NETWORKS,INC.
北京艾科网信科技有限公司
ACK Networks, Inc.
2010年3月11日
版本号:V 2.1
免责声明
北京艾科网信科技有限公司(简称:ACK)努力在这份文档中提供准确的信息. 但ACK公司对于信息的准确性和完整性将不负有法律责任. 如果用户需要更多特殊的信息, 用户可以直接联系ACK公司. 另外, 除非签署一个正式的协议, ACK公司的产品信息是不会包括任何担保、保修或合法捆绑。
获得更多信息
如果想获得ACK公司的ID网络解决方案及A 系列产品的更多信息, 请访问ACK公司网站 https://www.doczj.com/doc/6710372736.html,.
公司总部
北京艾科网信科技有限公司
北京市海淀区上地信息路1号国际创业园B座3层
(86-10) 8289-5585 (总机)
(86-10) 8289-3915 (传真)
目录
一.概述 (2)
二.网络安全存在的问题及解决方案 (3)
非法外联的问题 (3)
保证内、外网隔离的问题 (4)
保证网络边界完整的问题 (4)
防止私改网址,IP网址无法可控的问题 (4)
内网无法实名制的问题 (4)
保证终端设备合规性和安全性的问题 (4)
细粒度网络访问控制权限可实现的问题 (4)
无法支持移动办公的问题 (5)
无法支持第三方合作人员单独成安全域的问题 (5)
实名制ID网络解决方案 (5)
三.目前各种网络准入控制的方案及问题 (5)
老旧设备兼容问题 (5)
老旧设备兼容问题 (5)
要求安装客户端 (6)
需要改变网络结构 (6)
不同厂家设备兼容问题 (6)
影响高管人员上网问题 (7)
各种设备统一控制问题 (7)
网络变动和移动办公的问题 (7)
四.一种新的网络准入控制解决方案 (8)
新的网络准入控制解决方案 (8)
建立一个网络准入控制的平台 (8)
兼容不同厂家、不同年代的网络接入设备 (9)
兼容不同的操作系统 (9)
利用IP中心下发技术,建立网络隔离区 (10)
配合接入设备,防止私改IP网址 (10)
将认证(AAA)功能结合进入网络准入控制平台,实现按人、按部门、按级别实现网络准入控制 (11)
对老旧网络进行ARP检测 (11)
五.艾科网信的ID网络安全管理平台 (11)
兼容老旧系统的网络准入控制 (11)
身份鉴别和访问控制 (13)
网址管理和网段划分 (14)
统一认证和管理 (15)
日志的实名转换和审计 (15)
升级现有网络,建立ID网络 (15)
六.总结 (16)
1
概述
一一
南方某省电信为适应技术发展,不断与外单位合作开发项目。但是,外协单位的合作人员在为电信带来了所需的服务和收入的同时,还带来了病毒!电信网管人员分析后发现,合作人员机子带有病毒,由于没有进行网络准入控制和网络隔离,合作人员的机子接入了电信的办公内网。带有病毒的终端,使得电信办公网络上的所有设备都感染了病毒。
我国某大集团公司,在全国范围内建立了集团、省、地、县为一体的四级支撑网络,全面实施了集团的信息化建设,大幅提高了集团的管理效率。由于集团的业务关系到我们国家的国计民生,为加强信息安全,集团进行了大规模的投入,实现了办公内网和外网的物理隔离。但实现物理隔离后,陆续发生有员工将办公内网与外网通过Hub、路由器能进行联通,或将个人笔记本带入内网,造成非法外联,破坏了办公内网和外网的物理隔离。
中央某部委机构,为保证内部信息系统安全,建立其了一套证书CA系统。但却发现许多人员不使用证书也能进入网络。在网络层对内部信息系统构成了威胁。同时,由于内网纵向贯通,也无法有效地分清下属单位进入中央部委的人员身份。很难做到内部审计。
我国某保密单位,为了保证单位网络的安全,花了很大的精力,对网络地址进行了规划,同时对网络的IP地址和交换机端口进行了绑定。但当单位进行部门调整后,网管人员又花费了大量精力对员工网络地址和访问控制策略进行了调整。由于时间紧,工作量大,经常发生设置错误。在进行了几次调整后,访问策略和绑定的错误越来越多。同时,由于常有几个人员共有同一个终端的情况,IP地址的绑定无法定位到人,对访问控制策略的设置和今后的审计都造成了很大的难度。北方某移动,虽然采购了大量的网络审计和控制设备,放在网络的出口处,但却发生有员工利用3G网卡,绕过公司内网,联到外网,将用户信息传出移动。
经这并不是个别单位的单独问题。随着我国信息系统建设的普及和成熟,企业的信息系统和网络变得越来越复杂。企业间的合作也变得非常普遍。这就要求各个企业必须对网络接入进行管理。同时,由于企业合作增多、移动办公的要求、人员流动的加快,对企业内部网络的边界保护就变得非常重要。
美国著名调研机构Gartner研究表明,鉴于终端的非法使用和病毒泛滥,美国80%的受访企业想要采用网络准入控制(NAC)。
目前网络接入的方案大致有两类:
一、更新交换机方案;
二、改变网络结构,新增在线设备方案。
由于企业的网络经历了长期的建设而形成的,将所有网络设备更新或对网络结构进行改动,都具有很大的难度。因此,这两种方案的可实际操作性不强。这也是大多数企业无法实施网络接入的原因。
北京艾科网信提出一种新的、不同于以上两种的网络准入控制(NAC)方案。这种新方案将常见的两种准入控制技术融入进来,并进行创新,解决了无法保证网络边界完整和与企业老旧设备和系统兼容的问题。使得企业在不用更新网络设备、不用改变网络结构、不用安装客户端的情况下,实现网络实名制准入控制。
艾科网信公司并在准入控制的基础上,对目前各大企事业单位普遍存在的非法外联、无法保证网络边界完整、无法做到网络出口唯一、无法做到IP地址中心下发、统一管控、无法做到内部网络实名制等问题提出了一套系统的、可实现的实名制ID网络安全解决方案。
本文对艾科网信的实名制ID网络技术进行介绍。同时对目前几种常见的网络准入技术方案进行了详细介绍。对各种方案形成的深层原因进行了分析。并列举出了几家有代表性的厂家,对他们的产品进行分析和比较。
2
网络安全存在的问题及解决方案
二一
综上所述,我们将目前我国存在的网络层安全问题归纳如下:
1.
