企业内部网络接入控制技术的应用浅析.docVIP

企业内部网络接入控制技术的应用浅析 　　摘要：企业信息化应用程度越来越广，越来越深入，信息安全的要求也随之而来，其中网络接入控制是信息安全的一个非常重要的方案，本文通过对目前比较流行的网络接入控制的技术进行分析，得出适合各种不同类型企业的优缺点。 　　关键词：信息安全 网络接入控制 　　1 网络接入控制技术概述 　　网络接入控制，也称网络准入控制（Network Admission Control，简称NAC）概念最早是由Cisco提出来的，最初目的是利用网络基础设施来防止病毒和蠕虫危害网络。Cisco NAC方案是Cisco自防御网络计划的第一阶段。企业目前的大多数信息资料都可以通过连入到内部信息网络中获取，所以控制内部网络的接入成了整个信息安全很重要的一环，为此希望通过实施网络接入控制加强信息安全的管理手段。 　　网络准入控制实现终端注册、安全检查、安全隔离、安全通知和安全修复，保证接入到网络的终端设备的身份是可信的、是满足强制安全策略要求的。对于外来终端设备可以限制其只能访问一些公开的资源；对于不符合强制安全策略要求的终端设备可以对其进行安全隔离，只有修复后才能正常访问网络资源；只有符合强制安全策略要求并且是内部用户的终端设备才能正常访问网络资源。 　　图1是网络准入控制通用架构。 　　接入网络的终端设备通过代理程序向接入控制服务器提供自己的安全特性信息，接入控制服务器向策略服务器验证安全特性信息是否符合强制策略要求、终端设备的身份，接入控制器根据验证结果控制接入控制点，告诉接入控制点终端设备可以访问的网络资源。 　　2 主流网络接入控制技术分析 　　网络准入控制实现上要解决的一个关键问题是如何能够适应用户的各种网络环境。目前有四种常见技术来实现网络准入控制：Cisco NAC、微软NAP（Network Access Protection）、网关（防火墙、代理服务器）、ARP技术。这些技术采用的接入控制点设备不同，所以代理与接入控制点之间、接入控制点与接入控制服务器之间的协议也不相同，能够起到的效果也不尽同。 　　2.1 Cisco NAC技术 　　为了解决不同网络环境的准入控制问题，Cisco NAC提出了三种实现方式： 　　2.1.1 NAC-L2-802.1x 　　基于IEEE802.1x协议，根据接入网络的终端设备身份和安全特性，动态打开/关闭网络交换机端口、或者动态切换网络交换机端口的VLAN来控制终端设备能够访问的网络资源。NAC-L2-802.1x要求接入层网络交换机支持IEEE802.1x协议，并且每个交换机端口只能连接一个终端设备，不支持Hub方式连接。Cisco 2940以上的大部分网络交换机都支持IEEE802.1x协议，另外其它主流厂商的网络设备如华为-3Com一些网络交换机也支持该协议。所有基于IEEE802.1x协议的网络准入控制方法包括NAC-L2-802.1x都是最彻底的解决方法，因为在终端设备没有得到验证之前网络是不通的。 　　2.1.2 NAC-L2-IP 　　为了解决NAC-L2-802.1x要求所有接入层交换机支持IEEE802.1x并且每个交换机端口只能连接一个终端设备的限制，Cisco在标准EAP协议基础上增加了一种EAPoUDAP的协议，该协议被Cisco的3550以上的交换机支持。网络的接入层、汇聚层或者核心层支持EAPoUDP协议（即有Cisco 3550以上交换机）的交换机都可以作为网络准入控制的“控制点设备”。当终端设备接入网络并发送ARP包或者DHCP包时，接入层、汇聚层或者核心层中支持EAPoUDP协议的网络交换机在转发ARP或者DHCP包之前，会要求终端设备提供身份信息和安全特性信息，并转发给ACS服务器，ACS服务器根据验证结果向网络交换机的相应端口动态设置该终端设备的ACL，这样终端设备就只能访问规定的网络资源。另外ACS服务器还可以向网络交换机端口下载一个重定向URL，当终端设备访问Web服务器时，就会被网络交换机重定向到指定URL中，如修复服务器的URL。 　　2.1.3 NAC-L3-IP 　　NAC-L3-IP采用Cisoc路由器作为“控制点设备”。与NAC-L2-IP类似，通过设置NAC-L3-IP也是设置路由器端口的ACL和重定向URL来控制终端设备可以访问的网络资源。 　　2.2 微软NAP技术 　　微软NAP提供了四种方法来解决不同网络环境的网络准入控制： 　　①基于IPSec通讯。基于IPSec的NAP客户端会根据与其通讯的对方客户端拥有什么样的健康证书（Health Certificate）来决定是否与其通讯。NAP系统通过HCS为网络内的客户端分配健康证书以及指定客户端在通讯时是否需要对方提供健康证书将网络分为三部分：安全网络、边