美國(guó)CSI/FBI在《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》中指出，因內(nèi)網(wǎng)安全漏洞造成的損失占所有計(jì)算機(jī)安全事故的一半以上；IDC的安全統(tǒng)計(jì)數(shù)據(jù)顯示，來自企業(yè)內(nèi)部終端的安全威脅占整個(gè)安全威脅的70％以上；中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC的《全國(guó)網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告》指出，終端隱患已成為最大的安全威脅之一。內(nèi)網(wǎng)終端已經(jīng)成為企業(yè)網(wǎng)絡(luò)的阿喀琉斯之鍾，越來越多的企業(yè)都已經(jīng)深刻認(rèn)識(shí)到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性。

一、 準(zhǔn)入控制——內(nèi)網(wǎng)安全體系的關(guān)鍵

內(nèi)網(wǎng)安全產(chǎn)品主要有三大標(biāo)準(zhǔn)架構(gòu)，分別是：網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、網(wǎng)絡(luò)訪問保護(hù)（NAP）和可信網(wǎng)絡(luò)連接（TNC），這三大標(biāo)準(zhǔn)體系分別定義了各自的實(shí)現(xiàn)協(xié)議，但遵從類似的體系框架，主要架構(gòu)如下：

 

     n 1A. 終端連接網(wǎng)絡(luò)，通知PDP

n 1B. PDP啟動(dòng)終端評(píng)估（包括用戶認(rèn)證）

n 2.  將終端評(píng)估數(shù)據(jù)發(fā)送到策略服務(wù)器

n 3.  策略服務(wù)器與后端系統(tǒng)交互，證實(shí)終端狀態(tài)，決策是否授予終端接入權(quán)限

n 4.  策略服務(wù)器將終端評(píng)估結(jié)果通知給網(wǎng)絡(luò)（4A）和終端 (4B)

n 5.  終端接入網(wǎng)絡(luò)，獲得部分或者全部訪問權(quán)限，或接入修復(fù)服務(wù)器

在內(nèi)網(wǎng)安全架構(gòu)中，準(zhǔn)入控制點(diǎn)是整個(gè)體系的關(guān)鍵，承擔(dān)著與后臺(tái)策略決策系統(tǒng)交互，控制終端對(duì)網(wǎng)絡(luò)的訪問，隔離非健康終端并協(xié)助其修復(fù)等多項(xiàng)功能。準(zhǔn)入控制方式的選擇（也稱為策略強(qiáng)制點(diǎn)的選擇）至關(guān)重要, 內(nèi)網(wǎng)安全產(chǎn)品能否成功部署，主要就在于能否結(jié)合企業(yè)網(wǎng)絡(luò)的具體情況，選擇到合適的準(zhǔn)入控制點(diǎn)。