非法外联的问题
2.
保证内、外网隔离的问题
3.
保证网络边界完整的问题
4.
防止私改网址,IP网址无法可控的问题
5.
内网无法实名制的问题
6.
保证终端设备合规性和安全性的问题
7.
细粒度网络访问控制权限可实现的问题
无法支持移动办公的问题
8.
9.
无法支持第三方合作人员单独成安全域的问题
非法外联的问题
非法外联是指将未经授权的终端、介质或网络设备接入内部网络,造成内部网络的信息泄漏到外
部网络。
经常出现的非法外联现象有:
1.
通过Hub、交换机或路由器将内网与外网联通;
2.
通过一机双网卡,一张网卡接内网,一张网卡接外网,将内网和外网联通;
在本机运行代理,将内网和外网联通;
3.
4.
将私人电脑接入内网;
5.
内网终端插无线3G网卡进行上网;
6.
通过无线WiFi,联到外网无线AP。
7.
内网私接无线WiFi AP,将外网终端联入内网;
非法外联的问题,给企业的网络安全埋下了巨大的安全隐患。由于,大型企业在内部网络的上下
级间的防护较差,同时对本单位内部的网络又没有进行细粒度安区域的划分和管控,一旦有一个
单位发生非法外联、内外网联通,就会造成整体内网与外网联通。使得内外网物理隔离的大量前
期投入化为乌有。
3
保证内、外网隔离的问题
目前,大多数重要企业都进行了物理隔离。但这种物理隔离仅限于网络的基础结构的物理隔离。对接入内网和外网的终端并没有进行很好的管控。如何保证内网与外网不发生互联,如何保证内、外网终端和笔记本不发生误接和混接,是各大企业急需解决的问题。
保证网络边界完整的问题
由于笔记本、上网本、手机终端等设备的兴起,同时由于ADSL,WiFi和3G等网络接入手段的不断出现,用户可以很容易地、在任何时间、任何地点实现跨网络联接。正是由于这种原因,信息内网已无法按照传统的网线和交换机端口来保证网络边界的完整。
网络边界很有可能因为ADSL,WiFi,3G的联出,造成网络边界的被破坏,造成有不明终端穿越网络边界接入。
网络边界的防护不能仅限于网络出口的保护,而是应该是所有网络边界的防护。
防止私改网址,IP网址无法可控的问题
我国企业,尤其是保密或涉密单位,目前多采用IP网络统一规划,终端单独设置IP地址的方法来管理网络。这种管法的优点在于,可以通过IP和人关联,实现对用户的网络行为进行管理和审计。
但是,随着网卡管理技术的普及,越来越多的人知道如何重新设置网卡的IP地址和MAC地址。由于,企业授权每个用户可以自己设置IP地址,因此常常发生用户将自己的IP地址设为他人的IP地址,造成网络管理和安全问题。
同时,允许私设和私改IP/MAC地址,就无法根除ARP病毒。
要解决私设和私改IP/MAC地址的问题,要彻底根除ARP病毒,就必须从根本上改变允许终端用户自己设置IP的问题。而采取IP网址中心下发,统一管理的新技术和新的管理方法。
内网无法实名制的问题
企业管理IP网址的方法,通常有DHCP和静态IP两种管理方法。但两种方法都无法保证IP地址实名管理和审计的问题。
在DHCP环境下,由于IP地址动态分配,无法保证指定终端永远获得同一个IP地址。就更无法确定IP地址使用者的身份。
在静态IP的环境下,由于无法很好地解决私改、私设IP地址的问题,因此也无法确定IP使用者的唯一性。
保证终端设备合规性和安全性的问题
大多数企业没有很好的技术手段,配合相应政策,保证所有终端在接入办公内网前,安装和运行了规定的桌面软件、杀病毒软件和必须的控制软件。
另外,企业也很难保证保证终端进行了必要的补丁更新。也无法保证所有进入网络的终端进行了必要的补丁更新。
细粒度网络访问控制权限可实现的问题
目前,大多数企业没有对企业内部网络按人、按部门、按级别和按等级保护安全等级划分不同级别的安全域,进行分权限的管理。同时,由于技术条件的限制,企业无法很好地保护各安全域的边界,也无法对安全域之间的访问进行控制。
由于缺乏安全域的划分,企业内部网络就会造成一马平川,没有分层保护。容易造成一点被突破,全网被攻破的局面。
4
同时,由于没有安全域的管理,网管人员无法系统地定义访问控制权限,常常是头痛医头,脚痛
医脚,遇到需求,才定义单个的点到点的访问控制权限。不但不系统、不安全,而且维护很麻
烦。
无法支持移动办公的问题
