黄岭 步文海

工程兵指挥学院教育技术中心 江苏 221004

0 引言

网络技术的日益更新带来了动态而无定式的网络安全生态系统。复杂的网络环境需要具有较高动态性和可扩展性的安全解决方案，以应对不同类型的威胁和黑客攻击。现今更多的安全技术解决方案已经紧密地集成到了网络的基础结构中。越来越多的实践证明，大多数的安全漏洞源于网络内部，并且在一段时间内并不能被检测出来。最新的攻击传播速度也表明，系统安全更新(补丁)远落后于脆弱的系统被攻击的速度，而且系统经常在相应厂商提供最新的更新程序之前就已经遭受了攻击。

当终端登录到网络时，它就具有影响网络安全的潜在的威胁，未遵循网络安全策略(病毒库过期、系统漏洞未修补等)的终端普遍存在于园区网中。难以被发现且无法有效控制，每当它们连接网络时，就增加了网络的安全威胁。而传统的安全产品和技术都是相互独立工作的，如防火墙、访问控制措施和入侵检测和防护系统主要是面对网络外部的攻击的，并不能提供充足的防御来抵抗内部的威胁。

目前的园区网终端安全接入技术的主要思路是从终端着手，通过管理员制定的安全策略，对接入园区网的主机进行安全性检测，自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。具有代表性的技术包括：思科的网络接入控制技术(NAC)、微软的网络访问保护技术(NAP)以及TCG组织的可信网络连接(TNC)技术等。本文将依据思科的 NAC框架技术来给出园区网终端安全接入的设计。

1 基于思科NAC框架的园区网终端安全接入系统设计

1.1 系统设计依据

网络接入控制是一项由思科发起、多家厂商参与的网络终端安全接入计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业网络安全造成危害。借助NAC，网络将只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络，而不允许其他设备的接入。

对于 NAC的解决方案，思科提出了两种不同的形式。基于思科 NAC设备的解决方案和基于 NAC框架的解决方案。前者以NAC设备专用的思科清除访问(CCA)为基础，其并不依赖于第三方的产品和厂商，能够提供自给自足的终端评估、策略管理和修复服务，由于它是思科包装的解决方案，依赖于思科的网络设备，所以适用于对全新网络的设计规划，而在已有的网络实施中无法展开。

而基于 NAC框架的解决方案使用现有的网络基本机构和第三方厂商的解决方案，执行与所有终端一致的安全策略，可以在已有的网络中实施，无需投入新的设备，减少成本的开销。在执行接入控制时，网络中的原有系统无需覆盖。

基于 NAC框架的终端安全接入系统主要包含以下四个组件。

(1) 终端软件：终端安全软件包括反病毒软件、安全代理软件、个人防火墙和信任代理软件。其中信任代理软件是自由分布式软件，可以从多个软件客户端收集终端安全状态信息，并发送给连接在网络中的执行访问控制策略的网络接入设备。

(2) 网络接入设备：网络接入设备可以是第二层或者第三层的设备，用于实施基于终端遵从性的策略执行和接入控制。

(3) 访问控制与策略服务器：访问控制和第三方厂商服务器负责评估网络接入设备转发的终端安全信息，并应用相应的网络访问策略。

(4) 管理系统：为NAC框架提供监控和报告工具。

在园区网中，NAC框架的各组件功能如图1所示。

1.2 系统功能模块

在园区网的NAC系统主要包括图2中的三个主要模块。

图2 园区网NAC系统的主要模块组成

接入控制和认证模块主要用来对终端接入进行身份的认证。系统设计应支持用户身份与接入终端的MAC地址、IP 地址、所在VLAN 等信息进行绑定，同时支持智能卡、数字证书认证，增强身份认证的安全性。

接入决策模块通过对用户身份的合法性，进而与接入策略模块互动，确定终端安全状态，根据决策的模型确定终端接入的状态。决策模型基于策略模块的反馈信息和用户身份认证信息来决定网络授权，按照分组、分级、分权限原则规范用户的网络使用行为。

