网关准入控制，内网安全的新思路

美国CSI/FBI在《计算机犯罪与安全调查报告》中指出，因内网安全漏洞造成的损失占所有计算机安全事故的一半以上；IDC的安全统计数据显示，来自企业内部终端的安全威胁占整个安全威胁的70％以上；中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出，终端隐患已成为最大的安全威胁之一。内网终端已经成为企业网络的阿喀琉斯之锺，越来越多的企业都已经深刻认识到部署内网安全产品的重要性。

一、 准入控制——内网安全体系的关键

内网安全产品主要有三大标准架构，分别是：网络准入控制（NAC）、网络访问保护（NAP）和可信网络连接（TNC），这三大标准体系分别定义了各自的实现协议，但遵从类似的体系框架，主要架构如下：

 

     n 1A. 终端连接网络，通知PDP

n 1B. PDP启动终端评估（包括用户认证）

n 2.  将终端评估数据发送到策略服务器

n 3.  策略服务器与后端系统交互，证实终端状态，决策是否授予终端接入权限

n 4.  策略服务器将终端评估结果通知给网络（4A）和终端 (4B)

n 5.  终端接入网络，获得部分或者全部访问权限，或接入修复服务器

在内网安全架构中，准入控制点是整个体系的关键，承担着与后台策略决策系统交互，控制终端对网络的访问，隔离非健康终端并协助其修复等多项功能。准入控制方式的选择（也称为策略强制点的选择）至关重要, 内网安全产品能否成功部署，主要就在于能否结合企业网络的具体情况，选择到合适的准入控制点。

二、 多种准入控制技术的深入分析

业界的内网安全产品，一般采用以下几类准入控制方式，比较如下：

准入控制方式（策略强制方式）比较
控制方式	原理	优点	缺点
802.1X	802.1X是一个二层协议，需要以太网交换机支持。交换机在接入终端时，端口缺省只打开802.1X的认证通道，终端通过802.1X认证后（包括终端安全健康状态检查），交换机端口才打开全部网络通信通道。	n 在终端接入网络时就进行准入控制。 n 控制力度强。 n 已经定义善的协议标准。	n 对以太网交换机技术要求高，必须支持802.1X认证。 n 配置过程比较复杂，需要考虑多个厂商之间的兼容性。 n 交换机下可能串接HUB，交换机可能对一个端口上的多台PC当成一个状态处理，存在访问控制漏洞
终端防火墙	通过主机防火墙，根据终端安全状况，控制终端是否允许访问网络。	n 可以控制终端的那些应用（进程）访问网络。	n 主机软件需要管理和升级 n 远程用户如果遇到网络连接问题，故障处理比较困难
DHCP 控制	在终端通过DHCP请求分配地址时，进行准入控制	n 可以适用于任何适用DHCP分配IP地址的网络,易于安装和配置	n 终端通过自行配置静态IP地址，可以绕过准入控制体系。
ARP spoofing	在每个局域网上安装一个ARP spoofing代理，对终端发起的ARP请求替代路由网关回复ARP response，从而使其他终端的网络流量必须进过代理。在这个ARP spooing代理上进行准入控制。	n ARP 适用于任何IP网络，并且不需要改动网络和主机配置。易于安装和配置。	n 类似DHCP控制，终端可以通过配置静态ARP表，来绕过准入控制体系。 n 此外，终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理
DNS重定向	在DNS重定向机制中，将终端的所有DNS解析请求（不管其请求解析的是什么域名），全部指定到一个固定的服务器IP地址。	n 类似DHCP管理和ARP spoofing，适用于任何使用DNS协议的网络，易于安装和部署。 n 支持WEB portal页面，可以通过DNS重定向，将终端的HTML请求重定向到WEB 认证和安全检查页面。	n 类似DHCP控制和ARP spoofing，终端可以通过不使用DNS协议来绕开准入控制限制。（例如：使用静态HOSTS文件）

以上是内网安全产品主流使用的准入控制方式，每种方式都有其特定的优缺点，一般来说每个厂商的产品都会支持两种以上的准入控制方式。

三、 网关准入控制——UTM2的四位一体

启明星辰在2009年5月发布了UTM2 统一安全套件，采用了独有特色的准入控制方式——USG网关准入控制。UTM2将安全网关、终端代理软件、终端策略服务器、认证控制点四位一体化部署，在终端数量庞大的情况下，还可将终端策略服务器平滑切换到独立式工作模式。

在UTM2统一安全套件中，USG承担了准入控制网关（策略强制点）的功能。当计算机终端需要通过天清汉马USG进行访问时，在天清汉马USG上进行安全监察，确保只有安装天?客户端程序、并且符合管理员所设置的企业安全策略的计算机终端才能通过天清汉马USG进行访问。

相对于其它的准入控制方式，USG作为准入控制网关，可实现全面覆盖用户内网每一个区域和角落。其优势主要体现如下：

（1）网关位置是非常合适的准入控制点

UTM的位置本身即位于安全域边界（互联网出口、服务器出口及办公网出口等），从安全理论的角度讲，对某个用户进行控制（包括访问控制、准入控制、业务控制etc）的最佳位置就是在安全域的边界；同时，UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合，UTM一旦发现某用户行为违规，就可通过内网管理系统直接断开该用户的所有连接。从这个角度上讲，UTM是最适合执行准入控制的网关设备。

（2）实现简单方便，成本低，易于部署

采用UTM网关配合内网管理系统实现准入控制，与基于802.1x/EOU等协议相比，业务实现流程清晰可靠、环节少，用户只需要购买少量UTM设备，采用透明方式部署至网络关键节点处，即可实现全面的准入控制，且对用户原有的业务流程不造成任何影响。

（3）控制力度强，覆盖全面

与基于DHCP控制，ARP spoofing，DNS劫持等准入控制相比，UTM准入控制能力更强、更全面，终端用户在任何情况下均无法突破或绕过准入控制。

（4）与UTM其它安全功能进行有机的配合

例如，在采用UTM作为VPN网关时，对接入的移动用户实施准入控制，可为整个VPN体系提供更佳的安全防护措施，同时实现对内网用户和VPN用户的管理及准入控制。除此以外，UTM设备还可根据终端的安全情况自动配置合适的安全策略，如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。

内网安全是当前网络安全领域的热门话题之一。在内网安全产品架构中，准入控制方式至关重要。通过深入分析目前业界主要准入控制机制的技术原理，我们可以发现，包括802.1X、终端防火墙、DHCP控制、ARP spoofing、DNS重定向等各有其优缺点。一般地，我们可以根据企业网络的具体情况，选择一种或者多种准入控制方案，完成内网安全产品的部署。启明星辰的UTM2统一安全套件，使用网关来完成准入控制功能与终端安全软件的有机配合，在易部署、强制性、统一性等准入控制综合能力上可圈可点。这也体现出，像启明星辰这样集多种网络安全核心技术于一身的综合类安全提供商，正在为整合企业网络安全应用做出有益的探索。

标签： dns dns解析 idc 安全 标准 防火墙 服务器 互联网 漏洞 美国 企业 企业网络安全 权限 全国网络安全 通信 网络 网络安全 问题 选择 用户 域名

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。