随着计算机的普及,随着笔记本电脑的越来越多,企业有移动办公的需求。由于,企业常常采用
的是IP端口绑定的方法,就无法支持员工进行移动办公。
无法支持第三方合作人员单独成安全域的问题
随着社会的发展,各单位之间的合作越来越多。当合作单位来到本单位后,需要接入公司网络。
而目前,各单位没有很好的方法,即有限度允许协助单位入网访问个别服务器,又可以避免外协
单位接触到单位内部的所有敏感信息。
实名制ID网络解决方案
艾科网信的实名制ID网络解决方案,以网络准入为基础,以IP管理为手段,采用了国际上最先进
的ID网络技术,对用户使用终端进入网络实现授权管理。同时,对网络边界进行监视和保护,对
网络按人、按部门、按级别细化安全域。并在此基础上,定义不同访问控制权限。
艾科网信的实名制ID网络安全解决方案可以很好地解决上面所提到的问题。
三一
目前各种网络准入控制的方案及
问题
老旧设备兼容问题
目前常见的有两类网络准入控制解决方案。这两种解决方案代表着两大利益团体。
一类是交换机厂家解决方案,另一类是PC软件厂家解决方案。
交换机厂家的利益在于多卖新的交换机,多卖本厂家的交换机。因此,交换机厂家的解决方案要
求企业购买新的支持802.1x协议的交换机。而PC软件厂家的利益则在于让企业更多地购买新的软
件。因此,软件厂家的解决方案要求企业必须购买新的准入控制软件,才能实现准入控制。但这
两种准入控制方案在企业实现网络准入控制中都遇到了许多问题。这些问题包括:
1.
老旧设备兼容的问题
2.
要求安装客户端的问题
3.
需要改变网络结构的问题
不同厂家设备兼容的问题
4.
5.
影响高级主管人员上网的问题
6.
各种设备统一认证的问题
7.
网络改动和安装客户端的问题
老旧设备兼容问题
企业经过多年的网络建设,多已形成了一个完整的网络。网络中存在着各种各样的老旧网络设
备。目前,大多数产家的网络准入控制方案都无法兼容老旧设备。这些产家的方案都要求企业将
已有的网络设备,如:交换机、VPN、无线AP等,接入设备进行升级。然后才能实现网络准入的
控制。
如Cisco和华三的NAC解决方案就要求用户将网络交换机升级,更换为能够支持802.1x协议的交
换机。对Cisco来讲,这样可以使现有客户花钱进行网络设备升级,从而保证Cisco的收入。但对
企业来讲,需要对交换机进行再投入,造成了不必要的浪费。
5
当企业网络形成后,由于资金、操作难度等原因,企业很难一次性的将所有设备全部进行更新。如果采用Cisco的网络准入控制方案的话,就会造成已更新的网络接入设备可以实现接入控制,而未更新的网络设备无法实现网络准入控制。无法保证网络边界的完整,就无法保证网络的安全。
要求安装客户端
目前网络准入控制的方案大多要求安装客户端。安装客户端涉及所有用户用的所有机子,影响面大。容易引起部分用户反感,实施阻力大,可实际操作性差。同时,用户的机子各式各样,操作系统版本新旧不一,安装调试难度大。
另外还有一个具体问题。由于实施网络准入控制,对没有安装客户端的机子是不允许进入网络的。目前,大部分客户端软件的安装,都是通过从网络上下载软件,然后在客户端上面进行安装。也就是说:先有网络接入,后有软件安装。但这个模式不适于网络准入控制软件的安装。网络准入控制客户端软件的要求是:先安装软件,后允许网络准入控制。实现网络准入控制,要求安装客户端,给网管人员和企业中的所有用户带来了很大的不便。
网络准入控制的另一方面要求是实现补丁软件的及时更新和防病毒软件的及时更新。如果某个用户没有及时更新补丁软件或杀毒软件,那么,这个用户的机子一旦接入网络,就会成为病毒源,感染其他健康的网上终端。
为避免这种情况的发生,企业需要每次都对网络接入的用户终端进行客户端软件的安装。同时,为防止终端接入网络,传染病毒,客户端软件的安装必须在不上网的情况下进行。这无疑加大了网管人员的日常工作。
提出安装客户端软件,实现网络准入控制的厂家主要有Symantec(赛门铁克),Macfee(迈克菲)等杀毒软件产家。这些厂家在提供杀毒软件的同时,也提供网络准入控制的软件。即使在安装客户端的情况下,他们也必须依靠新的,具有802.1x功能的交换机的配合,才能做到软件更新网络同办公内网的隔离。
