP自行修復。

　　7)非PC終端部署配置

　　考慮到公司的網(wǎng)絡環(huán)境中存在較多的網(wǎng)絡打印機和IP電話，因此在進行網(wǎng)絡訪問控制部署時需要將這部分設備排除在外，不對其進行認證控制。其接人機制如圖5。
 

　　局域網(wǎng)控制器與接人層交換機配合實現(xiàn)網(wǎng)絡準入控制，在準人過程中交換機對直連到端口的終端進行認證。由于準入控制是基于交換機端口進行認證，因此當該端口直連的是打印機或者iP電話時，需要將該端口的認證取消，否則將無法使用打印機和IP電話。

　　4、結語

　　本文以終端安全為切入點，通過分析筆者公司面臨的終端安全現(xiàn)狀和復雜的網(wǎng)絡環(huán)境，從接入方式、接入終端類別以及終端安全狀態(tài)提出解決方案，最終建立一套清晰、完整的網(wǎng)絡訪問控制系統(tǒng)。該系統(tǒng)很好地應用了當今多種主流的網(wǎng)絡訪問控制技術，解決了困擾該公司多年的終端安全間題，在實際應用中取得了良好的效果。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：網(wǎng)絡訪問控制系統(tǒng)在企業(yè)中的應用

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121810402.html