准入控制简介
开放式或半开放式的办公网络环境,终端设备接入网络的认证和规范很难得到有效的保障,是信息安全防护中所遇到的难题。
在信息安全建设中,用户关注较多的为网络外部的入侵和防护,如防火墙、IPS、IDS、防毒墙等设备。上网行为管理产品也只是对用户上网的行为进行规范和控制,并未对接入的终端PC或移动设备来进行有效的管理和权限分配。
据统计,多数网络安全事件都是由脆弱的用户终端引起。网络中,不安装防病毒软件和防火墙的现象普遍存在,不及时升级系统补丁和病毒库等行为也比比皆是;同样外来人员直接接入内网,边界的防护设备对其往往失去作用,部分“失控”的用户终端就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。
分析发现,单位内网所面临的安全威胁主要表现如下:
外来终端接入内网如何来规范和管理
病毒泛滥以及操作系统漏洞导致内网安全事件日益增多
非法外联现象,给单位网络管理带来“后门”漏洞
网络规模的日益庞大,终端设备越来越多,管理愈加困难
管理制度缺乏技术规范控制,很难得到落实
软件应用的日益丰富和泛滥,导致工作效率降低
解决的问题
准入控制可以有效的帮助单位解决如下问题:
实名认证 准入控制可以支持用户名密码、USB Key、数字证书等认证方式,同时支持与AD域、LDAP和RADIUS等第三方认证服务器的联动,可以很好的适应不同的网络环境。确保对终端的识别和实名认证,便于问题的快速定位和追踪解决。
加强终端安全防护 准入控制的安全策略可以强制用户在接入网络时符合用户制定的安全规范,确保了所有接入点的安全,从而保障了整个内部网络的完整可靠,使得网络整体的安全性得到提高。
有效屏蔽可能存在的“后门”隐患
非法外联功能可以封堵用户不合规范的上网出口,从而杜绝有可能存在的“后门”隐患。
合理规范外来人员的网络访问 针对外来人员的终端,可以制定一套有效的管理策略。一般外来人员只提供基础的互联网访问功能,在需要对内部资源进行访问的时候,可以单独临时开放。
合理分配网络权限 准入控制可以划分不同安全区域,根据不同用户的角色分配相应的网络权限,做到科学规范的管理和应用。
有效保护内部关键应用和服务器安全 通过对外来人员以及内部终端访问权限的规范,可以有效的避免没有权限的人员访问到企业内部的重要服务器和关键应用,切实保护了重要服务器和关键应用的安全和稳定运行。
通过准入控制的规范管理,可以有效的帮助企业落实网络安全管理的相关制度,净化内部网络环境,提高内部网络的安全级别,符合安全规范。
安达通准入控制技术基本原理
安达通准入控制网关根据应用将网络划分成四个逻辑区:隔离修复区、服务器区、内网区和互联网区。
隔离修复区:该区域包含系统补丁、病毒库等服务器,通常是所有人员都可以访问;
服务器区:该区域包含所有应用服务器,如:网站、邮件、数据库、ERP等;
内网区:该区域内内网地址允许互访;
互联网区:即Internet公网。
典型基本原理如下:
1、用户用浏览器访问任意网站或者服务器区网站,自动跳转到认证页面进行身份认证,认证失败用户将被拒绝接入网络;
2、认证成功用户将被要求进行安全状态检测,由准入控制网关验证用户主机安全状态是否符合该用户预定义的准入策略,包括防火墙、补丁版本、病毒库版本、软件安装允许是否合格等,符合准入策略的用户获得对应的网络权限。
3、不符合准入策略的主机将被引导到隔离修复区,进行主机修复加固后,再重复上一个步骤,直至符合准入策略。
4、成功入网的主机将被分配预先定义的访问权限,同时客户端软件将实时监视终端主机安全状态,一旦发生违背准入策略的变化,系统将根据策略采取相应操作,确保内网的安全。
准入控制组网
网关模式网关模式也叫路由模式部署,是指网关本身要作为边界设备,实现路由转发联网以及VPN接入等功能。
采用网关模式部署,设备可同时当防火墙使用。
透明模式透明模式也叫网桥模式部署,是指网关将两个网口设置为直通,串联在防火墙和核心交换机中间,所有的上网数据经过设备,设备可以对过往数据进行有效的控制和规范。
透明模式部署适用于已经有防火墙或路由器的环境。
旁路模式在旁路模式下,网关如同一台服务器接入网络,需要用户在交换机上开启802.1X或其他相关协议,配置一个控制端口和网关的管理接口连接,该工作模式的优点是完全不改变原有网络结构,不影响原有网络的性能。
对于VLANTRUNK等不适合串行部署的环境,或者用户对性能、稳定性要求很高的环境,适合采用旁路部署方式。但是旁路部署对交换机的功能和型号有要求,需要支持802.1X等协议,且最好均为同一品牌的交换机。
特色功能
支持各类工作方式、易于部署
大部分实施准入控制的用户,网络已经建设的比较完善,因此部署的简便性、适应各类复杂的网络环境是衡量系统优劣的重要标准。安达通准入控制网关支持串联和旁路等方式部署,能与Cisco、H3C、华为等各类主流交换机联动。实施安装时,可根据用户的具体网络环境和实际需求,选择对现有网络环境影响最小的部署方式。