Cisco,Juniper,Nortel,H3C在与交换机配合上面就具有PC软件厂家不具备的优势。但他们的劣势是他们不是PC软件厂家,没有PC软件厂家的技术优势和广大的用户群。
需要改变网络结构
PC软件厂家和网络设备厂家都意识到各自自身的问题。但各个厂家有都有各自的利益。想Cisco 等国际大厂家,从长远利益考虑,并不急于解决老旧设备几与其他厂家设备兼容的问题。而是希望用户全部使用Cisco产品,同时分阶段地,逐步更新老旧设备。另一方面,Cisco可以依靠雄厚的经济实力,不断完善更新客户端软件。不但解决了网络准入控制问题,同时也在Microsoft的领地插入一只脚。
也有些软件厂家(如:Symantec)则提出一些不需要更新网络接入设备的解决方案。他们的利益出发点是尽快销售他们的PC终端软件,在不更新网络接入设备的同时,也能实现网络准入的控制。但为了解决与不同厂家、不同年代的设备兼容的问题,他们提出了改变网络结构,增加在线设备的方案。如:Symantec要求用户加装“LAN Enforcer”,“DHCP Enforcer”,“Policy Enforcer”,“Gateway Enforcer”等。
改变网络结构对企业来讲,风险极大。而加装“DHCP Enforcer”,“Policy Enforcer”等设备又会改变用户的网络设置及工作流程。可能影响所有用户。另外Symantec 还要求企业的网络设备能够支持安装他的“Gateway Enforcer”插件。但仅有有限的厂家才支持Symantec的“Gateway Enforcer”插件。在现有的网络设备上安装第三方插件有一定的风险和难度。
不同厂家设备兼容问题
大多数厂家的网络准入设备都有兼容问题。虽然,几乎所有的厂家都宣称支持802.1x无线准入协6
议,但由于协议较新,各厂家兼容性不好。经常发生,微软的客户端无法支持交换机的802.1x接
入的现象。
所以,各网络厂家经常都自带802.1x客户端。
影响高管人员上网问题
网络准入控制的另一大问题在于对高管人员和重要人员上网的影响问题。安全和方便永远是矛盾
的。加上网络准入控制,必然会给用户带来不便。同时,会影响高管人员和重要人员的工作效
率。
目前各厂家对如何在不影响高管人员和重要人员上网的同时,实现网络准入控制并没有好的方
案。由于影响到企业的重要部门和高管人员,企业在选择和实施网络准入时,就会非常谨慎。
各种设备统一控制问题
网络准入设备不但种类多,而且数量也多。一个一千人的公司,可能有上百各包括交换机,
VPN,防火墙,IPS,无线接入等网络设备。如果对每个终端,每个交换机的端口,每个网络接入
设备进行逐一设置和管理,会造成网管人员巨大的工作量。
如何对所有新的和旧的,支持802.1x的和不支持的,有客户端的和无客户端的进行统一控制是网
管人员实施网络准入控制必须解决的问题。
网络变动和移动办公的问题
由于企业的规模增长和技术的更新,企业的网络经常会变动和更新;企业的终端会经常进行软硬
件升级。
当前,许多网络准入控制厂家常常会提供端口MAC绑定和安装客户端软件的网络准入控制方案。
端口MAC绑定存在以下问题:
1.
收集和输入终端的MAC地址。
2.
确定与交换机端口相对应的终端端口。
企业在布置网络时,会将交换机同各个办公点的网络接口连接好,并一一标明。网管人员购买新
的终端设备后,必须先将新设备的MAC地址收集好,然后确定与办公点相联的交换机端口。之
后,在交换机上对MAC地址和端口进行绑定。由于必须对每个新购入的终端进行设置,不但工作
量大,而且经常发生操作错误。
安装客户端软件存在以下问题:
1.
安装和维护终端软件很麻烦,而且工作量大。
2.
强制短期外访人员安装客户端,实际操作难度很大。
但这些问题在企业网络变动时,或员工需要移动办公时就会集中爆发出来。当企业搬家或接入设
备升级时,就要求对所有终端重新进行端口绑定。
7
四一
一种新的网络准入控制解决方案新的网络准入控制解决方案
目前的网络准入控制解决方案大致有两类。
1.
以Cisco为代表的。要求用户购置新的网络接入设备,安装新的客户端软件。
以Symantec为代表的。要求用户购买新的客户端,改变用户网络结构,加装在线设备。
2.