接入策略模块用来评估终端安全状态，反馈给接入决策模块，根据决策模块的决策来进行修复。策略模块中有行为审计功能，可以高效地收集用户使用网络资源的数据，记录操作过程，分析用户上网行为，掌握网络运行状态，并生成日志以备查用。具备网络状态查询功能，能够实时监测用户在线、离线状态，可以对接入用户进行直观管理，实时查看上网用户信息、强制用户下线、执行安全检查等操作。同时，允许接入的终端可以进行终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等。

NAC框架组件中的管理系统可以集成为一个独立的监控模块。它具有日志管理功能，对于用户及管理人员的所有操作，包括登录、注销的时间、登录 IP 地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。同时，对各项性能具备管理功能，能够实时查看到网络设备的CPU 利用率、流量等关键指标，支持实时性能监视，当链路或端口的流量出现异常时，系统将会发送性能告警，使管理人员可以及时了解网络中的隐患，及时消除隐患。同时为故障定位提供手段。

1.3 系统数据流向

在确定各功能模块的作用，完成模块设计同时，对园区网 NAC系统的数据流向进行分析，从而确保系统模块的设计满足 NAC框架体系要求，数据流向完整符合预期设计。园区网NAC系统数据流向如图3所示。

图3 园区网NAC系统数据流向

图中各数据流向说明如下：

① 安装了信任代理软件的终端上，网络流量触发NAC的挑战策略。终端安装的信任代理收集终端的安全状态信息(操作系统版本、病毒库版本、补丁安装程序等)。

② 信任代理终端使用NAC的网络访问设备证书进行挑战，发送给网络访问设备。使用基于UDP的EAP在终端和网络访问设备之间交换身份与验证证书。

③ 网络访问设备通过RADIUS协议将证书转发至访问控制服务器。

④ 访问控制服务器(AAA服务器)可以选择性的使用代理证书，和第三方厂商服务器协商，并进行终端遵从性的验证。由第三方厂商服务器评估终端是否遵从安全策略。并回复给访问控制服务器关于终端的遵从性验证结果。

⑤ 访问控制服务器根据反馈的遵从性验证结果来寻找匹配的访问控制策略。

⑥ 访问控制服务器确认终端接入状态、授权状态。

⑦ 访问控制服务器通过RADIUS协议将确定的终端接入状态信息返回给网络访问设备进行执行。

⑧ 网络访问设备通过 EAP信息告知接入终端其状态信息。

⑨ 若终端与定义的安全策略符合，则终端的接入状态正常，可以顺利访问园区网资源。若终端与定义的安全策略不吻合，则将终端重定向到一个隔离区域(Guest VLAN)，并进行相关策略的修复。

1.4 系统的部署

基于 NAC框架的终端安全接入系统是在已有的网络基础架构上实施的，其部署不会改变已有的园区网结构，但要发挥系统的最佳效能，需要与已有的园区网设备做好紧密的结合，使其可以和网络设备进行最佳的互动与联动，通过网络设备与安全设备将终端导向安全控制策略系统。需要注意的是在带外的园区网环境中，要防止终端绕过控制策略系统而直接访问外部网络，因为访问控制服务器及策略服务器在验证、端口评估和修复时一直在带内运行。部署带外的系统时要设置终端通过所有的策略检查修复后才可能穿过交换机端口到达带外。

2 结语

随着网络安全对园区网基础结构和信息资源的威胁不断增加，仅仅建立边界防御已经远远不够，传统的方法、独立的运行方式无法应对现有的网络攻击技术。网络安全模式正迅速的由被动性模式向主动性模式转变。基于 NAC框架的终端安全接入系统虽然无法完全规避网络风险，但在一定的程度上可以缓解源自园区网内部的安全危机，确保网络内部的坚固性，配合对外的安全措施(IPS、防火墙、IDS、VPN)等，则可以建立形成对内外的、贯穿网络多层的立体的安全防护体系，从而提高园区网的安全等级。

[1] 思科系统网络技术有限公司.下一代网络安全[M].北京邮电大学出版社.2006.

[2] 杨义先.信息安全新技术[M].北京邮电大学出版社.2002.

[3] 杨义先.网络安全理论与技术[M].北京:人民邮电出版社.2004.

[4] Michael Watkins.CCNA 安全认证考试指南[M].北京:人民邮电出版社.2009.