拓帆终端准入控制解决方案措施探析.docx
《拓帆终端准入控制解决方案措施探析.docx》由会员分享,可在线阅读,更多相关《拓帆终端准入控制解决方案措施探析.docx(19页珍藏版)》请在冰豆网上搜索。
拓帆终端准入控制解决方案措施探析
拓帆终端准入控制
解决方案
石家庄拓帆网络科技有限公司
2019年11月2日
一、概述
随着我国信息系统建设的普及和成熟,企业的信息系统和网络变得越来越复杂。
企业常常无法控制和了解内部网络的情况,无法知道有什么人、什么终端、从什么地方接入到内部网络中,更无法对接入内部网络的人、终端进行访问控制的规范管理。
美国著名调研机构Gartner研究表明,鉴于终端的非法使用和病毒泛滥,美国80%的受访企业想要采用网络准入控制(TFST)。
对于内部网络缺乏规范管理,各个厂家都没有提出系统的解决方案。
各个厂家经常会以网络准入控制解决部分内网管理的问题。
当今世界上的网络准入方案大致来自于两类厂家。
一:
内网管理厂家;二:
交换机厂家;内网管理厂家需要先安装客户端软件,再实现准入控制。
对于不安装软件的终端,只能新增网关设备,对出外网的访问进行检查。
而对于内部网络的接入,只能依赖于交换机进行准入控制。
但由于低端交换机和老旧交换机不支持准入控制,因此企业靠这两种解决方案无法实现全网的准入控制。
拓帆科技提出一种新的、不同于以上两种的网络准入控制(TFST)方案。
这种新方案将常见的两种准入控制技术融入进来,并进行创新,解决了无法保证网络边界完整和与企业老旧设备和系统兼容的问题。
使得企业在不用更新网络设备、不用改变网络结构、不用安装客户端的情况下,实现网络实名制准入控制。
拓帆科技在实名准入控制的基础上,提出一套完整的内网规范管理的系统,实现了对内部网络的人、终端、IP、设备的统一规范管理,实现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求。
同时,也有效地解决了目前各大企事业单位普遍存在的非法外联、无法保证网络边界完整、无法做到网络出口唯一、无法做到IP地址中心下发、统一管控、无法做到内部网络实名制等一系列的问题。
二、内网急需安全准入控制
我们将目前存在的网络层安全问题归纳如下:
1、内网管理混乱的问题
2、非法外联的问题
3、保证内、外网隔离的问题
4、保证网络边界完整的问题
5、防止私改网址,IP网址无法可控的问题
6、核心系统安全保障的问题
7、内网无法实名制的问题
8、保证终端设备合规性和安全性的问题
9、细粒度网络访问控制权限可实现的问题
10、无法支持移动办公的问题
内网管理混乱的问题
由于缺乏“内网规范管理”的系统,企业内部网络常常处于管理混乱的状态。
企业不知道目前有什么人、有多少人、有多少终端正在使用企业内部网络;不知道终端是否安装了要求的终端软件、是否使用了外来的终端设备进入内部网络;不知道内部网络中有多少IP,每个IP的使用人;不知道是否有外部的网络设备(如:
私带的路由器、无线AP、等)正在本单位的内部网络运行。
2.2保证内、外网隔离的问题
目前,大多数重要企业都进行了物理隔离。
但这种物理隔离仅限于网络的基础结构的物理隔离。
对接入内网和外网的终端并没有进行很好的管控。
如何保证内网与外网不发生互联,如何保证内、外网终端和笔记本不发生误接和混接,是各大企业急需解决的问题。
2.3防止私改网址,IP网址无法可控的问题
我国企业,尤其是保密或涉密单位,目前多采用IP网络统一规划,终端单独设置IP地址的方法来管理网络。
这种管法的优点在于,可以通过IP和人关联,实现对用户的网络行为进行管理和审计。
但是,随着网卡管理技术的普及,越来越多的人知道如何重新设置网卡的IP地址和MAC地址。
