基于CiscoNACFramework企业网络准入控制安全解决方案.pdfVIP

基于Cisco NAC Framework 企业网络准入控制安全 解决方案 摘 要：基于Cisco 网络准入控制NAC 框架，在客户端管理软件方面进一步提高安全级别 降低管理成本，对客户端管理软件进行改进和扩展。由于NAC 框架在客户端安全管理能力 的孱弱，使得NAC 网络准入控制体系存在一些安全漏洞，通过加强NAC 在客户端的管理 调控能力来确保整个NAC 网络准入控制的安全级别达到可靠程度。 关键词：NAC ；准入控制；客户端管理 1. 引言 随着网络技术的迅猛发展，使得人们的工作和生活越来越依赖网络。同时，网络面临的 威胁也越来越大。在最初的网络安全建设中，人们首先想到的是防止外部攻击以及本地网络 安全边界问题，因而重点采用访问控制、入侵检测、网络隔离和病毒防范等方法来解决网络 安全问题。虽然部署了这么多的安全设备。网络还是处于一个不可控的局面，网络安全事件 还是层出不穷。在这之后大家认识到，作为网络组成部分的终端是网络与用户的接口。是安 全保障比较脆弱的地方。也是一般网络安全解决方案所容易忽视的地方。据统计数据表明， 网络安全的威胁60 ％的来自网络内部，也就是网络内部的终端结构和操作系统的不安全所引 起的，仅仅关注来自外部的威胁的防火墙、人侵检测系统等传统安全措施，对来自内部的威 胁显得无能为力。 基于此，思科以第三代安全解决方案为体系框架，创新地提出了“ 自防御网络 (Self-Defending Network, SDN) [1]”计划，这是一种多侧面、多阶段的安全计划，能大大提高 网络发现、预防和对抗安全威胁的能力。网络准入控制(Network Admission Control, NAC)是 思科自防御网络计划的重要组成部分。其核心思想是，控制访问权限，有效阻止不符合安全 条件的设备及访问进入网络，并将其置于某个隔离区域之外，或者仅获得对计算资源的有限 访问权限。 可是，由于思科公司是主要经营路由器、交换机、防火墙的软件厂商，相对微软公司缺 乏对操作系统的了解，方案也主要偏向硬件方面，而且NAC 目前只支持使用微软Windows NT, XP和2000操作系统的终端。 在企业内网的安全管理中发现对于NAC 网络框架的管理存在很多操作上的漏洞，NAC 构架的实现在建立在对内部员工信任的基础上，对于操作系统理解的不深入导致NAC构架 在客户端方面存在很多安全隐患和设计构想的不足之处。在实际使用过程中由此而引发的安 全事故比比皆是。为此本文针对NAC构架客户端方面功能的完善和二次设计开发进行介绍。 2. 网络准入控制 [2] 准入控制的核心概念 是从网络接入终端的安全控制人手。结合身份认证服务器，安全 策略服务器和网络设备，以及第三方软件系统(杀毒软件和系统补丁服务器) ，完成对接入终 端用户的强制认证和安全策略应用。从而达到保障整个网络安全的目的。准入控制是一种主 动式网络安全管理技术。用户终端在接入网络之前，必须先接受身份识别和安全状态评估， 使得只有符合安全标准的终端才准许访问网络。有助于确保拒绝不符合策略的设备接人，将 -1- 其放入隔离区加以修复，或仅允许其有限的访问资源。 [3] 终端安全状态 是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反 映终端防御能力的状态信息。另外，安全状态是动态的，这意味着终端系统会随着时间迁移， 可能由安全状态转变为不安全状态。用户上网过程中，如果终端发生感染病毒等安全事件， 准人控制系统可实时隔离该“危险”终端。准入控制系统是一个基础框架，它为实现网络准入 控制的各种安全应用扩展提供支持。网络准入控制一般由以下几个重要组件组成，如图1所 示： 图1 网络准入控制组件图 安全客户端 安装在用户终端上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身 份认证、安全状态评估以及实施网络安全策略。它收集终端安全状态信息，并将其传播到网 络接入设备。 安全接入设备 安全接入设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合 法用户提供网络服务的作用。每个试图接入网络的设备最初都与安全接入设备(路由器、交 换机、VPN设备或防火墙)联系。这些设备可以通过安全客户端从终端索要终端安全