这两种方案都是有条件的实现了网络准入控制。这些方案是一种要求企业将从客户端到网络接入设备都进行更新,支持新的802.1x协议的纵向解决方案。
这种纵向解决方案有利于厂家推进老旧产品的更新换代,保证现有厂家的收入。但对企业来说,则存在着重复投入、系统兼容等问题。即浪费了资金,又存在着部分老旧交换机和老旧终端无法实现网络准入控制的问题。
除了以上这种纵向解决方案以外,还有另一种横向解决方案。所谓的横向解决方案就是一定要对不同厂家、不同年代、不同类型的网络设备进行支持。同时,也要对不同操作系统,不同版本的终端进行支持。
这种解决方案的优点在于即可以充分发挥新协议、新的网络接入设备的技术优点,也可以兼容老旧设备,最大限度地实现网络准入控制。
五种网络准入技术:从技术来讲,目前世界上有五种网络准入控制技术:
1.
802.1x准入控制技术;
2.
DHCP准入控制技术;
网关型准入控制技术;
3.
4.
SNMP准入控制技术;
5.
ARP准入控制技术。
802.1x准入控制技术就是交换机厂家推荐的准入控制技术。网关型准入控制技术是Symantec推荐的准入控制技术。由于网关型准入控制无法保证网络边界,因此国外企业很少采用这种准入控制方案。DHCP准入控制技术,国内企业知道的较少。SNMP准入控制技术较为复杂,掌握此技术的厂家不多。ARP准入控制技术都为国内PC软件厂家采用,但由于终端采用ARP防火墙,使得ARP攻击和欺骗不能起作用。同时,ARP准入控制造成网络阻塞,影响网络运行。
集五种网络准入技术为一体的实名制准入控制
北京艾科网信公司将以上五种技术集成在一起,并有机地融合起来,这样可以满足不同网络结构和用户需求。
建立一个网络准入控制的平台
要做到对不同厂家、不同类型的产品实现网络准入控制,就必须建立一个像Windows一样的平台。在PC领域中,PC的硬件可以是来自不同厂家的键盘、鼠标、硬盘或显示器。但当用户使用Windows时,用户完全不用考虑PC元件的厂家和类型。这其中的原理就在于,Windows建立了一个可以兼容各厂家、各种类型元件的PC软件平台。
8
9
在网络中也是这个原理。不同的是,管理的对象由PC变为了网络。PC的组件变为了网络设备。键
盘、鼠标、硬盘、网卡等变为了交换机、防火墙、无线AP、VPN、IPS等网络设备。
最大限度的利用网络接入设备的最新功能
技术总是在不断进步的,尤其是像网络准入控制这种新兴的技术,更是不断的变化。网络准入控制的设备厂家在实现新技术和新协议的时候,实现起来会有差异。同时,各厂家又会根据自己设备的特点加入一些特有的功能。
有了一个统一的平台,就可以通过对不同厂家编写不同的驱动,从而最大限度地发挥各厂家设备的特长。保证最大限度地实现网络准入控制。
如Cisco的2004年以后的三层交换机支持802.1x协议和动态VLAN下发。那么统一的平台就可以通过驱动器对接入这些交换机的用户按部门、按级别分配IP和VLAN。
兼容不同厂家、不同年代的网络接入设备
由于企业在进行信息化建设时,总会有一个过程。这就使得企业的信息系统会有不同时代的网络设备并存。另一方面,由于各个厂家的设备各有所长,一个企业的信息系统常常会有多家设备共存。
要想做到对所有信息系统的边界设备进行网络准入控制,不但要考虑到与同厂家、不同时代的设备进行兼容,同时也要考虑到与不同厂家的设备做到兼容。
要做到这一点,网络准入控制平台就必须做到符合标准网络协议。同时,灵活地运用网络协议,对终端通过网络接入设备的接入进行准入控制。
目前的信息系统经常会有多种网络接入种类的设备。其中包括:网络交换机,Hub,无线AP,VPN接入,防火墙穿越,拨号上网等。
兼容不同的操作系统
在企业中,终端设备多以微软W i n d o w s 为主。但同一企业中,常常存在这不同版本的Windows,如:Win98,Win2000,WinXP,Windows Vista等。不同版本的操作系统所带的软件不同。在一个企业中,也常会出现苹果操作系统,Linux,Unix等。
要想做到对这些操作系统兼容,只有用操作系统自带的游览器做为客户端。所以,一个好的网络
准入控制平台,应该支持不需要安装客户端软件,而可以用游览器做为客户端完成接入控制。利用IP中心下发技术,建立网络隔离区
要满足以上的要求,一个方法就是利用IP中心下发技术,建立网络接入隔离区。当一个未经确认和判断的终端接入网络时,首先对这个终端分配一个隔离区的IP网址。隔离区的网段与办公区的网段不同,网络通讯互不相通,这就做到了网络的三层隔离。
当隔离网与办公网实现了三层隔离后,不明终端就无法通过TCP/IP协议进行网络访问。无法访问各种应用服务器,如:邮件服务器,财务服务器,数据库,文件服务器等。