由于,企业授权每个用户可以自己设置IP地址,因此常常发生用户将自己的IP地址设为他人的IP地址,造成网络管理和安全问题。
同时,允许私设和私改IP/MAC地址,就无法根除ARP病毒。
要解决私设和私改IP/MAC地址的问题,要彻底根除ARP病毒,就必须从根本上改变允许终端用户自己设置IP的问题。
而采取IP网址中心下发,统一管理的新技术和新的管理方法。
2.4核心系统安全保障的问题
随着我国各大企业业务大集中的发展,各单位将重要的应用都集中在集团的信息中心,从而达到应用共享,提高工作效率的目的。
系统的大集中对系统的安全提出了更高的要求。
企业需要保证能够对系统进行访问的人和终端必须是经过授权的、安全的人和终端。
由于各大企业管理是分级授权管理,因此许多企业集团无法直接管理到各个下级单位的网络管理和使用。
如何保证从进入集团的网络访问是来自于被授权的下级单位,来自于被授权的终端和员工,并且使用终端是符合应用系统要求的,就是企业急需解决的问题。
同时,集中的核心系统安全存在这短板效应,一旦有一个下级单位的一个终端发生问题,就会使整个系统面临威胁。
这个问题解决不好,就会影响到整个集团的内网信息安全。
2.5内网无法实名制的问题
企业管理IP网址的方法,通常有DHCP和静态IP两种管理方法。
但两种方法都无法保证IP地址实名管理和审计的问题。
在DHCP环境下,由于IP地址动态分配,无法保证指定终端永远获得同一个IP地址。
就更无法确定IP地址使用者的身份。
在静态IP的环境下,由于无法很好地解决私改、私设IP地址的问题,因此也无法确定IP使用者的唯一性。
2.6保证终端设备合规性和安全性的问题
大多数企业没有很好的技术手段,配合相应政策,保证所有终端在接入办公内网前,安装和运行了规定的桌面软件、杀病毒软件和必须的控制软件。
另外,企业也很难保证终端进行了必要的补丁更新。
也无法保证所有进入网络的终端进行了必要的补丁更新。
2.7无法支持移动办公的问题
随着计算机的普及,随着笔记本电脑的越来越多,企业有移动办公的需求。
由于,企业常常采用的是IP端口绑定的方法,就无法支持员工进行移动办公。
三、拓帆内网终端准入控制解决方案
目前的网络准入控制解决方案大致有两类。
●以Cisco为代表的。
要求用户购置新的网络接入设备,安装新的客户端软件。
●以Symantec为代表的。
要求用户购买新的客户端,改变用户网络结构,加装在线设备。
这两种方案都是有条件的实现了网络准入控制。
这些方案是一种要求企业将从客户端到网络接入设备都进行更新,支持新的802.1x协议的纵向解决方案。
这种纵向解决方案有利于厂家推进老旧产品的更新换代,保证现有厂家的收入。
但对企业来说,则存在着重复投入、系统兼容等问题。
即浪费了资金,又存在着部分老旧交换机和老旧终端无法实现网络准入控制的问题。
为了解决纵向解决方案的问题,拓帆科技提出一种新的横向解决方案。
这种的横向解决方案就是一定囊括所有的准入控制解决方案,能够对不同厂家、不同年代、不同类型的网络设备都进行支持,对不同操作系统,不同版本的终端也都能够进行支持的准入控制解决方案。
这种解决方案的优点在于即可以充分发挥新协议、新的网络接入设备的技术优点,也可以兼容老旧设备,最大限度地实现网络准入控制。
4.1内网终端准入控制部署与拓朴结构
拓帆科技公司提出了将以上五种技术集成在一起,并有机地融合起来,这样可以满足不同网络结构和用户需求。
系统由三部份组成:
1、准入网关
Ø采用旁路部署方式,可放置在核心交换机上;分支机构可配置多台准入网关,集中管理。
Ø支持双机热备,具有可靠的逃生方案
ØDHCP准入模块,根据安全策略为终端分配合法的动态IP地址
ØSNMP准入模块,自动/手动扫描可管理型交换机端口信息,阻止非法接入
