企业内网准入安全实务研究.docVIP

企业内网准入安全实务研究 　　摘要：文章着重分析了802.1X协议的接入控制技术和流程，通过基于802.1X协议的相关产品实现企业内网对于用户的安全接入和控制。通过相关技术和产品的研究和比较，从而构成企业内网接入的终端控制集成方案，并通过具体工程进行验证。 　　关键词：网络安全；802.1X协议；企业内网；安全接入控制 　　中图分类号：TP393 文献标识码：A 文章编号：1009-2374（2013）23-0157-03 　　目前，国内的大中型企业均已完成了企业内部网络和信息系统的建设，但各类来访人员终端接入公司内部网络时，普遍处于不可控状态；另外，企业在金融资本市场上需要遵守某些国际的规则和法案（如SOX法案404条款）。企业成立内控部门，力求企业生产运营过程各环节的可追溯、可审计。因此，需要通过对于终端接入的认证管理，实现终端接入的可控和可审计，满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究，提出解决方案。 　　1 802.1X协议及解决方案 　　1.1 什么是802.1X 　　IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议，802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。 　　在802.1X出现之前，企业网上有线LAN应用都没有直接控制到端口的方法，也不需要控制到端口，但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 　　1.2 802.1X认证体系结构 　　802.1X的认证体系分为三部分结构：Supplicant System客户端（PC/网络设备）、Authenticator System认证系统、Authentication Server System认证服务器。 　　基于以太网端口认证的802.1X协议有如下特点：IEEE802.1X协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。 　　1.3 802.1X解决方案 　　1.3.1 Cisco NAC。思科与防病毒厂商（包括趋势、McAfee等）合作的安全网络接入控制（下称NAC）方案，可实现基于用户身份的认证，也可对客户端防病毒安全状态进行评估，对不满足条件（预先制定的策略）的用户，对其接入网络的能力和范围实现控制，从而提高全网整体的安全防护能力；采用思科网络安全接入控制方案（NAC），可以有效地解决SOX法案要求局域网接入认证的内控要求。 　　NAC是由思科公司倡导的跨业界合作的整套安全解决方案，自2003年11月提出后获得防病毒厂商的广泛支持。目前，包括国外软件厂商：趋势科技、McAfee、赛门铁克、CA、IBM，国内软件厂商：瑞星和金山等15家安全领域主要厂商，都已成为思科NAC合作伙伴。 　　1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统（以下简称终端安全系统）是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全代理，对终端的安全状况进行检测，并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动，限制不符合安全要求的终端的上网。 　　1.3.3 局域网准入方案比较。 　　实施方法比较： 　　（1）协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证，即无客户端方式，为用户提供另外一种选择。 　　身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台；华为只能以用户名/密码方式进行身份认证，思科除了采用用户名/密码方式外，还可以采用证书方式管理用户身份。 　　管理方式方面。都采取集中式控制和管理方