进入21世纪后,随着国内信息化程度的快速提高和ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,内网信息网络已经成了各个单位的生命线。而内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪。因此,加强内网的安全管理是企业或单位面临的重要课题。在企业网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业网络安全管理急需解决的问题。
1、内网安全需求产生
1.1 内网安全的隐患及防范
外网对内网的安全威胁模型是假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。从本质来说,此类网络安全考虑的是防范外网对内网的攻击,其安全包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
内网本身安全的威胁模型与外网对内网的安全威胁模型相比,更加全面和细致,它即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何一个节点上。所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的内网。
1.2 内部网不同网络安全域的隔离
在这里,主要利用构建虚拟局域网VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
1.3 外部网不同网络安全域访问控制
采用各种安全技术,配备相应的安全设备,构筑防御系统。在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。这样才能在一定程度上保证内网及其主机的安全但是这些传统技术对应的产品在协同工作、统—管理配置上存在许多冲突甚至不兼容,难以形成一个完美的网络防御体系;且众多的网络安全产品的高密度集中对系统资源的耗费和对系统性能的影响相当大。因此尽管目前在网络安全领域采取了诸多防护手段,但依然不能保证完全的信息安全。并且随着网络攻击方式和嘿客技术的不断提高,网络攻击与病毒结合的趋向明显,这对安全措施的提高与丰富提出了更高更多的要求。
2、准入控制技术——内网安全体系的关键
内网安全产品主要有三大标准架构,分别是:网络准入控制(NAC)、网络访问保护(NAP)和可信网络连接(TNC),这三大标准体系分别定义了各自的实现协议,但遵从类似的体系框架,主要架构如下:
A1.终端连接网络,通知策略服务器
A2.策略服务器启动终端评估(包括用户认证)
B.将终端评估数据发送到策略服务器
C.策略服务器与后端系统交互,证实终端状态,决策是否授予终端接入权限
D.策略服务器将终端评估结果通知给网络(D1)和终端 (D2)
F. 终端接入网络,获得部分或者全部访问权限,或接入修复服务器在内网安全架构中,准入控制点是整个体系的关键,承担着与后台策略决策系统交互,控制终端对网络的访问,隔离非健康终端并协助其修复等多项功能。准入控制方式的选择(也称为策略强制点的选择)至关重要,内网安全产品能否成功部署,主要就在于能否结合企业网络的具体情况,选择到合适的准入控制点。
3、实现网络准入控制的两种技术方案
目前,常见的网络准入技术方案主要有基于IP-MAC绑定的网络准入技术和EAD端点准入防御系统。这里重点介绍EAD端点准入防御系统——VRVEDP的四位一体系统。
3.1 基于IP_MAC绑定的网络准入
基于IP-MAC绑定的网络准入技术,是指通过在终端计算机接入网络的设备上设置防问控制列表,在三层交换机上登记用户的网卡地址,只允许绑定了IP和MAC的计算机上网访问。这种技术控制不严格。大多数的计算机都可以修改IP和MAC,不合法的计算机可以通过把自己的IP和MAC修改为合法计算机的网络参数,冒用他人合法的网络参数上网[2],因此,这种准入控制方式有—定的安全风险。而且冒用他人MAC上网还会造成网络中IP冲突,导致IP管理混乱。网络维护难,基于IP-MAC绑定的网络准入技术,由于需要逐条命令配置,容易出错,不直观,对管理员的要求高,查找历史记录较难,不能形成报表,难以维护,且操作不便捷。一旦出问题,查找故障原因也难。
3.2 EAD端点准入防御系统——VRVEDP的四位一体
3.2.1 VRVEDP系统概述
传统的网络安全产品对于网络安全问题的解决,通常是被动防御,事后补救。VRVEDP(EntERPrise desk planning)的四位一体准入防御解决方案则从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
3.2.2 方案概述
VRVEDP解决方案在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。系统应用示意图如图2所示:
3.2.3 功能特点
①完备的安全状态评估
