■龐亞賓 趙 磊 蘭州石化公司自動化研究院

內(nèi)網(wǎng)接入管理是近年來國內(nèi)外很多企業(yè)對內(nèi)部網(wǎng)絡(luò)安全提出的一項技術(shù)需求。它要求內(nèi)網(wǎng)中計算機接入能得到控制。未經(jīng)授權(quán)的計算機禁止接入內(nèi)網(wǎng)，從而確保內(nèi)部網(wǎng)絡(luò)的安全性。內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)的目標(biāo)是：通過對內(nèi)網(wǎng)準(zhǔn)入技術(shù)的分析，實現(xiàn)未注冊內(nèi)網(wǎng)終端的阻斷功能，同時，只有完全符合安全標(biāo)準(zhǔn)的計算機才能接入受保護網(wǎng)絡(luò)。

一、早期的內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)

早期局域網(wǎng)一般由不可網(wǎng)管交換機或Hub組建而成。針對這種局域網(wǎng)，國內(nèi)安全廠商很多都是通過ARP欺騙的方式實現(xiàn)這一功能，實現(xiàn)原理如下。

1.用戶計算機安裝準(zhǔn)入控制客戶端，客戶端檢測用戶計算機是否達到接入要求。

2.準(zhǔn)入控制服務(wù)器對所在網(wǎng)段使用ARP掃描功能，在很短時間內(nèi)（2-3s）獲得新接入的計算機的IP地址和MAC地址。

3.通過準(zhǔn)入控制服務(wù)器對未注冊用戶計算機實施ARP欺騙，發(fā)送IP地址已占用的信息，并發(fā)送錯誤的網(wǎng)關(guān)地址。利用Windows操作系統(tǒng)本身機制，未注冊客戶端會發(fā)現(xiàn)自己的IP地址在網(wǎng)絡(luò)中已經(jīng)存在，并認(rèn)為自己的IP地址甚至錯誤，系統(tǒng)會在未注冊計算機上提示IP地址設(shè)置錯誤。

早期的內(nèi)網(wǎng)接入控制技術(shù)存在一些缺點。例如會在網(wǎng)絡(luò)中生成大量的ARP數(shù)據(jù)包，影響整體網(wǎng)絡(luò)性能；ARP欺騙的方式也會造成用戶側(cè)計算機ARP防火墻軟件的產(chǎn)生報警信息。

二、當(dāng)前三種可行的準(zhǔn)入控制方案

目前針對大型園區(qū)網(wǎng)絡(luò)可行的準(zhǔn)入方案主要有三種。

第一通過軟件準(zhǔn)入網(wǎng)關(guān)實現(xiàn)未注冊阻斷功能。

第二通過硬件準(zhǔn)入網(wǎng)關(guān)實現(xiàn)未注冊阻斷功能。

第三與支持802.1x協(xié)議的交換機設(shè)備聯(lián)動，在接入層實現(xiàn)未注冊終端阻斷功能。

1.軟件準(zhǔn)入網(wǎng)關(guān)

軟件準(zhǔn)入網(wǎng)關(guān)發(fā)現(xiàn)自己“轄區(qū)”內(nèi)有未注冊計算機時，不為其分配IP地址，或者拒絕其數(shù)據(jù)包，對已注冊計算機一律放行。

軟件準(zhǔn)入網(wǎng)關(guān)的一般結(jié)構(gòu)如圖1所示。

軟件準(zhǔn)入網(wǎng)關(guān)的原理和下面將要介紹的硬件準(zhǔn)入網(wǎng)關(guān)原理基本一致，但是適用環(huán)境較為單一。軟件準(zhǔn)入網(wǎng)關(guān)一般使用WinPcap網(wǎng)絡(luò)驅(qū)動開發(fā)，客戶端超過100后，系統(tǒng)性能會急劇下降，應(yīng)用環(huán)境受到很大限制。

2.硬件準(zhǔn)入網(wǎng)關(guān)

圖1 軟件準(zhǔn)入網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)

硬件準(zhǔn)入網(wǎng)關(guān)比軟件準(zhǔn)入網(wǎng)關(guān)性能高，很多園區(qū)網(wǎng)采用這種控制方式。硬件準(zhǔn)入網(wǎng)關(guān)的部署方式類似于軟件準(zhǔn)入網(wǎng)關(guān)，由終端管理服務(wù)器將內(nèi)網(wǎng)客戶機狀態(tài)發(fā)送給硬件網(wǎng)關(guān)，再由硬件網(wǎng)關(guān)判斷并執(zhí)行阻斷或URL重定向。以某知名廠商為例，終端管理服務(wù)器和準(zhǔn)入網(wǎng)關(guān)之間通信的數(shù)據(jù)格式如圖2和表1所示。

