姜新超 王進(jìn) 孫佳偉 信息工程大學(xué)

1 前言

隨著現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的發(fā)展、融合，傳統(tǒng)意義上的“終端”已經(jīng)發(fā)生了變化，它不僅是網(wǎng)絡(luò)中與網(wǎng)線連接的臺(tái)式機(jī)、筆記本電腦以及服務(wù)器，還包括智能手機(jī)、平板電腦、電子閱讀器等各類新式的移動(dòng)設(shè)備，而企業(yè)網(wǎng)絡(luò)中的打印機(jī)、IP電話等也是不容忽視的“啞終端”。這些形形色色的終端給網(wǎng)絡(luò)安全工作帶來(lái)了巨大挑戰(zhàn)：一方面它們類型眾多，通過(guò)有線、無(wú)線、VPN等多種方式接入；另一方面，它們是網(wǎng)絡(luò)中大部分事物的源頭和起點(diǎn)，更是病毒傳播、從內(nèi)部發(fā)起的惡意攻擊、內(nèi)部保密數(shù)據(jù)盜用或失竊的途徑。因此，終端安全管理對(duì)每個(gè)企業(yè)來(lái)說(shuō)都是非常重要的，良好的終端安全控制技術(shù)能夠保證企業(yè)的安全策略真正得到實(shí)施，有效控制各種非法安全事件，確保企業(yè)網(wǎng)絡(luò)安全。

2 終端準(zhǔn)入控制實(shí)現(xiàn)原則

2.1 身份認(rèn)證

建立用戶實(shí)名管理機(jī)制，所有用戶、接入終端都必須實(shí)名接入網(wǎng)絡(luò)。通過(guò)該管理機(jī)制，可以彌補(bǔ)現(xiàn)實(shí)與網(wǎng)絡(luò)虛擬世界之間的鴻溝，以保證網(wǎng)絡(luò)中的安全問(wèn)題都可以精確定位和追根溯源，這樣就可以建立對(duì)網(wǎng)絡(luò)違規(guī)和非法行為的威懾力，確保用戶在網(wǎng)絡(luò)的各項(xiàng)行為都嚴(yán)格按照管理要求進(jìn)行，最終消除內(nèi)網(wǎng)安全問(wèn)題的隱患?；赗ADIUS協(xié)議的終端準(zhǔn)入控制技術(shù)是業(yè)界成熟的終端實(shí)名接入控制方案。終端準(zhǔn)入控制系統(tǒng)為企業(yè)所有員工、外部員工、訪客（提供訪客登記管理）分配基于真實(shí)身份的接入賬號(hào)。接入者使用企業(yè)終端通過(guò)802.1X、Web Portal、VPN等接入方式訪問(wèn)網(wǎng)絡(luò)時(shí)，必須輸入真實(shí)的賬號(hào)和密碼，經(jīng)終端準(zhǔn)入控制系統(tǒng)驗(yàn)證后，才允許接入企業(yè)網(wǎng)絡(luò)。

2.2 安全檢查

除基本的身份驗(yàn)證外，終端準(zhǔn)入控制系統(tǒng)還可對(duì)接入終端實(shí)施安全檢查，對(duì)于不符合企業(yè)既定安全策略的終端通過(guò)網(wǎng)絡(luò)隔離、拒絕接入等方式處理，阻斷不安全終端對(duì)企業(yè)網(wǎng)絡(luò)的影響。

2.3 權(quán)限控制

接入終端通過(guò)身份認(rèn)證和安全檢查后，終端準(zhǔn)入控制系統(tǒng)根據(jù)接入終端的身份屬性，對(duì)接入的網(wǎng)絡(luò)設(shè)備下發(fā)VLAN、ACL來(lái)控制終端的網(wǎng)絡(luò)訪問(wèn)范圍，防止接入終端對(duì)網(wǎng)絡(luò)的越權(quán)訪問(wèn)。

2.4 監(jiān)控審計(jì)

終端準(zhǔn)入控制系統(tǒng)提供對(duì)終端接入的監(jiān)控和審計(jì)，管理員不僅可以看到接入終端的實(shí)時(shí)在線狀態(tài)，還可以通過(guò)下線、黑名單等手段對(duì)終端進(jìn)行實(shí)時(shí)控制。

