网络准入系统助力网络安全管理

摘要：网络准入控制（NetworkAccessControl，NAC）是一种新型的安全防御技术，通过对终端实施安全防护，有效解决因不安全终端接入网络而引起的安全威胁，保护网络的安全。本文针对某电力企业部署的网络准入控制系统进行研究，分析其技术背景、解决方案、实施效果等，以便提高企业网络安全管理水平。

关键词：准入控制；策略路由；网络安全

如何加强内网终端的安全管理，防范来自内部的各种网络威胁与风险，是该企业急需解决的安全问题。为了确保企业内部网络的安全、高效运转，该企业通过调研与对比，最终决定采用国内某公司的网络准入控制系统对内网接入设备进行控制和管理。

一、网络准入控制技术的简介

网络准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。网络准入控制主要思路：终端接入网络之前根据预定安全策略对其进行检查，只允许符合安全策略的终端接入网络，不安全的终端将被隔离于网络之外，自动拒绝不安全的终端接入保护网络，直到这些终端符合网络内的安全策略为止。网络准入控制技术在多年的发展中，经历了三代技术框架的变迁。第三代NAC产品本身是一个网络设备，对网络环境要求很低，一般需要接入层交换机以Trunk方式接入汇聚层即可，主要通过网络层的检测来实现终端接入网络的控制，具有代表性的有虚拟网关、网关、策略路由等技术。

二、网络准入控制的实施

（一）基于策略路由的准入方案。该公司的网络交换机品牌以H3C为主，各层交换机之间兼容性好。此次部署的网络准入控制系统基于第三代准入控制技术，是软硬件集成的终端安全管理平台。根据公司的网络现状况与需求，采用基于策略路由的模式，物理旁路方式连接核心交换机。在核心交换机对所管控的网段配置策略路由，需要管控的地址段在相应的VLAN下启用。此模式不需改动网络的拓扑结构，支持的逃生机制简单。基于策略路由的准入方案，通过在核心交换机上利用ACL捕获所有访问核心业务服务器的数据流量，并通过策略路由将捕获的流量发送至已经配置好的下一跳地址。被管控设备的所有上行流量都将经过准入设备并接受安全准入管理，合规终端放行。其上行数据路由为：核心网关→准入设备→核心网关→目标资源。所有访问核心服务器的设备都会被准入设备所控制，从而达到保护核心资源，对入网设备进行准入控制的安全目标。策略路由部署方式只对终端上行流量做重定向，对数据量影响较小。（二）网络准入设备的端口设置与接线。网络准入设备的三个端口ETH0、ETH1、ETH3，分别通过3条网线与核心交换机相连。ETH0口是重定向接口，终端流量从此接口重定向，连接至核心交换机上的G1/1/0/6，ETH1口是准入管理口，用作管理、终端认证地址，连接至核心交换机上的G1/1/0/5，ETH3口为trunk口，用作终端自动发现，辅助准入设备发现接入网内的终端，连接至核心交换机上的G1/1/0/7。（三）基于角色的网络授权准入控制系统基于终端用户的角色,根据事先配置的接入控制安全策略，分配网络访问权限，通过角色权限规范用户的网络使用行为。每个入网终端分配一个角色。角色定义包括：安全规范、安全域、安全策略三个方面。1.安全规范的检查项。（1）杀毒软件检查，检查是否安装杀毒软件。（2）网络连接检查，检查是否存在无线WiFi与双网卡，若不符合工作需要，则禁用，符合工作需要的，设置特殊角色与使用权限。（3）操作系统版本检查，检查操作系统版本是否符合安全要求(win8以上系统禁用）。2.安全域设定。根据入网终端的业务需求范围，划分多个安全域：局域网、广域网、互联网，由管理员配置安全域的IP地址段。3.安全策略的设定。（1）违规外联：只能访问规定区域的网路资源，禁止访问违规区域。（2）移动介质管理：对U盘等移动介质进行设定，可禁用移动介质的使用，有特殊用途的用户，单独开启移动介质的使用权限。4.终端角色的控制管理。（1）终端角色安全域、控制要求与方法领导角色安全域范围是局域网、广域网、互联网，控制要求和方法是安装准入控制客户端，审核通过，可访问安全域内资源。（2）班组角色安全域范围是局域网、广域网，控制要求和方法安装准入控制客户端，审核通过，可访问安全域内资源，禁止访问违规区域。（3）特殊角色安全域范围是局域网、广域网，控制要求和方法安装准入控制客户端，在安全规范上进行限定，审核通过可访问安全域内资源。（四）终端入网流程。终端接入网络时，被重定向至客户端安装界面，安装客户端后，进行终端设备注册，填写终端使用人姓名部门等信息，注册后提交认证，网络管理员进行终端身份审核，非法终端拒绝入网，合法的终端分配角色，继续执行安全规范的检查，给出安检得分，合规的终端依据所属角色进行权限分配，可以访问相关资源，不合规的终端被隔离，直至修复完成。

三、网络准入控制系统上线后的效果

（1）实现了对入网终端的可控管理，确保了每个接入网络的终端符合入网安全管理规范。可快速定位入网终端所属的交换机与端口，查看网络终端的信息和状态。将IP地址与MAC地址进行绑定管理，杜绝了随意更改IP地址的行为。（2）利用准入控制系统的远程协助,解决终端常见故障，减少了维护量，提高了解决问题的效率。（3）通过任务管理的软件分发，向客户端推送软件或补丁，便于软件与补丁的安装与更新。（4）通过准入控制系统的查询统计，可以对入网计算机的硬件资产统计查询并导出资产报表，对硬件资产的管理提供了详实的记录。

四、结束语

该公司部署网络准入控制系统后，实现了有效的终端入网控制，规范了终端用户的入网行为，提高了信息管理人员的工作效率。但网络准入控制系统只是侧重于终端入网的管理，还要与防火墙技术、IPS、杀毒软件等安全管理措施结合起来，才能全方位做好网络安全管理。

参考文献

[1]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):90.

作者:赵瑾 单位:华电淄博热电有限公司