Ø收集网络内的管理对象IP地址的数据包并将收集到的数据包信息传送给准入控制台
Ø执行网络管理者设置的策略
Ø根据策略产生的事件日志发送给准入控制台
Ø支持IEEE802.1QTrunk协议从而管理VLAN
Ø实时监控各VLAN广播域中接入主机PC;
2、控制台
Ø管理员和IP/MAC准入网关的用户接口
Ø对收集的数据进行加工,并保存到数据库
Ø支持一个准入网关的多个网络接口(多广播域)的控制
Ø同一控制台可管理多个准入网关
Ø执行IP/MAC网络管理策略
Ø通过报表系统工具,分析网络当前状态及历史数据
3、数据库
Ø数据存储、IP/MAC地址表、策略、变更日志、IP冲突、用户数据、事件日志。
Ø支持ACCESS、SQLSERVER2000/2003/2005
部署拓朴结构
系统部署图
4.2终端入网准入流程
1、接入主机可以设置成固定IP地址或DHCP动态获得IP地址,一般建议服务器或特权主机设定为固定IP地址,其他主机动态分配IP地址。
2、对于固定IP地址的主机,系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息,如果是非法主机,系统将阻止其入网。
此类主机无需实名认证,无需健康检查。
3、对于DHCP动态获取IP地址的主机,首先系统会临时分配一个隔离网段IP地址,允许它访问隔离网段服务器(例如:
杀毒服务器、补丁服务器、实名认证服务器等)
4、系统如果启动了实名认证模块,接入主机获取动态IP地址后,打开IE浏览器访问外网时,系统会自动推送实名认证网页,要求其输入管理员分配的用户名及密码,如果身份认证未通过,系统将不会分配内网IP地址,其无法访问内网任何资源。
如果身份认证通过,并且系统没有启动健康检查模块,接入主机将获取管理员分配的内网合法IP地址,接入主机被允许访问内网应用服务器资源。
5、系统如果启动了健康检查/桌面管理模块,接入主机实名认证通过后,系统在其打开IE浏览器访问外网时,会自动推送健康检查/桌面管理客户端下载网页,当其安装完健康检查/桌面管理客户端后,接入主机将获取管理员分配的内网合法IP地址,接入主机被允许访问内网应用服务器资源。
6、系统运行过程中,将自动收集当前限制主机、允许主机、离线主机、在线主机列表,每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息,管理员可实时查看到对应交换机上接入主机的信息,并可手动/自动关闭其端口,完全隔离非法主机。
流程图如下所示:
终端准入认证流程
4.3拓帆内网终端准入控制主要功能
4.3.1、内网设备资源管理功能
✓网络资源自动收集功能
将所有连接在网络的IP资源(IP、MAC、域名/组名、用户名、接入主机网卡类型、最近网络接入事件等)按照设置好的周期自动收集。
✓收集交换机信息及管理
通过收集在管理范围内的网络中注册的交换机的SNMP的信息,可以实时收集交换机的状态信息,可以收集端口状态,并且可以自动/手动对指定的交换机端口进行阻止/解除管理。
此功能在网络中主机发出有害数据包时,可以完全的阻止网络连接。
✓针对网络的有效地分组管理
在静态IP地址环境中可以基于IP地址进行分组管理,在动态IP地址环境中可以基于MAC地址管理IP使用情况和主机策略情况。
✓提供周期性的资源使用情况
网络临时连接终端或是为了短期使用了分配的IP地址,长时间没有连接网络在离线状态时,可以将其IP释放为可使用的IP地址进行管理,从而做到有效的IP资源管理。
4.3.2、强有力的阻止功能
✓阻止非授权的IP和MAC用户
对使用非授权的IP和MAC地址的用户进行自动或手动阻止,从而防止因非授权用户引起的网络故障.
