□趙新強 □閆曉敏 □楊 栓（河南省水利信息中心）

1 實行局域網(wǎng)準入控制的必要性

河南省水利系統(tǒng)目前已實現(xiàn)了省、市、縣三級網(wǎng)絡連接，網(wǎng)絡已覆蓋了河南省水利廳、18個市水利局、134個縣（區(qū)）水利局及34個廳屬單位，網(wǎng)絡終端三千余個。各級聯(lián)網(wǎng)單位均配置有網(wǎng)絡防火墻，省廳和市水利局還配置有入侵防御設備，加強互聯(lián)網(wǎng)防護。但是局域網(wǎng)內(nèi)部安全管理非常薄弱，亟需加強。

據(jù)權威調查報告顯示，75%的IT管理者認為內(nèi)部網(wǎng)絡的終端是使他們的IT系統(tǒng)受到攻擊的最主要來源。用戶終端不及時修復系統(tǒng)漏洞，不安裝殺毒軟件，隨意安裝網(wǎng)絡上下載的各種軟件，導致終端病毒大量占用帶寬，阻塞網(wǎng)絡；或者導致終端被植入木馬，成為黑客的傀儡肉雞，在局域網(wǎng)內(nèi)部繞過了入侵防御、防火墻等安全防線，直接面對網(wǎng)絡核心業(yè)務，造成數(shù)據(jù)丟失。所以內(nèi)部安全防護非常重要，而內(nèi)部防護的精髓就是接入可控，要建立一套切實可行的準入控制系統(tǒng)。

局域網(wǎng)準入控制系統(tǒng)包含了終端身份、終端安全、終端權限、終端在線防御、終端在線審計、終端資產(chǎn)管理等內(nèi)容。通過準入控制系統(tǒng)，可以有效解決網(wǎng)絡安全管理規(guī)范落實的問題，使規(guī)范不再是一紙空文，不按規(guī)定執(zhí)行的用戶不能聯(lián)網(wǎng)，用強有力手段使用戶遵守規(guī)定；可以實現(xiàn)接入用戶及設備的實名制，通過綁定IP地址、網(wǎng)卡MAC地址、賬號、交換機端口號等多種手段有效核實用戶身份，以確保用戶對各種網(wǎng)絡資源的使用行為承擔責任，發(fā)生網(wǎng)絡安全事故后，根據(jù)聯(lián)網(wǎng)日志審計系統(tǒng)也可以很快定位到個人；可以在網(wǎng)絡受到攻擊時快速定位攻擊源；可以解決內(nèi)網(wǎng)分角色分區(qū)域訪問控制的問題，不同的用戶獲取不同的權限，訪問不同的資源；可以解決各種智能移動終端和外來人員的身份認證問題等。

2 局域網(wǎng)準入控制系統(tǒng)

河南省水利系統(tǒng)各聯(lián)網(wǎng)單位目前普遍采用華三通信技術有限公司（H3C）的交換路由設備及統(tǒng)一品牌的防火墻、上網(wǎng)行為管理等設備，所以結合實際選擇局域網(wǎng)準入控制系統(tǒng)，對其他品牌如思科設備及相關技術EOU等不予考慮。下面從設備控制、軟件控制和客戶端控制3個大的類型對比選型，選擇適合自己的準入控制系統(tǒng)。

2.1 設備準入控制

僅通過網(wǎng)絡設備實現(xiàn)局域網(wǎng)準入控制，主要管理設備有防火墻、上網(wǎng)行為管理、交換機、路由器等。

各單位均配置有天融信防火墻，防火墻除了在出口處配置互聯(lián)網(wǎng)訪問策略外，還可以學習ARP表，添加終端信息，如使用人、IP地址、MAC地址，并通過綁定，有效攔截非法人員和外來人員接入網(wǎng)絡，達到初步的終端準入控制效果。

各市水利局配置有深信服上網(wǎng)行為管理設備，除了可以綁定用戶IP地址、MAC地址，還自帶500 g硬盤，可以記錄3個月以上的用戶聯(lián)網(wǎng)日志，有各種報表便于統(tǒng)計分析網(wǎng)絡使用情況。上網(wǎng)行為管理設備還可以控制用戶的上網(wǎng)流量，限制P2P、視頻等應用流量，保障關鍵業(yè)務的流量。在局域網(wǎng)內(nèi)出現(xiàn)超大流量攻擊時，可以通過啟用安全防護的防DOS攻擊功能，阻斷攻擊源，并可以定位具體使用人，從而真正切斷攻擊。

