网络接入控制解决方案

网络接入控制解决方案

目录

1.前言 (4)

2.网络接入控制的必要性 (5)

3.某网络接入控制解决方案 (6)

3.1.方案概述 (6)

3.2.建设目标 (6)

3.3.某网络接入控制方案实现 (7)

3.3.1.网络接入控制流程 (7)

3.3.2.基于802.1x协议的准入控制方案 (8)

3.3.3.基于接入网关的准入控制方案 (17)

3.3.4.基于EOU技术的准入控制方案 (27)

3.3.5.基于VIFR技术的准入控制方案 (32)

3.3.6.其他网络准入控制辅助技术 (34)

4.方案总结 (37)

1.前言

技术的日益更新带来了动态而无定形的安全生态系统。现今，复杂的网络环境需要具有较高动态性和可扩展性的安全解决方案，可以应对不同类型的威胁和黑客攻击。安全技术解决方案现已紧密集成到网络的基础结构中。

研究人员发现大多数安全漏洞源于网络内部，在一段时间内并不能被检测出来。安全漏洞可对机构造成破坏，如终端服务、损失收益、增加清除开销、机构名誉受损、客户满意度降低以及法律风险。

传统的安全产品和技术都是相互独立工作的，如防火墙、访问控制措施和入侵检测与防护系统，并不能提供充足的防御来抵抗内部的威胁。因为这些产品和技术主要面向网络外部的攻击。

安全挑战不断增加，仅进行边界防御远远不够。因为边界防御使用传统方法和独立的运行方式，已不能应对现今出现的安全挑战。安全模型正快速的由被动模型向主动模式转变。

而网络接入控制则带来了新的安全时代。从根本上说，网络接入控制限制谁能够进入这个网络以及一旦连接之后他们能够做什么。它使用身份识别和共同安全策略规定用户能够访问哪里和能够访问哪些信息，同时还能够扫描适当的杀毒软件和其它网络威胁防护软件。其核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。

2.网络接入控制的必要性

当前企业内网缺乏必要的网络准入控制手段，无法确认连入内网的终端是否会给内网的带来安全风险，诸如：

◆接入网络的终端自身安全性无法确认或者无法保证；

◆外部非法计算机终端随意接入网络；

◆内部合法计算机终端访问未授权网络资源；

◆内部合法计算机终端滥用网络资源。

◆Windows 操作系统的安全漏洞，易被黑客或者病毒利用，比如造成蠕虫病

毒泛滥

◆员工安装非授权的危险软件，或者没有安装指定的安全软件（如杀毒软件）

网络接入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。

网络准入控制最大的挑战在于网络环境的复杂性，主要归结为以下几方面：

◆终端用户的多样性- 雇员、客户、供应商和合作伙伴；

◆终端设备的多样性- 公司自有设备，家中的PC ，第三方人员笔记本；

◆终端接入方式的多样性- 有线、无线、虚拟私有网(VPN) 和拨号。

由此可见，对终端设备的随意接入的管理是至关重要的，要想实现对内网的安全管理，首先需要从终端设备随意接入内网这个环节入手。

3.某网络接入控制解决方案

3.1. 方案概述

网络接入控制功能可以保护整个企业内部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。利用某网络接入控制功能，企业能够强制提升他们终端安全的能力，保证企业网络保护机制不被间断，配置正确无误，以及补丁拥有最新的时效性，以防御网络安全威胁。与此同时基于网络接入控制网关。还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过某网络接入控制可以满足企业要求，将网络接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供某网络接入控制的执行。某内网安全管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。

3.2. 建设目标

为了保证内网的安全，某接入的方案在终端接入内网这个环节做好管理的同时，对该环节可能带来的潜在风险建立严格的防范控制体系。

某网络接入控制安全策略保证网络及终端整合杀毒、交换机、边界设备等其他安全技术，全面解决以上问题同时实现以下功能：

企业安全策略的自动强制－取代传统低效的周期性安全审计，保证已经梳理

过的安全问题不会重新抬头；

◆网络的自动防御－自动实现对病毒和黑客软件的防、堵、围，减少网络瘫痪；

◆网络的自动愈合－自动修复受损终端，无需消耗大量人力资源和时间去定

位、隔离和修复这些系统；

◆判断设备是否运行操作系统的授权版本；

◆通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复；

◆判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件；

◆确保已打开并正在运行防病毒技术；

◆判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软

件；

◆检查设备的企业镜像是否已被修改或篡改。

3.3. 某网络接入控制方案实现

3.3.1.网络接入控制流程

3.3.2.基于802.1x协议的准入控制方案

3.4.1.1.802.1x协议认证描述

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：

1. 客户端。安装在用户的终端上（集成在EDP Agent里），当用户有网络访问需