对于一些功能较强的交换器,不但可以做到三层网络,还可以实现网络的二层隔离,即:VLAN 隔离。这样进一步保证了办公网的网络隔离和安全。
在隔离网中,网络准入控制平台会对接入的不明终端推送认证页面。当用户输入用户名和密码后,网络准入控制平台会鉴别用户身份和权限,对用户使用的终端分配办公网的IP网址。
配合接入设备,防止私改IP网址
私改IP的情况多发生于固定IP的网络中。国内一些部门,为了能及时确定IP的使用者,常常对每个人使用的终端指定IP网址。但是由于缺乏静态IP、中心下发的技术,因此多采用在终端上设置并绑定IP网址。
让每一各用户学会设置IP网址是一件耗时耗力的事情。同时,一旦用户学会了如何设置IP网址,就总会有用户因为各种各样的原因,自己私改IP网址。
网管人员常常采用加装客户端软件,防止用户私改IP网址。但是,病毒也是软件,病毒也能改变终端的IP网址。同时,网管人员无法控制没有安装客户端软件的终端私设IP后接入网络。
要想从根本上解决这一问题,只有采取静态IP、中心下发的策略。中心IP下发可以通过DHCP协议实现。其实,DHCP协议只是一种中心下发的协议。与绑定终端与IP网址并不矛盾。比较熟悉DHCP服务器的人,就知道如何使用DHCP对特定终端下发指定IP网址。
由于,IP可以经由网络接入设备下发给终端,网络接入设备就能够记录哪个IP网址是由哪个端口分配出去的。进而可以对网络的边界进行控制和保护。
在交换器上,这一功能被称作DHCP Snooping功能和IP Source Guard功能。DHCP Snooping 功能可以监察DHCP协议,记录那些IP/MAC地址对是经由哪个端口下发的。如果,从这个端口有不同的终端接入,那么交换器就会启动IP Source Guard功能,阻断数据包上传。
10
所以,在设计网络准入控制平台时,应将DHCP服务器集成进去。这样,有利于对网络的边界进行
保护和控制,有利于对网址进行统一管理。
将认证(AAA)功能结合进入网络准入控制平台,实现按人、
按部门、按级别实现网络准入控制
将认证(AAA)功能集成进网络准入控制平台,就可以对用户通过终端接入网络进行用户的身
份鉴别。在验证了用户身份后,再按照用户的部门和级别将用户的终端放入不同的内部办公网段
中。
对老旧网络进行ARP检测
一个好的网络准入控制平台应该具有对网络的ARP进行检测的功能。
当一个终端接入到网络中时,终端在进行网络通信时,会在网络中广播ARP请求和RARP请求。当
终端进行IP地址改动时,或进行MAC地址改动时,也同样会广播ARP请求。
对ARP的广播进行检测,可以在老旧网络中及时发现非法终端的接入和私改、私设IP地址。
五一
艾科网信的ID网络安全管理平台
艾科网信通过多年与客户的沟通,积累了丰富的经验。同时,依靠长期积累的技术优势,研发出
了ID网络安全管理平台。ID网络安全管理平台以身份鉴别及认证、网址管理、网络监控和日志分
析为基础,对网络的接入进行控制。在保证网络边界的完整的前提条件下,以此平台为核心,整
合其他厂家的产品,提出了一套整体的网络安全解决方案-ID网络安全方案。
ID网络安全管理平台可以帮助企业实现以下安全功能。
ò
网络准入控制:
òArray保证网络系统边界的完整性。防止非授权接入。
控制和隔离任何非法网络接入。同时杜绝网址的
欺骗和篡改,根除ARP病毒。
ò
身份鉴别和访问控制:
ò
保证人员登录的实名性。支持多种身份识别技
术。按照人员的安全等级和接触信息的密级性强
制实施不同等级、多因素的身份认证标准。
网址管理和网段划分:
ò
ò
支持按不同的级别划分安全子系统。支持按部门、按级别对人员和设备动态实施网络隔
离。
ò
统一认证和管理:
ò
支持对不同功能、不同厂家的各种网络设备和常见的计算机系统,实现用户访问的集中控
制和统一管理。
日志实名转换和审计:
ò
ò
对网络的终端接入和退网,网址分配及认证信息进行日志记录。同时可以将其他设备的日
志进行实名转换,将日志中的IP转换成人名。可以对外部日志进行存储和查询。
兼容老旧系统的网络准入控制
目前,大多数国内外安全厂家的网络准入控制方案要求:
11
12
客户端要求安装802.1x软件。
òò接入交换机、无线接入设备等必须支持802.1x协议。
ò
ò而艾科网信的A系列产品是一
款兼容老旧网络设备,不需要
安装客户端软件,就可以实现
网络准入控制的产品。ACK的A
系列产品采用了ACK的专利技
术,充分地运用了DHCP,ARP
等协议,实现了老旧网络的接
入控制。同时,ACK的A系列
产品尽可能地结合当前最新的
802.1x, DHCP Snooping, 动
态ARP检测(DAI), IP Source Guard, Subnet-Based VLAN 等网络技术和功能,对网络准入进