個別單位采用銳捷的路由器設備，這些網(wǎng)絡安全設備也可以實現(xiàn)綁定用戶地址，控制流量的功能，還可以啟動端口攔截等防火墻功能。功能齊全并且價格也不貴，適合用戶不超過100人的小單位使用。

上述設備均部署在網(wǎng)絡出口，不能有效管理到設備端口。為了進一步加強局域網(wǎng)準入控制，可以在H3C交換機配置命令，實現(xiàn)交換機端口、IP地址和MAC地址的綁定，通過這樣的綁定，可以有效控制ARP病毒，非法IP地址根本出不了交換機端口，也就不能影響其它用戶，也可以有效防止用戶亂設IP及偽造別人MAC地址的情況。缺點是維護繁瑣且需要管理員有高水平，用戶一旦有變更就需要重新配置交換機，這時如果管理員不在，用戶就無法聯(lián)網(wǎng)。

設備控制適用于市縣水利局，只有一兩個VLAN，用戶少的單位。優(yōu)點是經(jīng)濟實用，甚至不用再投資，利用現(xiàn)有設備就可以實現(xiàn)準入控制。多數(shù)設備有圖形界面，操作簡單。缺點是控制功能少，多數(shù)不能管理到局域網(wǎng)端口，用戶在網(wǎng)絡內(nèi)部仍可通訊，并且用戶可以通過偽造MAC地址等手段逃避監(jiān)管控制。

2.2 軟件準入控制

僅通過網(wǎng)絡管理系統(tǒng)軟件，不需要用戶安裝客戶端就可以實現(xiàn)局域網(wǎng)準入控制，主要管理軟件有廣通、北塔、網(wǎng)強等。

網(wǎng)絡管理系統(tǒng)軟件可以通過SNMP、ICMP、NetBIOS、ARP等多種手段自動、準確、及時地發(fā)現(xiàn)局域網(wǎng)網(wǎng)絡拓撲結構，發(fā)現(xiàn)網(wǎng)絡用戶IP分布情況，幫助管理人員全面了解整體網(wǎng)絡運行情況；并對局域網(wǎng)內(nèi)服務器、交換機、用戶終端進行資產(chǎn)管理，落實實名制；通過內(nèi)置合法性檢測引擎，自動監(jiān)測網(wǎng)內(nèi)設備的基本屬性（IP地址、MAC地址、主機名、連接的交換機端口等），當發(fā)現(xiàn)與登記資料不符的情況，就通過多種安全策略，如通過SNMP協(xié)議private寫操作直接關閉交換機端口，阻斷非法終端接入；持續(xù)地監(jiān)視、報告網(wǎng)絡的運行情況；實時監(jiān)控網(wǎng)絡設備的CPU、內(nèi)存、流量等運行性能指標，持續(xù)跟蹤和分析設備負載的變化；可以采集包括交換機端口鏡像流量、sFlow流量、NetFlow流量，分析當前網(wǎng)絡的協(xié)議和會話，實現(xiàn)從端口到應用的廣泛流量分析和統(tǒng)計；可以通過實時監(jiān)控，對故障、性能、安全、主動Trap、Syslog等各類告警事件進行接收和分級；可對故障進行根源分析，在拓撲結構圖上以不同顏色突出顯示，快速定位故障，幫助管理人員及時、高效解決網(wǎng)絡中出現(xiàn)的故障。

軟件準入控制的最大優(yōu)點就是操作簡單易用，圖形界面一目了然，遇到非法用戶也可以自動攔截，便于管理維護。缺點就是控制能力有限，對局域網(wǎng)內(nèi)無線路由器、對使用智能終端的移動用戶無法控制，并且需要局域網(wǎng)交換機是有SNMP功能可網(wǎng)管的交換機，交換機端口下還有HUB等不可網(wǎng)管設備則也無法監(jiān)測控制相應終端。

