网络准入控制技术是防止计算机病毒和蠕虫等黑客攻击技术对企业安全造成危害而诞生，通过网络准入控制技术，可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络，而未经授权的终端不能接入。
随着计算机技术和网络通信技术的发展、应用的日趋复杂，计算机终端已不再是传统意义上我们所理解的“终端”，它不仅是网线所连接的PC，还包括手机、PAD等各类新式的移动设备，这些终端给信息安全工作带来了巨大挑战：类型众多，以各种方式接入;并且是大部分事物的起点和源头：是用户登录并访问网络的起点、是用户访问Internet的起点、是应用系统访问和数据产生的起点、更是病毒攻击、从内部发起恶意攻击和内部保密数据盗用或失窃的源头。因此，终端安全管理对每个企业来说都极其重要，只有通过完善的终端安全管理才能够真正从源头上控制各种事件的启始、遏制由内网发起的攻击和破坏。
在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。
基于身份的网络服务(IBNS)能够在用户访问网络访问之前确保用户的身份是信任关系。但是，识别用户的身份仅仅是其中一部分，尽管依照总体安全策略，用户有权进入网络，但是其使用的计算机可能不适合接入网络，这些计算设备因为使用的外部环境及不能及时更新系统补丁，很容易在外部感染病毒或者蠕虫，当它们接入内部网络的时候，就会将病毒及潜藏的apt攻击引入内部网络。病毒和apt攻击侵入将继续干扰企业业务的正常运行，造成停机、业务中断和不断地打补丁。利用网络准入控制技术，能够减少病毒和蠕虫对信息系统运行的干扰，因为它能够防止问题主机接入正常网络。在计算机接人正常网络之前，网络准人控制能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑计算机或有问题的计算机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止才可接入网络。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。基于身份的网络服务的作用是验证用户的身份，而网络准入控制的作用是检查设备的“状态”。交换平台上的网络准入控制可以与信任代理共同构成一个系统。信任代理可以从多个安全软件客户端(例如防病毒客户端)搜集安全状态信息，并将这些信息发送到制定访问控制决策的网络安全系统。应用和操作系统的状态(例如防病毒和操作系统补丁等级或者身份证明)可以被用于制定相应的网络准人决策。网络准人控制整体解决方案，将会把信任代理与安全软件客户端集成到一起。

当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后， 策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。
网络准入控制系统基于一个全新系统架构，它将整个内网安全防护策略划分为逻辑上的3个组成部分：
1.内网边界安全防护，对来自网络外部的安全威胁进行安全防护；
2.内网安全威胁防护，对来自网络内部的安全威胁进行防护；
3.外网移动用户安全接人防护，用于保证内部移动用户在不同网络环境中的自身安全及企业网络安全。
因此，只有建立完整的网络准入控制体系才能有效保护内部网络安全，也只有拥有网络准入控制的终端安全管理体系才能够提供终端的全程、纵深终端安全保障体系。
网络准入控制主要组件有如下三种：
1.终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证，通过部署终端的插件或者代理软件实现。
2.网络接入设备 — 实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。
3.策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略（接入、拒绝、隔离或打补丁）。
要部署网络准入控制方案，需要安装上面提到的所有NAC系统组件。在企业中，通常网络已拥有终端和网络接入设备。只需要再部署策略/AAA服务器。通常有4种准入控制：
802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制，是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源;如果不能通过认证，则无法访问局域网中的资源，支持多网络厂商，可在网络交换机和无线AP上实现。 802.1x的准入控制的优点是在交换机支持802.1x协议的时候，802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机，比如非配置交换机或者hub，必须重新更换新的支持802.1x的交换机才可以实现。
DHCP准入控制终端连接到网络时，DHCP服务器给终端分配一个临时的IP和路由，使得终端只能访问有限的资源，终端通过安全检查之后，重新获取一个IP，此时可以正常访问网络，DHCP类型不是真正意义上的准入控制，Microsoft的NAP最初采用此解决方案，NAP后来又支持802.1x, IPsec等。DHCP的准入控制的优点是兼容老旧交换机，缺点是无法百分之百的达到彻底控制。
网关型准入控制不是严格意义上的准入控制。在接入终端和网络资源(如：服务器/互联网出口)之间，设置一个网关，终端只有通过网关的验证和检查后，才能访问网关后面的资源。实际上网关准入控制只是防火墙功能的一个扩展，可以认为是网络准入控制中的一种特殊形式，绝大多少传统的防火墙厂商都提供该类解决方案，比如通过mac地址或者账号身份认证等控制。网关型准入控制没有对终端接入内部网络进行控制，而只是对终端访问外网进行了控制。
ARP型准入控制通过ARP干扰实现准入控制，制造IP地址冲突，技术实现简单，利用了ARP协议本身的一些缺陷，终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制，ARP准入控制是通过ARP欺骗实现的，其实与病毒的ARP攻击并无本质的区别，容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙，ARP准入控制在遇到这种情况下，则不能起作用。
网络准入控制技术在企业内部网络的实施，必须综合考虑企业的准入具体需求与客观的网络基础架构条件才可以制定出真正可落地的切实解决企业问题的网络准入控制方案，如需对网络准入控制方案进一步的了解，请联系蓝盟IT外部获取免费咨询。

文/上海蓝盟   IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包解惑“SMBv1是高危风险吗？“

• 分享到：