✓引入网络实名来管理主机名称
DHCP引入实名认证模块,只有实名认证通过后,才能获取内网合法的IP地址。
收集IP用户的主机名(NetBIOSName),可以对各网络主机要求使用指定的正确的主机名,否则不行入网。
收集IP用户的域名/组名,可以对网络主机要求登陆域,否则不行入网。
✓IP地址冲突保护策略
使用MAC绑定策略,对于只能使用特定IP地址的主机固定其IP地址(一个或多个IP),从而防止其他主机盗用其IP地址,并且可以避免因IP冲突而引起的网络故障。
4.3.3、对网络设备及服务端口管理功能
✓交换机端口管理及控制功能
可以监控管理范围内的主机所连接的可管理型交换机的端口,并且可以自动收集和手动阻止/解除端口。
当非法主机与合法网络设备发生IP冲突时,可以自动切断相应的交换机端口,从而防止网络故障。
系统监控主界面
实名认证设置界面
健康检查/桌面管理设置主界面
IP地址使用情况分配表
交换机端口接入主机分布与管理
四、拓帆内网终端准入控制解决方案的优势
5.1拓帆802.1x准入控制的优势
技术总是在不断进步的,尤其是像网络准入控制这种新兴的技术,更是不断的变化。
网络准入控制的设备厂家在实现新技术和新协议的时候,实现起来会有差异。
同时,各厂家又会根据自己设备的特点加入一些特有的功能。
由于拓帆科技的网络准入系统建立了统一准入平台,就可以通过对不同厂家编写不同的驱动,保证最大限度地支持各厂家的交换机设备,实现其他交换机厂家无法实现的兼容性。
对于在802.1x交换机下挂Hub和二层交换机的情况,拓帆科技的准入控制平台可以通过拓帆科技实现的其他4种准入控制技术对终端接入实现准入控制。
5.2拓帆DHCP准入控制的优势
拓帆科技的DHCP准入控制能够通过IP的下发实现终端的准入控制。
拓帆科技的DHCP准入控制可以实现固定IP、中心下发。
这样,在保证了IP绑定的同时,还做到了IP使用的可控性。
5.3拓帆网关型准入控制的优势
目前国际上大部分网关型准入控制都是由软件厂家或防火墙厂设计生产的。
网关型准入控制通过对穿越网关的流量进行检查,弹出Web认证界面,完成对穿越网关的终端进行主机健康检查。
但软件厂家缺少防火墙厂家的经验,因此他们生产的网关型准入控制常常出现性能问题。
同样,由于防火墙厂家采用的CPU性能较差、内存较少,不可能像服务器一样具有处理大量http访问的能力,因此常常造成大量用户认证时,网络出现瓶颈效应,造成宕机,发生断网事故。
拓帆科技的网关型准入控制采用特有的包处理技术,对一般网络数据包实现透明转发,同时将未经认证的电脑的http数据包直接推送认证页面,发起认证请求,提供用户实名认证或准入软件下载服务。
5.4拓帆SNMP准入控制的优势
拓帆科技SNMP准入控制可以通过SNMP协议了解终端接入的位置,同时帮助网管人员对终端实现阻断。
不同于传统的网管软件,拓帆科技的准入控制将网络管理的范围从网络设备的管理延伸到接入网络的终端、终端的IP和终端使用的人。
使得网络人员能够更加全面地了解网络和网络使用的终端及其使用者。
5.5拓帆ARP准入控制的优势
传统的ARP准入控制多是PC软件厂家实现的ARP准入控制。
它们的原理是通过装有PC软件的终端对周围没有安装PC软件的终端发起ARP攻击。
但这种实现方法有以下问题:
1、当子网中没有装有PC软件的终端时,无法对非法终端实行ARP攻击;
2、当子网中装有PC软件的终端没有开机时,无法对非法终端实行ARP攻击;
3、当所有PC软件都发起ARP攻击时,网络会由于ARP包过多,造成网络瘫痪;
4、PC软件无法跨网段实现ARP攻击;
5、一旦终端安装了ARP防火墙,ARP攻击无法起到阻断作用;
拓帆的ARP准入控制是基于硬件平台的ARP准入控制。
由于拓帆的准入控制平台是一款硬件网络设备,她可以实现:
1、7*24小时保证在网络中运行;
2、不需要其他终端开机和实施ARP攻击;
3、对非法终端实现的是1对1的ARP单播攻击,不会造成大量ARP流量;
4、硬件网络设备支持跨网络进行ARP准入控制;
5、与多家ARP防火墙厂家进行了合作和整合,保证能够穿越ARP防火墙,实现准入控制。
5.6兼容不同厂家、不同年代的网络接入设备
由于企业在进行信息化建设时,总会有一个过程。
这就使得企业的信息系统会有不同时代的网络设备并存。
另一方面,由于各个厂家的设备各有所长,一个企业的信息系统常常会有多家设备共存。
要想做到对所有信息系统的边界设备进行网络准入控制,不但要考虑到与同厂家、不同时代的设备进行兼容,同时也要考虑到与不同厂家的设备做到兼容。