3 多類型終端的準(zhǔn)入控制

終端準(zhǔn)入控制在企業(yè)的部署雖然保證了企業(yè)終端接入網(wǎng)絡(luò)時(shí)，都必須經(jīng)過(guò)身份認(rèn)證、安全檢查、權(quán)限控制、監(jiān)控審計(jì)四個(gè)層面的安全控制，但是由于企業(yè)終端類型的多樣性，實(shí)施的身份驗(yàn)證方法、接入方式、安全策略也往往有所差異。企業(yè)終端大致可分為PC、服務(wù)器、啞終端和移動(dòng)智能終端四種類型，下面具體介紹每種類型的終端對(duì)應(yīng)的準(zhǔn)入控制方式。

3.1 PC終端的準(zhǔn)入控制

大多數(shù)企業(yè)采用安裝了Windows操作系統(tǒng)的臺(tái)式機(jī)、便攜機(jī)作為辦公電腦。網(wǎng)絡(luò)接入方式上以有線網(wǎng)絡(luò)及VPN為主體，而無(wú)線網(wǎng)絡(luò)作為輔助。這種情況下，對(duì)于PC的網(wǎng)絡(luò)接入管理一般采用為PC安裝安全認(rèn)證代理方式，根據(jù)企業(yè)網(wǎng)絡(luò)接入控制點(diǎn)的位置，靈活采用802.1X、Portal、L2TP VPN等方式接入網(wǎng)絡(luò)。在這種認(rèn)證環(huán)境下，身份認(rèn)證的手段也非常多樣，除了傳統(tǒng)的用戶名/密碼認(rèn)證外，對(duì)于需要特殊管控的賬號(hào)，可以要求采用智能卡、數(shù)字證書等方式進(jìn)行身份認(rèn)證。同時(shí)可以要求PC在認(rèn)證時(shí)提供“綁定信息”作為身份標(biāo)識(shí)的附屬品，例如IP、MAC地址、接入設(shè)備的IP和端口、主機(jī)的域用戶名及計(jì)算機(jī)名等。

終端經(jīng)過(guò)身份認(rèn)證、安全檢查接入網(wǎng)絡(luò)后，可根據(jù)其身份下發(fā)已配置的VLAN、ACL到接入設(shè)備的端口上，對(duì)接入終端進(jìn)行訪問(wèn)權(quán)限控制。對(duì)于某些網(wǎng)絡(luò)精細(xì)化的管理要求，還可配置主機(jī)防火墻規(guī)則下發(fā)到終端安裝的安全代理軟件上，對(duì)接入終端的訪問(wèn)行為進(jìn)行嚴(yán)格管控。

3.2 服務(wù)器終端的準(zhǔn)入控制

企業(yè)中的服務(wù)器一般是統(tǒng)一放置在數(shù)據(jù)中心的機(jī)房?jī)?nèi)，服務(wù)器的IP地址、接入的設(shè)備端口一般都是固定不變的，對(duì)于網(wǎng)絡(luò)的穩(wěn)定性要求上比較高，出現(xiàn)網(wǎng)絡(luò)通斷會(huì)對(duì)運(yùn)行于其上的業(yè)務(wù)系統(tǒng)造成重大影響。因此，服務(wù)器并不能使用傳統(tǒng)的802.1X、Portal認(rèn)證的方式去統(tǒng)一管理。對(duì)于服務(wù)器接入這種情況，可通過(guò)管理系統(tǒng)的IP+MAC綁定技術(shù)進(jìn)行控制。通過(guò)在管理系統(tǒng)上配置服務(wù)器MAC地址與接入設(shè)備的IP、端口綁定，實(shí)行“白名單”制度。

管理系統(tǒng)會(huì)根據(jù)制定的白名單對(duì)接入服務(wù)器的設(shè)備進(jìn)行自動(dòng)掃描，當(dāng)發(fā)現(xiàn)某端口上的接入MAC不屬于“白名單”范圍內(nèi)時(shí)，一方面會(huì)產(chǎn)生“異常接入明細(xì)”和告警向管理員進(jìn)行報(bào)告，另一方面可根據(jù)已配置的處理策略，對(duì)非法接入的端口進(jìn)行關(guān)閉，以避免非法的終端利用服務(wù)器的“免認(rèn)證”漏洞接入企業(yè)網(wǎng)絡(luò)。

3.3 啞終端的準(zhǔn)入控制

企業(yè)網(wǎng)絡(luò)中啞終端的數(shù)量和種類也在不斷地增加，例如打印機(jī)、IP電話等，這些設(shè)備一般安放在企業(yè)的多個(gè)位置。由于這些啞終端并無(wú)通用操作系統(tǒng)，因此無(wú)法通過(guò)802.1X或Portal認(rèn)證對(duì)其進(jìn)行準(zhǔn)入控制。但如果將啞終端的接入端口設(shè)置為免認(rèn)證，這無(wú)疑給企業(yè)網(wǎng)絡(luò)的全面接入控制留下了一個(gè)漏洞。企業(yè)內(nèi)部人員可以利用該免認(rèn)證端口接入PC，從而逃避企業(yè)準(zhǔn)入控制的安全要求。因此，啞終端也應(yīng)該擁有身份信息，并對(duì)其網(wǎng)絡(luò)接入權(quán)限進(jìn)行控制。