行了控制。
不改变网络结构,实现
网络准入控制
对企业来说,保证现有网络
的连续性和不间断性是非常
重要的。ACK的A系列产品不
需要对企业的原有网络结构
进行改动,就可以对现有网
络设备实施全面的网络准入
控制。
不需要安装802.1x客户端,实现网络准入控制
对企业来说,安装客户端不但会加大实施的复杂性和困难程度,而且会给用户带来许多不必要的困扰。同时,在许多情况下,企业无法要求来访人员,合作伙伴必须安装指定的客户端软件。而ACK的A系列产品不需要安装客户端,无论对Windows,MAC,Unix还是Linux终端的接入都可以实施网络接入的控制。
不新增网络设备,不追加投资,实现网络准入控制
要实现网络功能的升级,不可避免地需要追加投资。企业要追求的是少投入,多产出。ACK的A 系列产品,不需要企业对原有网络设备进行追加投资,而能够对原有网络设备做到网络接入的控制。
支持802.1x协议
ACK的A系列产品不但支持非802.1x设备,同时也支持最新的802.1x的接入设备和客户端。由于ACK的设备集认证功能和网址管理功能于一身,所以ACK设备可以通过802.1x协议对用户进行认证。并且可以按用户的部门和级别下发IP地址和VLAN。
支持不同的接入方式
ACK的A系列产品不但支持内网的接入,还可以支持用户由外网通过VPN的接入访问。支持无线接入的访问控制。不但可以对802.1x交换机、非802.1x交换机或Hub进行接入控制,还可以对用户穿越防火墙的行为进行控制。
身份鉴别和访问控制
ACK的A系列产品中自带了AAA服务器模块。A系列产品不仅很好地支持各种认证协议, 如:
802.1x, ESP, RADIUS, LDAP等,而且提供了多种开放接口,从而构建成了兼容多厂家、多类型、
多产品、多应用的开放式认证平台。
多因素、强认证
A系列产品可以支持口令,证书,口令牌,短信,指纹等多种认证手段。能够支持多因素认证,
保证身份认证的安全性。可以对个人终端、网络设备、应用系统、主机服务器、数据库等进行统
一认证和管理。ACK的A系列产品支持多种外接认证服务器,如:RSA SecurID, Kerberos,微
软域服务器,LDAP认证等。
口令定期自动失效
ACK的A系列支持口令定期检查和定期更新功能。当用户的口令使用超过一定期限后,用户的口
令会自动过期。ACK的A系列产品还可以按照用户的部门和角色设置不同的过期时间。这样,当
一些短期合作人员过期后,这些合作人员的帐户就会自动过期。防止了离职人员还能再接入网络
的问题。
按部门、按安全域设置访问权限
ACK的A系列支持对不同的接入设备,按照不同的部门设置不同的访问权限。比如,企业可以允
许财务部门接入财务专网,但不允许其他部门的人员访问财务网络。只允许财务经理以上的人员
通过VPN接入财务网络,而不允许一般财务人员通过VPN访问财务网络。
与现有用户数据系统整合
ACK的A系列可以与企业已有的用户数据系统进行集成,使企业可以使用同一套用户数据系统。
ACK的A系列产品可以与LDAP服务器、AD服务器、eDir服务器和各种数据库进行连接。也可以
支持将用户数据通过Excel格式导入。
13
14
网址管理和网段划分
ACK的A系列产品中自带了DHCP服务器模块,可以对企业的网址进行管理。
按部门划分网络安全域
A 系列产品支持
企业对网络接入
按部门进行管
理。当新的终端
接入网络后,A
系列产品在对终
端的使用者进行
认证后,确定了
用户的身份及相
关的信息。企业
可以按照用户的
部门、级别等条
件将用户放入相
应的安全域中
间。比如:企业可以在办公网中划分出财务部门的安全域。当财务人员登录认证后,财务人员的接入终端就被分配到财务部门的网段中。而其他部门的人员要访问财务安全域,就必须经过认证和授权。
防止终端非法接入非授权的安全域
当企业进行了网络安全域的划分后,不但要规定人员的接入访问权限,同时还会规定终端设备的接入访问权限。企业常常规定,连接外网的设备不能接入内网。而内网设备也不能接入外网。ACK A系列产品支持企业对不同的安全域授权不同的终端进行接入。当ACK的A系列产品有终端接入一个非授权的时,A系列产品会将这个非法终端留在隔离网中。
固定IP网络,中心控制管理
ACK A系列产品不但支持动态分配IP网址,同时还可以帮助企业搭建固定IP的网络。不同于当前的固定IP网络,ACK A系列的固定IP网络方案采取的是集中控制,中心下发的固定IP网址管理方法。这样彻底根除的私改IP、私设IP和ARP病毒的问题,同时也可以做到与老旧网络兼容,对用户现有网络实现逐步升级。
实名制的动态网络
ACK A系列产品可以做到实现实名制的动态网址管理。ACK A系列产品在分配IP后,记录了IP的
