終端安全系列談：准入控制保障「內網合規」

【賽迪網-IT技術報道】隨著網絡應用的日趨複雜，計算機終端已不再是傳統意義上我們所理解的「終端」，它不僅是內網中網線所連接的PC機，更是網絡中大部分事物的起點和源頭－－是用戶登錄並訪問網絡的起點、是用戶透過內網訪問Internet的起點、是應用系統訪問和資料產生的起點；更是病毒攻擊的源頭、從內部發起的惡意攻擊的源頭和內部保密資料盜用或失竊的源頭。因此，也只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的源頭、遏制由內網發起的攻擊和破壞。

在內網安全管理中，准入控制是所有終端管理功能實現的基礎所在，採用准入控制技術能夠主動監控桌面電腦的安全狀態和管理狀態，將不安全的電腦隔離、進行修復。准入控制技術與傳統的網絡安全技術如防火牆、防病毒技術結合，將被動防禦變為主動防禦，能夠有效促進內網合規建設，減少網絡事故。

目前的准入控制技術主要分為兩大類：基於網絡的准入控制和基於主機的准入控制。基於網絡的准入控制主要有EAPOL（Extensible Authentication Protocol Over LAN）技術、EAPOU（Extensible Authentication Protocol Over UDP）技術；基於主機的准入控制主要有應用准入控制、客戶端准入控制。

1.基於網絡的准入控制

・EAPOL

EAP是Extensible Authentication Protocol的縮寫，EAP最初作為PPP的擴展認證協議，使PPP的認證更具安全性。無線局域網興起後，人們在無線局域網接入領域引入了EAP認證，同時設計了專門封裝和傳送EAP認證資料的IEEE 802.1x協議格式。802.1x協議除了支持WLAN外，也支持傳統的其他局域網類型，比如以太網、FDDI、Token Ring。EAP與802.1x的結合就是EAPOL（EAP Over LAN），或者稱為EAP over 802.1x。作為一種標準局域網的資料包協議，802.1x幾乎得到所有網絡設備廠商的支持。

EAPOL不僅能用來解決終端電腦身份認證的問題，也可以用來認證電腦的安全狀態。在進行身份認證的同時，「順便」檢查終端電腦的安全狀態，並能根據認證狀態設置端口狀態，動態切換VLAN，或者下載ACL列表。因為802.1x協議被網絡廠商廣泛支持，所以EAPOL是支持範圍最廣的網絡准入技術。EAPOL的優點是它可以做到最嚴格的准入控制，控制點是網絡的接入層交換機，最接近終端電腦，對不符合策略的電腦可以完全禁止其訪問任何網絡，使其對網絡的危害最小。

EAPOL除了需要網絡設備支持以外，還需要一系列相關配套的軟體，比如Cisco的NAC、H3C的EAD、啟明星辰的天內網安全風險管理與審計系統等。

・EAPOU

網絡准入的概念是由Cisco普及的，Cisco的NAC除了包含前面討論的EAPOL，還有EAPOU（EAP Over UDP）。與EAPOL國際標準協議不同的是，EAPOU是Cisco的專有協議，即獨家技術。EAPOU是Cisco NAC技術的第一個實現版本，2003年最早在Cisco的路由器上實現，後來在Cisco的3層交換機上也實現了EAPOU。EAPOL是在網絡接入層進行准入控制，而EAPOU則是在網絡的匯聚層或核心層進行准入控制。

EAPOU的工作原理是當支持EAPOU的匯聚層設備接收到終端設備發來的資料包時，匯聚層EAPOU設備將要求終端設備進行EAP認證。EAP認證包封裝在UDP包內，在EAP認證的內容中，身份認證其實並不重要，重要的則是安全狀態認證。如果安全狀態不符合企業策略，匯聚層EAPOU設備將從策略伺服器上下載ACL，限制不安全的客戶端的網絡訪問，並對其進行修復。

EAPOU技術的優點是它對網絡接入設備要求不高，因而覆蓋面較高; 而且匯聚層設備一般明顯少於接入層設備，因此部署相對要容易一些。目前支持EAPOU的設備只有Cisco的路由器和3層交換機，相關配套的系列軟體為NAC。

2.基於主機的准入控制

如果用戶的網絡設備不支持網絡准入，或不想花費太多的部署和管理時間，還可以進行基於主機的准入控制。在此處主機是指網絡中除網絡設備之外的電腦主機，包括伺服器和電腦終端。基於主機的准入控制最大特點就是容易部署。

系統及應用准入是在伺服器的操作系統上安裝准入控制軟體，當電腦終端訪問伺服器時，准入控制軟體會檢查對方的安全狀態，如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，並給出相關提示。而客戶端准入控制是終端相互之間進行訪問時，安裝在終端上的軟體也會檢查對方的安全狀態。基於主機的准入控制點一般安裝在代理伺服器、郵件伺服器、內網Web伺服器、DNS伺服器上或DHCP伺服器上。這些伺服器是企業內部員工最常訪問的伺服器，因此准入效果較好，覆蓋面廣。實際部署時，一般只需在一到兩個伺服器上部署控制點即可做到對全局的准入控制。

基於主機的准入控制優點首先是容易部署，一般網絡准入配置起來都較複雜，不同型號的設備的配置都各不相同，如果網絡規模較大，配置的工作量極其巨大，而基於主機的准入控制只需要在對應的主機上安裝一個軟體，相對而言容易得多。第二是適應性好、覆蓋面廣、不依賴任何網絡設備的支持，可有效保護企業已有的投資。第三是對網絡性能沒有影響，基於網絡的准入控制在運行時會根據客戶端的認證狀態和安全狀態改變自己的狀態，比如VLAN切換和動態ACL加載，這或多或少都將影響設備或網絡的性能，特別是在大規模網絡環境下，這一點不能忽視。基於主機的准入控制將其控制分散到每個終端和主機上，終端的狀態變化對網絡沒有任何影響。第四是其訪問控制功能是所有方案中最強的，基於主機的准入控制能夠做到基於進程的訪問控制，以及基於進程的帶寬管理，因此對蠕蟲、木馬的防治就能更加積極主動。基於主機的准入控制的缺點主要是控制強度較弱，系統及應用准入控制點處於企業網絡的核心，遠離終端，而客戶端准入依賴於網絡中已經廣泛部署的客戶端。

目前採用基於主機的准入控制技術的產品主要有微軟的NAP、啟明星辰的天內網安全風險管理與審計系統等。

作為內網終端計算機的信息中心和管理平台，啟明星辰天內網安全風險管理與審計系統全面的多層准入控制機制構建出完善的內網「安檢」系統，支持包含802.1X協議、EOU協議的網絡准入控制、支持在DHCP、DNS、EXCHANGE等伺服器上配置策略網關的應用准入控制，在通過以上二種認證准入機制合法進入內網的終端之間，還可以進一步進行客戶端准入控制，目前更可支持與啟明星辰天清漢馬USG一體化安全網關（UTM）的防火牆聯動准入控制。利用多種准入控制模式的有機組合，天能夠各取所長、協同防禦，引領了內網安全管理模式的變革，改變了以「被動的、以事件驅動」為特徵的傳統內網安全管理模式，全面提升內網安全防護級別和准入控制能力，幫助用戶構建起安全可信的合規內網。

(