浅谈802.1X协议网络准入控制技术.docVIP

浅谈802.1X协议网络准入控制技术 　　摘要：首先对部分大型企业的信息安全建设现状、终端安全问题作现状分析，然后针对现状作需求分析。设定企业加强计算机终端接入网络的管控，控制网络病毒、蠕虫的蔓延的建设目标。针对建设目标，作可行性分析，并给出详细的基于802.1X网络准入控制技术的解决方案。 　　关键词：802.1X网络准入控制 Symanteccisco 　　 　　0引言 　　目前，企业的办公和生产对信息化的依赖程度越来越高，对信息网络安全要求也越来越高。企业的信息网络规模越庞大，信息接入点就越多，难以杜绝不符合安全规范的终端接入网络中，这些终端都将成为传播病毒的源头和被病毒感染的对象，影响企业内部信息网络和终端的可利用率。 　　为防止非授权终端和用户接入网络，消除不符合企业安全策略的终端接入网络所带来的安全隐患，建立一套网络准入控制系统，能够有效保证只有合法的用户在经过授权、并且使用符合安全策略的终端上才可以接入企业的内部信息网，从而实现接入内部信息网的终端和用户都是合法的、安全的、可控的，对于不符合安全要求的终端，只能接入到隔离网络进行安全修复。 　　1、需求分析 　　（1）设备准入控制 　　建立内部信息网接入网络准入控制改造，实现基于MAC地址授权的设备准入控制，只有经过授权的终端才可以接入内部信息网络。 　　（2）用户准入控制 　　基于交换机端口802.1x的用户准入控制，通过与AD域结合，实现只有合法用户才可以接入内部信息网络。 　　（3）系统安全合规性准入控制 　　消除不符合企业安全策略的终端接入网络带来的安全隐患，实现只有符合公司安全接入策略的终端才能接入企业内部信息网络。 　　2、产品选型： 　　目前主流的主机安全合规性检查产品入产品主要有Symantec 网络访问控制产品、Cisco 网络访问控制产品、Forescout网络准入控制产品，下面对主流的网络准入产品进行比较。详见表一。 　　 　　3、综合对比：优点：（1）Symantec NAC技术比较成熟，功能比较完善，稳定性较好。与Symantec防病毒系统、端点保护系统无缝集成，是一套完整的桌面终端安全保护和网络准入方案，带有完整的端点保护功能：防病毒、主机防火墙、主机IPS、程序控制等保护功能，无需再安装额外的端点防护软件。 　　（2）Juniper UAC可使用802.1X将其部署在L2，或使用防火墙的部署方法将其部署在L3。也可使用混合模式来设置UAC，将802.1X 用于网络准入控制并将L3 设置用于资源接入控制。采用混合模式来可以取得较高的控制强度。终端管理简单方便，可选择免安装Agent方式。 　　（3）Cisco NAC 多种方案供选择和部署方式多样化。处理工作倚重硬件完成，性能较好。使用轻量Agent，对客户端资源消耗小。 　　缺点：（1）Symantec NAC客户端功能全，对客户端消耗资源较大。不支持使用网络防火墙作为接入控制。 　　（2）Juniper UAC 采用802.1X+防火墙的混合控制方式，需要在每台接入交换机处安装Juniper防火墙，耗资较大。不支持除Juniper外其他网络防火墙作为接入控制。终端无防病毒系统和端点防护系统，需配合其他品牌产品使用。 　　（3）Cisco NAC方案过于复杂分散、组件过多，对日后运行维护复杂，管理较困难。终端无防病毒系统和端点防护系统，需配合其他品牌产品使用。 　　从产品的稳定性、功能完善性、维护管理简易度的角度，以及产品的日志系统、报表系统等角度分析，Symantec NAC准入控制系统在主机安全合规性检查产品相当大的优势。所以在本次网络准入中采用Symantec NAC准入控制系统在主机安全合规性检查。 　　4、总体实现设计 　　4.1总体实现设计说明： 　　 　　（1）META IP DHCP服务器对接入到网络提出IP地址申请的设备进行MAC地址认证，非授权接入的设备一律拒绝分配IP地址； 　　（2）赛门铁克LAN Enforcer设备会对分配了IP地址而对交换机提出802.1X认证请求的设备进行有关的终端合规性检查。对于不符合安全策略的终端根据策略执行不同的处理，可以将其置于隔离区； 　　（3）对于不符合安全策略的终端，可以分配到受限组并令其限时修复；也可以只是对其进行提示，还可以有其他多种的处理方法； 　　（4）所有终端设备（除了极少数设备没有DHCP功能而需要在交换机上设置例外放行规则之外）都必须通过合法DHCP服务器来获得正确的IP地址，否则接入交换机会利用DHCP SNOOPING+DAI特性禁止其进入； 　　（5）在接入交换机的上级三层汇聚交换机上启用DHCP SNOOPING+DAI特性，交换机检查记录