用户和终端。这样,就解决了动态IP无法与人进行绑定的问题。在固定IP网络中,由于IP常年不
变,用户的IP机易被他人获取。重要人员的信息容易被他人侦听。同时,一旦其他终端模仿重要
人员IP的话,这个终端将获得极大的权限。
ACK A系列产品可以对人分配不同的IP。每个人用的IP在使用时只有被授权的人员通过A系列产品
才能知道,最大限度地保护了重要人员的私密性。
动态下发VLAN和ACL
ACK的A系列产品还支持802.1x认证协议。支持对不同的设备,按照用户的部门下发对应的VLAN
和访问控制权限ACL。
统一认证和管理
ACK的A系列产品可以对网络上不同终端、不同的接入设备、不同应用进行统一认证和统一管
理。
对多种操作系统登录的统一认证
A系列支持PAM的认证。用户可以在Linux或Unix系统上加装PAM。这样,当用户登录Linux时,
Linux就会通过PAM将认证请求发给ACK A系列产品。A系列产品就可以对用户的身份进行鉴别。
同时决定用户是否有权限登录上Linux。
A系列产品可以与微软域服务器结合,完成对用户登录微软Windows的认证和统一管理。
对不同接入设备的统一认证
A系列支持多种接入设备的认证。接入设备的认证包括用户通过接入设备接入内网时进行的认
证。 同时也包括,设备管理人员登录接入设备进行认证。
对应用系统的统一认证
A系列产品同时还支持与文件版本控制系统(CVS)和Bug跟踪系统(Bugzilla)。另外,A系列
产品还提供开放的接口程序。帮助第三方产品与A系列产品结合实现统一认证。
日志的实名转换和审计
ACK的A系列产品对用户的网络接入进行监视和记录。对用户的上网认证,网址改变,下网行为
都做了日志记录。同时,对非法终端的接入,私改IP等行为进行了报警和记录。
ACK的A系列产品本身是一个日志服务器。可以存储海量日志。同时可以对日志进行检索和查
找。
由于A系列产品是一个按人对网络进行管理的平台,因此,A系列产品还可以将日志中的IP日志转
化为ID日志。
升级现有网络,建立ID网络
由于艾科网信的ID网络安全平台保证了网络边界的完整性,解决了网址与人(ID)的绑定关系,
同时艾科网信的ID网管平台对网络接入、网址管理进行了统一的、实名的管理,因此,能够与其
他网络产品结合,对其他网络设备实现实名制升级,进而构建ID网络。
在ID网络中,可以对日志审计设备、IPS和IDS设备、防火墙、交换机、无线接入设备和流量控制
等设备按人、按部门、按级别进行管理,从而提高网络设备的可视性和易管理性。
ò
实名制的日志审计
ò
与日志审计设备配合,为用户提供实名的日志审计分析和统计报表。
ò
实名制的IPS和IDS
ò
15
与IPS和IDS设备配合,可以升级IPS/IDS为实名制的IPS/IDS系统。当信息系统受到攻击时,可以按人(而不是按IP网址)进行报警,及时定位和解决问题。
ò
实名制的防火墙
ò
与防火墙设备配合,可以按部门、按人实施访问策略的控制。
ò
实名制的交换机
ò
与交换机设备配合,可以按部门、按人实施网络隔离,防止信息被非授权的交换和泄漏。
ò
实名制流控产品
ò
与流控产品或交换机配合,可以按部门分配带宽,保证重要部门的网络通讯质量不受其他部门影响。
ò
实名制无线接入
ò
对无线接入实施控制,按部门、按人实施访问控制策略。。
什么是ID网络?
ID网络是指以用户ID为基础构建的网络。即:可以按人、按部门、按级别对网络和网络上的设备进行管理、授权、监察和审计。
总结
六一
从上文的分析来看,网络准入控制是非常重要和关键的。但由于现有网络设备厂家的利益和技术能力的限制,常常无法做到即兼容老旧设备和老旧网络,又不用安装客户端。这也就造成了网络准入控制的实施难度。
本文从一个不同于这些厂家的角度,提出了一种新的网络准入控制的方案。即不用安装客户端,又可以兼容老旧网络。这样,不但节省了企业的成本,减少了企业实施网络准入控制的难度,而且使企业可以分步骤,分阶段地实施网络准入控制。
ACK的产品在实现网络准入控制的基础上,更前进了一步。ACK的产品以网络边界保护为基础,对网址进行管理,保证了人与网址的对应关系。帮助企业实现了实名制网络。
同时,ACK产品还同各厂家的各种网络设备进行了整合。使得网管人员可以对网络按人、按部门、按级别进行实名制网络管理。使得企业可以更高效、更安全地管理网络。
16
北京艾科网信科技有限公司
北京总部
地址:北京市海淀区上地信息路1号国际创业园B座3层
电话:010-********
传真:010-********
联系人:田嵘
成都办事处
地址:四川省成都市高升桥南街2号风尚国际5幢2单元1404室电话:028-********-806 138********
联系人:欧阳立