內(nèi)網(wǎng)準入方案-0903

網(wǎng)絡(luò)準入解決方案一．引入網(wǎng)絡(luò)準入的原因隨著計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)的發(fā)展、應(yīng)用的日趨復(fù)雜，計算機終端已不再是傳統(tǒng)意義上我們所理解的“終端”，它不僅是網(wǎng)線所連接的PC，還包括手機、PAD等各類新式的移動設(shè)備。這些形形色色的終端給信息安全工作帶來了巨大挑戰(zhàn)：類型眾多，以各種方式接入;并且是大部分事物的起點和源頭：是用戶登錄并訪問網(wǎng)絡(luò)的起點、是用戶訪問Internet的起點、是應(yīng)用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點、更是病毒攻擊、從內(nèi)部發(fā)起惡意攻擊和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此，終端安全管理對每個企業(yè)來說都極其重要，只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的啟始、遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞?；谏矸莸木W(wǎng)絡(luò)服務(wù)(IBNS)能夠在用戶訪問網(wǎng)絡(luò)訪問之前確保用戶的身份是信任關(guān)系。但是，識別用戶的身份僅僅是其中一部分，盡管依照總體安全策略，用戶有權(quán)進入網(wǎng)絡(luò)，但是其使用的計算機可能不適合接入網(wǎng)絡(luò)。這種情況是因為筆記本電腦等移動計算設(shè)備的普及提高了用戶的生產(chǎn)率，但是同時會產(chǎn)生一定的問題：這些計算設(shè)備很容易在外部感染病毒或者蠕蟲，當它們重新入公司網(wǎng)絡(luò)時，就會將病毒等惡意代碼在不經(jīng)意之間帶入公司工作環(huán)境。二．在當前的信息網(wǎng)絡(luò)應(yīng)用環(huán)境下，網(wǎng)絡(luò)管理者普遍面臨和需要解決如下終端安全問題：網(wǎng)絡(luò)邊界不清晰網(wǎng)絡(luò)中有多少臺終端在工作？有沒有外來終端入侵？有多少網(wǎng)絡(luò)設(shè)備？終端連接狀況如何？使用人員難以確定誰在操作終端？有沒有人進行越權(quán)訪問？有沒有進行非法操作？如何盡快發(fā)現(xiàn)和管理？BYOD帶來巨大挑戰(zhàn)BYOD（Bring?Your?Own?Device，自帶設(shè)備辦公）設(shè)備是否有漏洞？安全設(shè)置是否符合安全規(guī)定？帶離辦公區(qū)后會不會被攻擊？是否會將外部的攻擊帶入辦公區(qū)？4、終端安全狀況不清晰終端的操作系統(tǒng)環(huán)境是否安全？終端的軟件環(huán)境是否合規(guī)？終端是否符合安全基線要求？??5、各種安全制度難以落實，針對終端和網(wǎng)絡(luò)使用的各項安全制度，是否能夠快速落實和檢查？??6、防護系統(tǒng)眾多難以整合各種防護系統(tǒng)如何進行統(tǒng)一管理？各防護系統(tǒng)的安全數(shù)據(jù)如何整合？三．網(wǎng)絡(luò)準入方式對比：802.1x(或EoU)網(wǎng)關(guān)型DHCPARP干擾IP+MAC技術(shù)特點非授權(quán)終端不能訪問任何網(wǎng)絡(luò)資源，不能對網(wǎng)絡(luò)產(chǎn)生任何破壞性影響非授權(quán)終端不能訪問受網(wǎng)關(guān)保護的網(wǎng)絡(luò)資源，但終端之間可以直接相互訪問，只能控制終端訪問外網(wǎng)終端可以通過自行IP等手段，繞開DHCP準入控制終端可以通過自行設(shè)置本本機的路由、ARP映射等繞開ARP準入控制全局的ipsourceguard功能來實現(xiàn)部署要求無須調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，要求網(wǎng)絡(luò)設(shè)備支持802.1x（或EoU）需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，需要專門的網(wǎng)關(guān)無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，需在每個網(wǎng)段部署專用DHCP服務(wù)器無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，需要在每個網(wǎng)段設(shè)置ARP干擾器無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)性能影響不會降低網(wǎng)絡(luò)的可靠性、性能會給網(wǎng)絡(luò)帶來可靠性、性能問題不會降低網(wǎng)絡(luò)的可靠性、性能過多的ARP廣播包會給網(wǎng)絡(luò)帶來諸多性能、故障問題不會降低網(wǎng)絡(luò)的可靠性、性能支持廠商Cisco/huawei/Leagsoft/奇安信以防火墻廠商為主Microsoft等軟件廠商非主流廠商三層交換機適合對象所有規(guī)模的網(wǎng)絡(luò)用戶不適合大規(guī)模組網(wǎng)中小網(wǎng)絡(luò)小網(wǎng)絡(luò)小網(wǎng)絡(luò)標準化國際標準，或主流技術(shù)非標準國際標準非標準非標準四．開源方案：支持802.1x的交換機+freeradius+openldap（ad域控）優(yōu)點：強準入，在核心交換機上開啟802.1x協(xié)議，接入域控，為每個員工分配域控賬號密碼。缺點：可能需要給不懂技術(shù)的員工，指導(dǎo)他們開啟接入的功能。支持802.1x的交換+深信服上網(wǎng)行為管理系統(tǒng)+openldap（ad域控）優(yōu)點：其他的同上，可以設(shè)置認證重定向界面，支持認證方式：賬號密碼認證、AD域單點登錄、外部證書認證。缺點：實際效果未知，需要測試。固定ip+MAC優(yōu)點：改動最小，只需要把ip和mac綁定即可。缺點：工作量比較大，給所有的員工分配ip，把員工的mac地址收集起來，再進行綁定，如有員工離職，還需要解綁。（4）802.1X+MAC認證五．廠商準入產(chǎn)品的優(yōu)點：六．深圳、北