用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。VRVEDP通过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能准许访问网络
②实时的“危险”用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中,如果终端发生感染病毒等安全事件,VRVEDP系统可实时隔离该“危险”终端。
③基于角色的网络服务
用户终端在通过病毒、补丁等安全信息检查后,VRVEDP可基于终端用户的角色,向安全客户端下发系统配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一管理,并实时应用实施。
④可扩展的、开放的安全解决方案
VRVEDP是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。VRVEDP也是一个开放的安全解决方案。VRVEDP系统中,安全策略服务器与网络设备的交互、与第三方服务器的交互都基于开放、标准的协议实现。在防病毒方面,目前VRVEDP系统已与瑞星、金山、江民等多家主流防病毒厂商的产品实现联动。
⑤灵活、方便的部署与维护
VRVEDP方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。VRVEDP可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。
3.2.4 方案部件
VRVEDP是一个整合与联动的安全解决方案,主要部件包括安全策略服务器、安全客户端、安全联动设备和第三方服务器。
①安全策略服务器
VRVEDP方案中的用户管理与策略控制中心,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能,是VRVEDP解决方案的核心部件。VRVEDP安全策略服务器,可以在全面管理网络用户信息的基础上,实现对网络用户的身份认证和接入终端的安全认证,并通过与网络设备的联动控制用户网络访问行为。客户端进程应用监控、安装软件黑白名单控制、文件保护及审计功能、共享目录访问控制功能、USB等硬件设备禁用功能、外联安全管理、IP/MAC地址绑定管理等监控控制,并对违规的终端进行报警提示、终端提示、阻断联网等措施。同时,该系统详细记录了用户上网信息和安全事件信息,可以方便地跟踪审计用户上网行为和安全事件。
②安全客户端
安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的代理。安全客户端可按照企业安全策略的要求,集成VRVEDP的安全产品插件,提供丰富的身份认证方式、实施基于角色的安全策略。
③安全联动设备
企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供差异化服务的作用。华为系列交换机、路由器、安全网关等网络设备,可以通过标准的协议与VRVEDP安全策略服务器的联动,在不同的应用场景实现对用户的准入控制。应该实现非常灵活的设备分组、分级分域管理,对所有设备建立责任人对应管理制度;将IP设备与用户ID建立对应关系,对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产,可以采取不同的安全检查规范。
④第三方服务器
第三方服务器是指病毒服务器、补丁服务器等网络安全产品。通过安全客户端的代理插件以及安全策略服务器的策略控制,第三方安全产品可以集成至VRVEDP解决方案中,实现不同层面安全功能的联动与融合。对于物理隔离的内部网络,其补丁升级服务器中的补丁数据必须从外部获得,因此,要求在Internet上进行补丁下载,巨大的补丁库使得每次补丁导入工作非常烦琐。针对此类物理隔离的内网,使用增量式补丁分离技术,在外网补丁下载服务器分离出内网已安装、未安装补丁,分类导入系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。通过增量补丁分离器,在每次导入导出补丁时,可减少拷贝工作量。
4、结束语
内网安全是当前网络安全领域的热门话题之一。在内网安全产品架构中,准入控制方式至关重要。通过深入分析目前业界主要准入控制机制的技术原理,我们可以发现,包括8 0 2 . 1X、终端防火墙、DH CP控制、ARPspoofing、DNS重定向等各有其优缺点。一般地,我们可以根据企业网络的具体情况,选择一种或者多种准入控制方案,完成内网安全产品的部署。VRVEDP的四位一体系统,使用网关来完成准入控制功能与终端安全软件的有机配合,在易部署、强制性、统一性等准入控制综合能力上可圈可点。这也体现出,像VRVEDP的四位一体这样集多种网络安全核心技术于一身的综合类安全提供商,正在为整合企业网络安全应用做出有益的探索。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:企业内网准入控制技术
相关文章