2.3 客戶端準入控制

要想實現(xiàn)更精細的局域網(wǎng)準入控制，還是要借助客戶端軟件，這里也包含可溶性客戶端和插件式客戶端。通過客戶端，可以進行更嚴格的身份認證，可以同時綁定用戶名、密碼、MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息；可以對客戶端進行完備的安全狀態(tài)評估，根據(jù)管理員配置的安全策略，檢查終端殺毒軟件安裝情況、補丁安裝情況、應用軟件和服務運行情況，并可以通過第三方服務器自動對終端安裝補??；可以進行全方位的桌面資產(chǎn)管理，對終端軟硬件使用、變更情況、USB存儲介質等外設使用情況進行監(jiān)控，終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)等。目前有北信源、H3C等產(chǎn)品。

北信源的桌面安全管理軟件是典型的ARP攔截準入控制，當發(fā)現(xiàn)終端信息與服務器端資產(chǎn)不匹配時，會在局域網(wǎng)內(nèi)借助其他合法客戶端對非法用戶發(fā)起ARP攻擊進行攔截，阻止其聯(lián)網(wǎng)。這種方式對局域網(wǎng)交換機無限制，適用于設備比較差的單位。缺點是當局域網(wǎng)內(nèi)真有ARP病毒時，會使部分合法用戶也受牽連不能聯(lián)網(wǎng)。

H3C的IMC智能管理平臺，附帶有UAM和EAD管理組件，將用戶管理和網(wǎng)絡管理進行了智能融合，不僅有上述客戶端功能，還可以基于角色網(wǎng)絡授權，不同用戶不同網(wǎng)絡訪問權限；對沒有通過安全檢查的用戶，放入隔離區(qū)，僅可以訪問部分服務器進行安全加固；可以自動發(fā)現(xiàn)網(wǎng)絡拓撲，管理和監(jiān)控網(wǎng)絡設備信息和狀態(tài)。準入控制認證方式靈活，802.1x認證和Portal認證方式均可；認證形式也靈活，配置高的用戶可選用專門定制的windows客戶端，配置差的用戶可選用基于網(wǎng)頁的可溶解客戶端，移動終端用戶可僅通過網(wǎng)頁進行認證。

802.1 x認證方式是以接入層交換機作為控制點，要在每個接入交換機上都配置802.1x。然后通過客戶端進行認證，認證成功則打開對應交換機端口，順利聯(lián)網(wǎng)，不成功則使對應端口保持關閉，只允許EAPOL認證報文通過。Portal認證方式以匯聚層交換機作為控制點，僅需要在網(wǎng)關處進行配置。在用戶認證不成功的情況下，進行頁面重定向跳轉到Portal認證頁面，提醒用戶安裝客戶端，如果認證成功，則在網(wǎng)關處放行，用戶聯(lián)網(wǎng)處于直通狀態(tài)。

這兩種方式各有利弊。802.1x方式管理嚴格，可以直接控制到接入層交換機端口，有效防止來自網(wǎng)絡內(nèi)部的安全威脅，缺點是配置和解除綁定均較繁瑣，且接入層交換機要可網(wǎng)管，對廣域網(wǎng)支持基本無效。Portal配置簡單，僅在網(wǎng)關或路由設備配置，可以對VLAN進行操作，啟用和解除均靈活，還可以方便的配置Portal認證頁面，方便提醒用戶，可管理廣域網(wǎng)和無線網(wǎng)絡，對于網(wǎng)絡環(huán)境復雜的舊網(wǎng)改造和升級具有很大優(yōu)勢；缺點就是對VLAN內(nèi)用戶控制不嚴格。

通過客戶端進行準入控制的最大優(yōu)點就是控制更精細嚴格，可以有效控制無線用戶、智能終端聯(lián)網(wǎng)，可以防止用戶在路由器上偽造MAC，解決路由器不可控的問題，還可以解決不可網(wǎng)管交換設備下用戶身份認證問題，可以管理到通過路由連接的其他網(wǎng)絡。但缺點是終端情況復雜易出現(xiàn)各種問題從而增加了管理難度，同時系統(tǒng)軟件價格也最貴。

3 結語

河南省水利系統(tǒng)局域網(wǎng)準入控制需要有一套管理制度及完備的管理資料，然后才是根據(jù)各單位實際情況，選擇適合的系統(tǒng)。各單位可以采用多種方式結合的辦法，充分挖掘現(xiàn)有設備功能、完善配置，然后根據(jù)單位規(guī)模、財力、管理員水平等因素選擇合適的系統(tǒng)，從而做到接入可控，加強內(nèi)部安全管理。