在內網(wǎng)安全管理中�����,準入控制是所有終端管理功能實現(xiàn)的基礎所在��,采用準入控制技術能夠主動監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài),將不安全的電腦隔離�����、進行修復�。準入控制技術與傳統(tǒng)的網(wǎng)絡安全技術如防火墻、防病毒技術結合���,將被動防御變?yōu)橹鲃臃烙�,能夠有效促進內網(wǎng)合規(guī)建設�,減少網(wǎng)絡事故。
目前的準入控制技術主要分為兩大類:基于網(wǎng)絡的準入控制和基于主機的準入控制���������;诰W(wǎng)絡的準入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技術、EAPOU(Extensible Authentication Protocol Over UDP)技術;基于主機的準入控制主要有應用準入控制���、客戶端準入控制�����。
1. 基于網(wǎng)絡的準入控制
EAPOL
EAP是Extensible Authentication Protocol的縮寫�,EAP最初作為PPP的擴展認證協(xié)議,使PPP的認證更具安全性���。無線局域網(wǎng)興起后���,人們在無線局域網(wǎng)接入領域引入了EAP認證,同時設計了專門封裝和傳送EAP認證數(shù)據(jù)的IEEE 802.1x協(xié)議格式�����。802.1x協(xié)議除了支持WLAN外�����,也支持傳統(tǒng)的其他局域網(wǎng)類型����,比如以太網(wǎng)、FDDI���、Token Ring。EAP與802.1x的結合就是EAPOL(EAP Over LAN),或者稱為EAP over 802.1x�。作為一種標準局域網(wǎng)的數(shù)據(jù)包協(xié)議,802.1x幾乎得到所有網(wǎng)絡設備廠商的支持�����。
EAPOL不僅能用來解決終端電腦身份認證的問題�����,也可以用來認證電腦的安全狀態(tài)���。在進行身份認證的同時�����,“順便”檢查終端電腦的安全狀態(tài)����,并能根據(jù)認證狀態(tài)設置端口狀態(tài)��,動態(tài)切換VLAN����,或者下載ACL列表����。因為802.1x協(xié)議被網(wǎng)絡廠商廣泛支持�����,所以EAPOL是支持范圍最廣的網(wǎng)絡準入技術��。EAPOL的優(yōu)點是它可以做到最嚴格的準入控制�����,控制點是網(wǎng)絡的接入層交換機��,最接近終端電腦����,對不符合策略的電腦可以完全禁止其訪問任何網(wǎng)絡,使其對網(wǎng)絡的危害最小���。
EAPOL除了需要網(wǎng)絡設備支持以外���,還需要一系列相關配套的軟件,比如Cisco的NAC�、H3C的EAD��、啟明星辰的天珣內網(wǎng)安全風險管理與審計系統(tǒng)等。
EAPOU
網(wǎng)絡準入的概念是由Cisco普及的�����,Cisco的NAC除了包含前面討論的EAPOL�,還有EAPOU(EAP Over UDP)。與EAPOL國際標準協(xié)議不同的是�,EAPOU是Cisco的專有協(xié)議,即獨家技術�����。EAPOU是Cisco NAC技術的第一個實現(xiàn)版本��,2003年最早在Cisco的路由器上實現(xiàn)�,后來在Cisco的3層交換機上也實現(xiàn)了EAPOU。EAPOL是在網(wǎng)絡接入層進行準入控制���,而EAPOU則是在網(wǎng)絡的匯聚層或核心層進行準入控制���。
EAPOU的工作原理是當支持EAPOU的匯聚層設備接收到終端設備發(fā)來的數(shù)據(jù)包時,匯聚層EAPOU設備將要求終端設備進行EAP認證���。EAP認證包封裝在UDP包內����,在EAP認證的內容中,身份認證其實并不重要�,重要的則是安全狀態(tài)認證。如果安全狀態(tài)不符合企業(yè)策略���,匯聚層EAPOU設備將從策略服務器上下載ACL�����,限制不安全的客戶端的網(wǎng)絡訪問�����,并對其進行修復�。
EAPOU技術的優(yōu)點是它對網(wǎng)絡接入設備要求不高�,因而覆蓋面較高; 而且匯聚層設備一般明顯少于接入層設備,因此部署相對要容易一些���。目前支持EAPOU的設備只有Cisco的路由器和3層交換機���,相關配套的系列軟件為NAC�。
2. 基于主機的準入控制
如果用戶的網(wǎng)絡設備不支持網(wǎng)絡準入����,或不想花費太多的部署和管理時間,還可以進行基于主機的準入控制����。在此處主機是指網(wǎng)絡中除網(wǎng)絡設備之外的電腦主機�����,包括服務器和電腦終端������;谥鳈C的準入控制最大特點就是容易部署。
系統(tǒng)及應用準入是在服務器的操作系統(tǒng)上安裝準入控制軟件�,當電腦終端訪問服務器時,準入控制軟件會檢查對方的安全狀態(tài)�,如果符合策略則允許訪問,如果不符合將拒絕對方的訪問�����,并給出相關提示。而客戶端準入控制是終端相互之間進行訪問時����,安裝在終端上的軟件也會檢查對方的安全狀態(tài)�;谥鳈C的準入控制點一般安裝在代理服務器、郵件服務器����、內網(wǎng)Web服務器、DNS服務器上或DHCP服務器上�����。這些服務器是企業(yè)內部員工最常訪問的服務器�����,因此準入效果較好�����,覆蓋面廣���。實際部署時�,一般只需在一到兩個服務器上部署控制點即可做到對全局的準入控制。
基于主機的準入控制優(yōu)點首先是容易部署��,一般網(wǎng)絡準入配置起來都較復雜���,不同型號的設備的配置都各不相同�����,如果網(wǎng)絡規(guī)模較大,配置的工作量極其巨大�����,而基于主機的準入控制只需要在對應的主機上安裝一個軟件�,相對而言容易得多。第二是適應性好��、覆蓋面廣����、不依賴任何網(wǎng)絡設備的支持,可有效保護企業(yè)已有的投資��。第三是對網(wǎng)絡性能沒有影響���,基于網(wǎng)絡的準入控制在運行時會根據(jù)客戶端的認證狀態(tài)和安全狀態(tài)改變自己的狀態(tài)���,比如VLAN切換和動態(tài)ACL加載����,這或多或少都將影響設備或網(wǎng)絡的性能��,特別是在大規(guī)模網(wǎng)絡環(huán)境下���,這一點不能忽視������;谥鳈C的準入控制將其控制分散到每個終端和主機上�,終端的狀態(tài)變化對網(wǎng)絡沒有任何影響。第四是其訪問控制功能是所有方案中最強的��,基于主機的準入控制能夠做到基于進程的訪問控制����,以及基于進程的帶寬管理,因此對蠕蟲、木馬的防治就能更加積極主動�����;谥鳈C的準入控制的缺點主要是控制強度較弱���,系統(tǒng)及應用準入控制點處于企業(yè)網(wǎng)絡的核心,遠離終端��,而客戶端準入依賴于網(wǎng)絡中已經廣泛部署的客戶端��。
目前采用基于主機的準入控制技術的產品主要有微軟的NAP�、啟明星辰的天珣內網(wǎng)安全風險管理與審計系統(tǒng)等。隨著內網(wǎng)安全的不斷被企業(yè)重視��,相信會有更多的廠商關注基于主機的安全準入控制隊伍中來�。
