美國CSI/FBI在《計算機犯罪與安全調(diào)查報告》中指出，因內(nèi)網(wǎng)安全漏洞造成的損失占所有計算機安全事故的一半以上；IDC的安全統(tǒng)計數(shù)據(jù)顯示，來自企業(yè)內(nèi)部終端的安全威脅占整個安全威脅的70％以上；中國國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心CNCERT/CC的《全國網(wǎng)絡安全狀況調(diào)查報告》指出，終端隱患已成為最大的安全威脅之一。內(nèi)網(wǎng)終端已經(jīng)成為企業(yè)網(wǎng)絡的阿喀琉斯之鍾，越來越多的企業(yè)都已經(jīng)深刻認識到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性。

一、 準入控制——內(nèi)網(wǎng)安全體系的關鍵

內(nèi)網(wǎng)安全產(chǎn)品主要有三大標準架構，分別是：網(wǎng)絡準入控制（NAC）、網(wǎng)絡訪問保護（NAP）和可信網(wǎng)絡連接（TNC），這三大標準體系分別定義了各自的實現(xiàn)協(xié)議，但遵從類似的體系框架，主要架構如下：

 

     n 1A. 終端連接網(wǎng)絡，通知PDP

n 1B. PDP啟動終端評估（包括用戶認證）

n 2.  將終端評估數(shù)據(jù)發(fā)送到策略服務器

n 3.  策略服務器與后端系統(tǒng)交互，證實終端狀態(tài)，決策是否授予終端接入權限

n 4.  策略服務器將終端評估結果通知給網(wǎng)絡（4A）和終端 (4B)

n 5.  終端接入網(wǎng)絡，獲得部分或者全部訪問權限，或接入修復服務器

在內(nèi)網(wǎng)安全架構中，準入控制點是整個體系的關鍵，承擔著與后臺策略決策系統(tǒng)交互，控制終端對網(wǎng)絡的訪問，隔離非健康終端并協(xié)助其修復等多項功能。準入控制方式的選擇（也稱為策略強制點的選擇）至關重要, 內(nèi)網(wǎng)安全產(chǎn)品能否成功部署，主要就在于能否結合企業(yè)網(wǎng)絡的具體情況，選擇到合適的準入控制點。

二、 多種準入控制技術的深入分析

業(yè)界的內(nèi)網(wǎng)安全產(chǎn)品，一般采用以下幾類準入控制方式，比較如下：

準入控制方式（策略強制方式）比較
控制方式	原理	優(yōu)點	缺點
802.1X	802.1X是一個二層協(xié)議，需要以太網(wǎng)交換機支持。交換機在接入終端時，端口缺省只打開802.1X的認證通道，終端通過802.1X認證后（包括終端安全健康狀態(tài)檢查），交換機端口才打開全部網(wǎng)絡通信通道。	n 在終端接入網(wǎng)絡時就進行準入控制。 n 控制力度強。 n 已經(jīng)定義善的協(xié)議標準。	n 對以太網(wǎng)交換機技術要求高，必須支持802.1X認證。 n 配置過程比較復雜，需要考慮多個廠商之間的兼容性。 n 交換機下可能串接HUB，交換機可能對一個端口上的多臺PC當成一個狀態(tài)處理，存在訪問控制漏洞
終端防火墻	通過主機防火墻，根據(jù)終端安全狀況，控制終端是否允許訪問網(wǎng)絡。	n 可以控制終端的那些應用（進程）訪問網(wǎng)絡。	n 主機軟件需要管理和升級 n 遠程用戶如果遇到網(wǎng)絡連接問題，故障處理比較困難
DHCP 控制	在終端通過DHCP請求分配地址時，進行準入控制	n 可以適用于任何適用DHCP分配IP地址的網(wǎng)絡,易于安裝和配置	n 終端通過自行配置靜態(tài)IP地址，可以繞過準入控制體系。
ARP spoofing	在每個局域網(wǎng)上安裝一個ARP spoofing代理，對終端發(fā)起的ARP請求替代路由網(wǎng)關回復ARP response，從而使其他終端的網(wǎng)絡流量必須進過代理。在這個ARP spooing代理上進行準入控制。	n ARP 適用于任何IP網(wǎng)絡，并且不需要改動網(wǎng)絡和主機配置。易于安裝和配置。	n 類似DHCP控制，終端可以通過配置靜態(tài)ARP表，來繞過準入控制體系。 n 此外，終端安全軟件和網(wǎng)絡設備可能會將ARP spoofing當成惡意軟件處理
DNS重定向	在DNS重定向機制中，將終端的所有DNS解析請求（不管其請求解析的是什么域名），全部指定到一個固定的服務器IP地址。	n 類似DHCP管理和ARP spoofing，適用于任何使用DNS協(xié)議的網(wǎng)絡，易于安裝和部署。 n 支持WEB portal頁面，可以通過DNS重定向，將終端的HTML請求重定向到WEB 認證和安全檢查頁面。	n 類似DHCP控制和ARP spoofing，終端可以通過不使用DNS協(xié)議來繞開準入控制限制。（例如：使用靜態(tài)HOSTS文件）