圖2 準(zhǔn)入網(wǎng)關(guān)與終端管理服務(wù)器的數(shù)據(jù)格式

表1 準(zhǔn)入網(wǎng)關(guān)與終端管理服務(wù)器的數(shù)據(jù)格式

準(zhǔn)入網(wǎng)關(guān)和終端管理服務(wù)器之間采用應(yīng)答握手驗證協(xié)議（CHAP），認(rèn)證采用預(yù)共享口令，認(rèn)證后派生出隨機加密密鑰對內(nèi)容進行加密。

用準(zhǔn)入網(wǎng)關(guān)實現(xiàn)準(zhǔn)入控制受限于所處網(wǎng)絡(luò)的結(jié)構(gòu)，一般部署在安全級別不同的兩個網(wǎng)絡(luò)邊界之間。低安全級別的計算機在進入高安全級別的網(wǎng)絡(luò)之前，必須經(jīng)終端管理服務(wù)器檢查各項安全策略，之后通知準(zhǔn)入網(wǎng)關(guān)進行放行、阻斷或重定向操作。

3.基于交換機端口的準(zhǔn)入控制

基于交換機端口的準(zhǔn)入控制需要使用IEEE 802.1x協(xié)議。802.1x協(xié)議是一種訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶通過網(wǎng)絡(luò)交換機接入端口訪問局域網(wǎng)。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

802.1x協(xié)議運行在OSI模型鏈路層，借用EAP（擴展認(rèn)證協(xié)議），不需要到網(wǎng)絡(luò)層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本，提供良好的擴展性和適應(yīng)性。802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，可以實現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS服務(wù)器和交換機利用可控端口共同完成對用戶的認(rèn)證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上，通過可控端口進行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。802.1x協(xié)議可以映射不同的用戶認(rèn)證等級到不同的VLAN。

為了實現(xiàn)基于802.1x協(xié)議的準(zhǔn)入控制，需要將準(zhǔn)入網(wǎng)關(guān)與支持802.1x EAP協(xié)議的交換機配合實施，目的是為內(nèi)網(wǎng)提供高度靈活的用戶接入強制策略。同時，為了保證能夠了解內(nèi)網(wǎng)終端在網(wǎng)絡(luò)接入時的安全狀態(tài)以及網(wǎng)絡(luò)應(yīng)用行為，需要在接入內(nèi)網(wǎng)的終端上安裝和運行準(zhǔn)入客戶端軟件（Agent）。

準(zhǔn)入控制過程如下：交換機發(fā)起EAP認(rèn)證，Agent在收到EAP認(rèn)證質(zhì)詢時，將當(dāng)前終端安全狀態(tài)以及終端身份向交換機報告，交換機在收到Agent的應(yīng)答以后，將應(yīng)答信息以Radius協(xié)議封裝，發(fā)送到終端管理服務(wù)器，終端管理服務(wù)器按照管理設(shè)定的規(guī)則檢驗Agent的應(yīng)答信息。如果終端的身份合法并且安全狀態(tài)也符合企業(yè)安全策略的要求，終端管理服務(wù)器將指示準(zhǔn)入網(wǎng)關(guān)放行。準(zhǔn)入網(wǎng)關(guān)同時作為Radius服務(wù)器，負(fù)責(zé)通知交換機將終端放入正常的工作VLAN；如果終端驗證失敗，準(zhǔn)入網(wǎng)關(guān)就按照管理的設(shè)定，通知交換機將終端放入隔離VLAN或直接關(guān)閉端口。在隔離VLAN的終端，Agent會自動進行終端安全狀態(tài)的修復(fù)，在修復(fù)完成以后，系統(tǒng)自動將終端重新接入正常工作VLAN。

目前支持的802.1x協(xié)議的有Nortel、Alcatel、Cisco、Huawei等主流設(shè)備供應(yīng)商。以Cisco公司的網(wǎng)絡(luò)交換機為例，802.1X認(rèn)證配置如下：

本文主要介紹了三種可行的內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)，其中以基于網(wǎng)絡(luò)端口的控制方案最為嚴(yán)格，對系統(tǒng)管理水平的要求也最高。通常在園區(qū)網(wǎng)管理中，一般采用硬件準(zhǔn)入網(wǎng)關(guān)與基于端口的準(zhǔn)入網(wǎng)關(guān)相結(jié)合的方式，達到即經(jīng)濟又高效的管理效果。

[1]于昇，祝璐.網(wǎng)絡(luò)接入控制架構(gòu)研究綜述[J/OL].信息安全與通信保密，2009（8）：41-43.

[2]郭幽燕，杜曄.基于ARP協(xié)議的內(nèi)網(wǎng)訪問控制系統(tǒng)[J/OL].計算機工程與科學(xué)，2010（1）