二、 多種準(zhǔn)入控制技術(shù)的深入分析

業(yè)界的內(nèi)網(wǎng)安全產(chǎn)品，一般采用以下幾類準(zhǔn)入控制方式，比較如下：

準(zhǔn)入控制方式（策略強(qiáng)制方式）比較
控制方式	原理	優(yōu)點(diǎn)	缺點(diǎn)
802.1X	802.1X是一個(gè)二層協(xié)議，需要以太網(wǎng)交換機(jī)支持。交換機(jī)在接入終端時(shí)，端口缺省只打開802.1X的認(rèn)證通道，終端通過802.1X認(rèn)證后（包括終端安全健康狀態(tài)檢查），交換機(jī)端口才打開全部網(wǎng)絡(luò)通信通道。	n 在終端接入網(wǎng)絡(luò)時(shí)就進(jìn)行準(zhǔn)入控制。 n 控制力度強(qiáng)。 n 已經(jīng)定義善的協(xié)議標(biāo)準(zhǔn)。	n 對(duì)以太網(wǎng)交換機(jī)技術(shù)要求高，必須支持802.1X認(rèn)證。 n 配置過程比較復(fù)雜，需要考慮多個(gè)廠商之間的兼容性。 n 交換機(jī)下可能串接HUB，交換機(jī)可能對(duì)一個(gè)端口上的多臺(tái)PC當(dāng)成一個(gè)狀態(tài)處理，存在訪問控制漏洞
終端防火墻	通過主機(jī)防火墻，根據(jù)終端安全狀況，控制終端是否允許訪問網(wǎng)絡(luò)。	n 可以控制終端的那些應(yīng)用（進(jìn)程）訪問網(wǎng)絡(luò)。	n 主機(jī)軟件需要管理和升級(jí) n 遠(yuǎn)程用戶如果遇到網(wǎng)絡(luò)連接問題，故障處理比較困難
DHCP 控制	在終端通過DHCP請(qǐng)求分配地址時(shí)，進(jìn)行準(zhǔn)入控制	n 可以適用于任何適用DHCP分配IP地址的網(wǎng)絡(luò),易于安裝和配置	n 終端通過自行配置靜態(tài)IP地址，可以繞過準(zhǔn)入控制體系。
ARP spoofing	在每個(gè)局域網(wǎng)上安裝一個(gè)ARP spoofing代理，對(duì)終端發(fā)起的ARP請(qǐng)求替代路由網(wǎng)關(guān)回復(fù)ARP response，從而使其他終端的網(wǎng)絡(luò)流量必須進(jìn)過代理。在這個(gè)ARP spooing代理上進(jìn)行準(zhǔn)入控制。	n ARP 適用于任何IP網(wǎng)絡(luò)，并且不需要改動(dòng)網(wǎng)絡(luò)和主機(jī)配置。易于安裝和配置。	n 類似DHCP控制，終端可以通過配置靜態(tài)ARP表，來繞過準(zhǔn)入控制體系。 n 此外，終端安全軟件和網(wǎng)絡(luò)設(shè)備可能會(huì)將ARP spoofing當(dāng)成惡意軟件處理
DNS重定向	在DNS重定向機(jī)制中，將終端的所有DNS解析請(qǐng)求（不管其請(qǐng)求解析的是什么域名），全部指定到一個(gè)固定的服務(wù)器IP地址。	n 類似DHCP管理和ARP spoofing，適用于任何使用DNS協(xié)議的網(wǎng)絡(luò)，易于安裝和部署。 n 支持WEB portal頁(yè)面，可以通過DNS重定向，將終端的HTML請(qǐng)求重定向到WEB 認(rèn)證和安全檢查頁(yè)面。	n 類似DHCP控制和ARP spoofing，終端可以通過不使用DNS協(xié)議來繞開準(zhǔn)入控制限制。（例如：使用靜態(tài)HOSTS文件）

以上是內(nèi)網(wǎng)安全產(chǎn)品主流使用的準(zhǔn)入控制方式，每種方式都有其特定的優(yōu)缺點(diǎn)，一般來說每個(gè)廠商的產(chǎn)品都會(huì)支持兩種以上的準(zhǔn)入控制方式。

三、 網(wǎng)關(guān)準(zhǔn)入控制——UTM2的四位一體

啟明星辰在2009年5月發(fā)布了UTM2 統(tǒng)一安全套件，采用了獨(dú)有特色的準(zhǔn)入控制方式——USG網(wǎng)關(guān)準(zhǔn)入控制。UTM2將安全網(wǎng)關(guān)、終端代理軟件、終端策略服務(wù)器、認(rèn)證控制點(diǎn)四位一體化部署，在終端數(shù)量龐大的情況下，還可將終端策略服務(wù)器平滑切換到獨(dú)立式工作模式。

在UTM2統(tǒng)一安全套件中，USG承擔(dān)了準(zhǔn)入控制網(wǎng)關(guān)（策略強(qiáng)制點(diǎn)）的功能。當(dāng)計(jì)算機(jī)終端需要通過天清漢馬USG進(jìn)行訪問時(shí)，在天清漢馬USG上進(jìn)行安全監(jiān)察，確保只有安裝天?客戶端程序、并且符合管理員所設(shè)置的企業(yè)安全策略的計(jì)算機(jī)終端才能通過天清漢馬USG進(jìn)行訪問。

相對(duì)于其它的準(zhǔn)入控制方式，USG作為準(zhǔn)入控制網(wǎng)關(guān)，可實(shí)現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個(gè)區(qū)域和角落。其優(yōu)勢(shì)主要體現(xiàn)如下：