以上是內(nèi)網(wǎng)安全產(chǎn)品主流使用的準入控制方式，每種方式都有其特定的優(yōu)缺點，一般來說每個廠商的產(chǎn)品都會支持兩種以上的準入控制方式。

三、 網(wǎng)關準入控制——UTM2的四位一體

啟明星辰在2009年5月發(fā)布了UTM2 統(tǒng)一安全套件，采用了獨有特色的準入控制方式——USG網(wǎng)關準入控制。UTM2將安全網(wǎng)關、終端代理軟件、終端策略服務器、認證控制點四位一體化部署，在終端數(shù)量龐大的情況下，還可將終端策略服務器平滑切換到獨立式工作模式。

在UTM2統(tǒng)一安全套件中，USG承擔了準入控制網(wǎng)關（策略強制點）的功能。當計算機終端需要通過天清漢馬USG進行訪問時，在天清漢馬USG上進行安全監(jiān)察，確保只有安裝天?客戶端程序、并且符合管理員所設置的企業(yè)安全策略的計算機終端才能通過天清漢馬USG進行訪問。

相對于其它的準入控制方式，USG作為準入控制網(wǎng)關，可實現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個區(qū)域和角落。其優(yōu)勢主要體現(xiàn)如下：

（1）網(wǎng)關位置是非常合適的準入控制點

UTM的位置本身即位于安全域邊界（互聯(lián)網(wǎng)出口、服務器出口及辦公網(wǎng)出口等），從安全理論的角度講，對某個用戶進行控制（包括訪問控制、準入控制、業(yè)務控制etc）的最佳位置就是在安全域的邊界；同時，UTM設備的入侵防御、防病毒、外連控制等模塊可以與準入控制功能相互配合，UTM一旦發(fā)現(xiàn)某用戶行為違規(guī)，就可通過內(nèi)網(wǎng)管理系統(tǒng)直接斷開該用戶的所有連接。從這個角度上講，UTM是最適合執(zhí)行準入控制的網(wǎng)關設備。

（2）實現(xiàn)簡單方便，成本低，易于部署

采用UTM網(wǎng)關配合內(nèi)網(wǎng)管理系統(tǒng)實現(xiàn)準入控制，與基于802.1x/EOU等協(xié)議相比，業(yè)務實現(xiàn)流程清晰可靠、環(huán)節(jié)少，用戶只需要購買少量UTM設備，采用透明方式部署至網(wǎng)絡關鍵節(jié)點處，即可實現(xiàn)全面的準入控制，且對用戶原有的業(yè)務流程不造成任何影響。

（3）控制力度強，覆蓋全面

與基于DHCP控制，ARP spoofing，DNS劫持等準入控制相比，UTM準入控制能力更強、更全面，終端用戶在任何情況下均無法突破或繞過準入控制。

（4）與UTM其它安全功能進行有機的配合

例如，在采用UTM作為VPN網(wǎng)關時，對接入的移動用戶實施準入控制，可為整個VPN體系提供更佳的安全防護措施，同時實現(xiàn)對內(nèi)網(wǎng)用戶和VPN用戶的管理及準入控制。除此以外，UTM設備還可根據(jù)終端的安全情況自動配置合適的安全策略，如在終端未滿足某些安全要求的情況下開放其訪問修復服務器的權限。

內(nèi)網(wǎng)安全是當前網(wǎng)絡安全領域的熱門話題之一。在內(nèi)網(wǎng)安全產(chǎn)品架構中，準入控制方式至關重要。通過深入分析目前業(yè)界主要準入控制機制的技術原理，我們可以發(fā)現(xiàn)，包括802.1X、終端防火墻、DHCP控制、ARP spoofing、DNS重定向等各有其優(yōu)缺點。一般地，我們可以根據(jù)企業(yè)網(wǎng)絡的具體情況，選擇一種或者多種準入控制方案，完成內(nèi)網(wǎng)安全產(chǎn)品的部署。啟明星辰的UTM2統(tǒng)一安全套件，使用網(wǎng)關來完成準入控制功能與終端安全軟件的有機配合，在易部署、強制性、統(tǒng)一性等準入控制綜合能力上可圈可點。這也體現(xiàn)出，像啟明星辰這樣集多種網(wǎng)絡安全核心技術于一身的綜合類安全提供商，正在為整合企業(yè)網(wǎng)絡安全應用做出有益的探索。

標簽： dns dns解析 idc 安全 標準 防火墻 服務器 互聯(lián)網(wǎng) 漏洞 美國 企業(yè) 企業(yè)網(wǎng)絡安全 權限 全國網(wǎng)絡安全 通信 網(wǎng)絡 網(wǎng)絡安全 問題 選擇 用戶 域名

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。