要做到这一点,网络准入控制平台就必须做到符合标准网络协议。
同时,灵活地运用网络协议,对终端通过网络接入设备的接入进行准入控制。
目前的信息系统经常会有多种网络接入种类的设备。
其中包括:
网络交换机,Hub,无线AP,VPN接入,防火墙穿越,拨号上网等。
5.7兼容不同的操作系统
在企业中,终端设备多以微软Windows为主。
但同一企业中,常常存在这不同版本的Windows,如:
Win98,Win2000,WinXP,WindowsVista等。
不同版本的操作系统所带的软件不同。
在一个企业中,也常会出现苹果操作系统,Linux,Unix等。
要想做到对这些操作系统兼容,只有用操作系统自带的游览器作为客户端。
所以,一个好的网络准入控制平台,应该支持不需要安装客户端软件,而可以用游览器做为客户端完成接入控制。
5.8利用IP中心下发技术,建立网络隔离区
要满足以上的要求,一个方法就是利用IP中心下发技术,建立网络接入隔离区。
当一个未经确认和判断的终端接入网络时,首先对这个终端分配一个隔离区的IP网址。
隔离区的网段与办公区的网段不同,网络通讯互不相通,这就做到了网络的三层隔离。
当隔离网与办公网实现了三层隔离后,不明终端就无法通过TCP/IP协议进行网络访问。
无法访问各种应用服务器,如:
邮件服务器,财务服务器,数据库,文件服务器等。
对于一些功能较强的交换器,不但可以做到三层网络,还可以实现网络的二层隔离,即:
VLAN隔离。
这样进一步保证了办公网的网络隔离和安全。
在隔离网中,网络准入控制平台会对接入的不明终端推送认证页面。
当用户输入用户名和密码后,网络准入控制平台会鉴别用户身份和权限,对用户使用的终端分配办公网的IP网址。
5.9配合接入设备,防止私改IP网址
私改IP的情况多发生于固定IP的网络中。
国内一些部门,为了能及时确定IP的使用者,常常对每个人使用的终端指定IP网址。
但是由于缺乏静态IP、中心下发的技术,因此多采用在终端上设置并绑定IP网址。
让每一个用户学会设置IP网址是一件耗时耗力的事情。
同时,一旦用户学会了如何设置IP网址,就总会有用户因为各种各样的原因,自己私改IP网址。
网管人员常常采用加装客户端软件,防止用户私改IP网址。
但是,病毒也是软件,病毒也能改变终端的IP网址。
同时,网管人员无法控制没有安装客户端软件的终端私设IP后接入网络。
要想从根本上解决这一问题,只有采取静态IP、中心下发的策略。
中心IP下发可以通过DHCP协议实现。
其实,DHCP协议只是一种中心下发的协议。
与绑定终端与IP网址并不矛盾。
比较熟悉DHCP服务器的人,就知道如何使用DHCP对特定终端下发指定IP网址。
由于,IP可以经由网络接入设备下发给终端,网络接入设备就能够记录哪个IP网址是由哪个端口分配出去的。
进而可以对网络的边界进行控制和保护。
在交换器上,这一功能被称作DHCPSnooping功能和IPSourceGuard功能。
DHCPSnooping功能可以监察DHCP协议,记录那些IP/MAC地址对是经由哪个端口下发的。
如果,从这个端口有不同的终端接入,那么交换器就会启动IPSourceGuard功能,阻断数据包上传。
所以,在设计网络准入控制平台时,应将DHCP服务器集成进去。
这样,有利于对网络的边界进行保护和控制,有利于对网址进行统一管理。
5.10对老旧网络进行ARP检测
一个好的网络准入控制平台应该具有对网络的ARP进行检测的功能。
当一个终端接入到网络中时,终端在进行网络通信时,会在网络中广播ARP请求和RARP请求。
当终端进行IP地址改动时,或进行MAC地址改动时,也同样会广播ARP请求。
对ARP的广播进行检测,可以在老旧网络中及时发现非法终端的接入和私改、私设IP地址。
五、总结
网络准入控制是非常重要和关键的,但由于现有网络设备厂家的利益和技术能力的限制,常常无法做到即兼容老旧设备和老旧网络,又不用安装客户端。
这也就造成了网络准入控制的实施难度。
拓帆提出了一种新的网络准入控制的方案:
既不用安装客户端,又可以兼容老旧网络。
这样,不但节省了企业的成本,减少了企业实施网络准入控制的难度,而且使企业可以分步骤,分阶段地实施网络准入控制。
拓帆的产品在实现网络准入控制的基础上,更前进了一步。
拓帆的产品以网络边界保护为基础,对网址进行管理,保证了人与网址的对应关系。
帮助企业实现了实名制网络。
同时,拓帆产品还可以同各厂家的各种网络设备进行了整合。
使得网管人员可以对网络按人、按部门、按级别进行实名制网络管理。
使得企业可以更高效、更安全地管理网络。
升级会员 