（1）網(wǎng)關(guān)位置是非常合適的準(zhǔn)入控制點(diǎn)

UTM的位置本身即位于安全域邊界（互聯(lián)網(wǎng)出口、服務(wù)器出口及辦公網(wǎng)出口等），從安全理論的角度講，對(duì)某個(gè)用戶進(jìn)行控制（包括訪問控制、準(zhǔn)入控制、業(yè)務(wù)控制etc）的最佳位置就是在安全域的邊界；同時(shí)，UTM設(shè)備的入侵防御、防病毒、外連控制等模塊可以與準(zhǔn)入控制功能相互配合，UTM一旦發(fā)現(xiàn)某用戶行為違規(guī)，就可通過內(nèi)網(wǎng)管理系統(tǒng)直接斷開該用戶的所有連接。從這個(gè)角度上講，UTM是最適合執(zhí)行準(zhǔn)入控制的網(wǎng)關(guān)設(shè)備。

（2）實(shí)現(xiàn)簡(jiǎn)單方便，成本低，易于部署

采用UTM網(wǎng)關(guān)配合內(nèi)網(wǎng)管理系統(tǒng)實(shí)現(xiàn)準(zhǔn)入控制，與基于802.1x/EOU等協(xié)議相比，業(yè)務(wù)實(shí)現(xiàn)流程清晰可靠、環(huán)節(jié)少，用戶只需要購(gòu)買少量UTM設(shè)備，采用透明方式部署至網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處，即可實(shí)現(xiàn)全面的準(zhǔn)入控制，且對(duì)用戶原有的業(yè)務(wù)流程不造成任何影響。

（3）控制力度強(qiáng)，覆蓋全面

與基于DHCP控制，ARP spoofing，DNS劫持等準(zhǔn)入控制相比，UTM準(zhǔn)入控制能力更強(qiáng)、更全面，終端用戶在任何情況下均無法突破或繞過準(zhǔn)入控制。

（4）與UTM其它安全功能進(jìn)行有機(jī)的配合

例如，在采用UTM作為VPN網(wǎng)關(guān)時(shí)，對(duì)接入的移動(dòng)用戶實(shí)施準(zhǔn)入控制，可為整個(gè)VPN體系提供更佳的安全防護(hù)措施，同時(shí)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶和VPN用戶的管理及準(zhǔn)入控制。除此以外，UTM設(shè)備還可根據(jù)終端的安全情況自動(dòng)配置合適的安全策略，如在終端未滿足某些安全要求的情況下開放其訪問修復(fù)服務(wù)器的權(quán)限。

內(nèi)網(wǎng)安全是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的熱門話題之一。在內(nèi)網(wǎng)安全產(chǎn)品架構(gòu)中，準(zhǔn)入控制方式至關(guān)重要。通過深入分析目前業(yè)界主要準(zhǔn)入控制機(jī)制的技術(shù)原理，我們可以發(fā)現(xiàn)，包括802.1X、終端防火墻、DHCP控制、ARP spoofing、DNS重定向等各有其優(yōu)缺點(diǎn)。一般地，我們可以根據(jù)企業(yè)網(wǎng)絡(luò)的具體情況，選擇一種或者多種準(zhǔn)入控制方案，完成內(nèi)網(wǎng)安全產(chǎn)品的部署。啟明星辰的UTM2統(tǒng)一安全套件，使用網(wǎng)關(guān)來完成準(zhǔn)入控制功能與終端安全軟件的有機(jī)配合，在易部署、強(qiáng)制性、統(tǒng)一性等準(zhǔn)入控制綜合能力上可圈可點(diǎn)。這也體現(xiàn)出，像啟明星辰這樣集多種網(wǎng)絡(luò)安全核心技術(shù)于一身的綜合類安全提供商，正在為整合企業(yè)網(wǎng)絡(luò)安全應(yīng)用做出有益的探索。

標(biāo)簽： dns dns解析 idc 安全 標(biāo)準(zhǔn) 防火墻 服務(wù)器 互聯(lián)網(wǎng) 漏洞 美國(guó) 企業(yè) 企業(yè)網(wǎng)絡(luò)安全 權(quán)限 全國(guó)網(wǎng)絡(luò)安全 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 問題 選擇 用戶 域名

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。