啞終端設(shè)備可以采用MAC地址認(rèn)證技術(shù)進(jìn)行網(wǎng)絡(luò)接入認(rèn)證，即把啞終端的MAC地址作為其身份到企業(yè)準(zhǔn)入控制系統(tǒng)進(jìn)行統(tǒng)一認(rèn)證。在啞終端接入企業(yè)網(wǎng)絡(luò)時(shí)，接入設(shè)備在首次檢測(cè)到啞終端的MAC地址以后，接入設(shè)備將作為RADIUS客戶端，將檢測(cè)到的用戶MAC地址作為用戶名和密碼發(fā)送給企業(yè)準(zhǔn)入控制系統(tǒng)，與企業(yè)準(zhǔn)入控制系統(tǒng)配合完成MAC地址認(rèn)證操作。企業(yè)準(zhǔn)入控制系統(tǒng)完成對(duì)該MAC地址的認(rèn)證后，認(rèn)證通過(guò)的啞終端可以訪問(wèn)網(wǎng)絡(luò)。

3.4 移動(dòng)智能終端的準(zhǔn)入控制

由于智能終端的多樣性和其私有屬性，不便在智能手機(jī)、平板電腦上安裝智能客戶端對(duì)其進(jìn)行網(wǎng)絡(luò)認(rèn)證和安全控制。所以移動(dòng)智能終端一般通過(guò)基于無(wú)線的Portal認(rèn)證來(lái)接入企業(yè)網(wǎng)絡(luò)。當(dāng)用戶在移動(dòng)智能終端瀏覽器中輸入訪問(wèn)的URL時(shí)，接入控制設(shè)備會(huì)將重定向至企業(yè)內(nèi)部的Web認(rèn)證頁(yè)面，只有輸入分配給智能終端的賬號(hào)、密碼進(jìn)行驗(yàn)證后，該智能終端才可接入企業(yè)網(wǎng)絡(luò)。為進(jìn)一步保證合法智能終端才能接入企業(yè)無(wú)線網(wǎng)絡(luò)，身份認(rèn)證時(shí)可以要求綁定接入的SSID、智能終端的IP地址以及交換機(jī)端口等，確保智能終端網(wǎng)絡(luò)身份的真實(shí)性。對(duì)智能終端可以通過(guò)對(duì)接入設(shè)備下發(fā)VLAN或ACL來(lái)嚴(yán)格控制其訪問(wèn)范圍，盡量減小智能終端對(duì)企業(yè)網(wǎng)絡(luò)的影響。

智能終端系統(tǒng)，從蘋果的iOS到谷歌的Android等等，目前所呈現(xiàn)的安全漏洞問(wèn)題并不多，當(dāng)下很難對(duì)企業(yè)網(wǎng)絡(luò)產(chǎn)生沖擊。因此目前的階段，對(duì)移動(dòng)終端的主機(jī)安全可以不作安全檢查要求。但是隨著移動(dòng)智能終端在企業(yè)網(wǎng)絡(luò)的不斷普及，其自身的安全性將逐漸成為企業(yè)網(wǎng)絡(luò)值得重視的問(wèn)題。

4 結(jié)語(yǔ)

終端準(zhǔn)入控制技術(shù)徹底改變了原有網(wǎng)絡(luò)安全管理與用戶管理、終端管理相脫節(jié)的局面，通過(guò)建立終端、用戶與網(wǎng)絡(luò)之間接入控制系統(tǒng)，構(gòu)建起網(wǎng)絡(luò)安全防御環(huán)，從而革命性地改變了企業(yè)網(wǎng)絡(luò)架構(gòu)，使企業(yè)網(wǎng)絡(luò)的安全性上了一個(gè)新的臺(tái)階。

終端管理問(wèn)題千頭萬(wàn)緒，但只要抓住準(zhǔn)入這一關(guān)鍵點(diǎn)，保證終端安全制度可以實(shí)施起來(lái)，讓每個(gè)用戶都養(yǎng)成良好的習(xí)慣，并融入其他的安全技術(shù)和管理技術(shù)，建立主動(dòng)防御的安全體系，在實(shí)踐中不斷完善。