支持丰富的认证技术和认证方式
准入控制网关支持802.1x、EOU、portal、DHCP、VPN等多种认证技术。支持多种用户认证方式:帐号/口令、数字证书、USB KEY等,并且能与Windows AD、LDAP、Radius等第三方认证服务器联动。支持基于实名认证,审计和日志更加直观准确。
应用级的准入控制技术
安达通准入控制安全网关可将控制粒度细化到应用级,根据准入检测结果,为不同用户动态分配相应的应用权限。
相对于基于IP权限控制的传统技术,具备更高的安全性。并能与应用系统完美整合。
与交换机结合的各类控制技术
802.1X控制技术 IEEE 802.1x协议关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。
802.1x的控制方式要求接入层交换机必须支持802.1x协议,而目前各品牌交换机对于802.1x具体的配置和实现细节各不相同,这就要求准入产品自身与交换机的兼容性很好。
安达通准入控制网关可以很好的与主流交换机产品进行联动(包括Cisco、H3C、华为等)。
EOU控制技术 EOU为cisco在802.1x基础上进行改进后的协议,在接入层交换机不支持802.1x通用协议的环境下,如果接入采用的是CISCO支持EoU协议的网络设备,即使接入层交换机或者AP不支持802.1x协议,依然可以通过基于EoU的网络准入控制验证计算机终端的安全策略、隔离不安全的终端。此控制方式适用内网汇聚层为cisco交换机的网络环境。
PORTAL控制技术 Portal为H3C的私有协议,安达通对Portal协议可以做到全面的支持。此控制方式适用内网为H3C交换机的网络环境。
策略路由控制技术
智能协议分析系统,服务识别准确快速。支持绝大部分常见互联网应用的协议分析和信息内容的数据还原,可以对动态端口变化的协议进行跟踪识别,可自动识别通过HTTP或SOCKS代理做跳板的数据包。
访问控制
基于策略路由的控制技术通过在交换机上配置策略路由,把指定的数据包分流到准入控制网关上,从而实现各类控制功能。策略路由控制方式需要交换机相应功能配合。
DHCP控制技术
DHCP控制技术主要是通过二次DHCP地址分配来区分授权用户和非授权用户,并且对其进行相应的网络权限分配。
客户端可选装
每一套安全系统,安全性和易用性始终是一对矛盾。为每台终端设备安装客户端,会对准入控制网关的部署带来一定的工作量;但是客户端与网关的联动体系能带来更强的安全性;
安达通准入控制网关可支持带客户端的部署,也可支持无客户端的部署,用户可根据自身要求和现有网络架构在安全和易用之间取得一个平衡点,选择最适合自己的准入控制解决方案。
客户端引导安装
用户访问受控网络时,网关可以通过浏览器引导用户安装客户端,省去了手工部署的步骤,方便实施和管理。
基于软硬件的各类逃生方案
逃生方案对于准入控制网关至关重要,尤其在串联部署时,准入系统的故障,不能使整个网络瘫痪,是大部分用户建设准入控制系统的原则和根本出发点。
安达通准入控制网关支持基于软件和硬件的逃生方案。特有的“纯硬件转发”架构,实现串联部署下的逃生方案,即不论软件崩溃还是断电或者其他硬件故障,均能保证网络不中断。在旁路部署时,可利用交换机的准入协议或动态路由协议的特性,实现各类基于软件的逃生方案。
VPN接入的准入控制功能
安达通准入控制网关自带Ipsec VPN和SSL VPN模块。针对VPN接入用户也可实现各项准入控制功能,把VPN技术和准入控制技术融合到了一起,用一台设备完美解决两个需求。
在SSL VPN接入或IpsecVPN互联时,依靠客户端+网关的联动体系,在SSL VPN接入用户或Ipsec对端用户访问本地资源时,可实现基于主机风险评估的准入控制,即只有符合准入策略的远程用户才能够访问相应的内网资源,否则根据策略采取相应隔离和阻断措施。
主机程序管控
准入控制网关能对主机程序控制使用。网关依靠主机客户端实时检测用户主机端的各种程序的运行状态,直接从主机端控制用户单机程序的使用。准入控制网关内置了禁用进程、威胁进程等各类进程特征库,支持在线或离线升级。
非法外联
利用非法外联功能,能够解决用户通过诸如: ADSL拨号、3G拨号和WIFI等方式私自接到外网的行为,从而达到杜绝绕过边界防火墙或安全网关的行为。
虚拟VLAN
通过虚拟VLAN功能,可在局域网中划分逻辑VLAN,在不投入其他硬件设备的前提下,满足不同安全等级或不同组的用户进行逻辑隔离的需求。
可支持基于MAC(同网段)和基于IP(跨网段)两种方式下的虚拟VLAN控制 。
工作效率报表
特有的工作效率报表功能可统计员工使用各类软件的时间长度,并进行排名分析;进而反映出员工的工作效率情况;
About the Author
