河南省水利系统局域网准入控制系统对比分析

2014-08-15赵新强闫晓敏河南省水利信息中心

河南水利与南水北调 2014年10期

□赵新强 □闫晓敏 □杨栓（河南省水利信息中心）

1 实行局域网准入控制的必要性

河南省水利系统目前已实现了省、市、县三级网络连接，网络已覆盖了河南省水利厅、18个市水利局、134个县（区）水利局及34个厅属单位，网络终端三千余个。各级联网单位均配置有网络防火墙，省厅和市水利局还配置有入侵防御设备，加强互联网防护。但是局域网内部安全管理非常薄弱，亟需加强。

据权威调查报告显示，75%的IT管理者认为内部网络的终端是使他们的IT系统受到攻击的最主要来源。用户终端不及时修复系统漏洞，不安装杀毒软件，随意安装网络上下载的各种软件，导致终端病毒大量占用带宽，阻塞网络；或者导致终端被植入木马，成为黑客的傀儡肉鸡，在局域网内部绕过了入侵防御、防火墙等安全防线，直接面对网络核心业务，造成数据丢失。所以内部安全防护非常重要，而内部防护的精髓就是接入可控，要建立一套切实可行的准入控制系统。

局域网准入控制系统包含了终端身份、终端安全、终端权限、终端在线防御、终端在线审计、终端资产管理等内容。通过准入控制系统，可以有效解决网络安全管理规范落实的问题，使规范不再是一纸空文，不按规定执行的用户不能联网，用强有力手段使用户遵守规定；可以实现接入用户及设备的实名制，通过绑定IP地址、网卡MAC地址、账号、交换机端口号等多种手段有效核实用户身份，以确保用户对各种网络资源的使用行为承担责任，发生网络安全事故后，根据联网日志审计系统也可以很快定位到个人；可以在网络受到攻击时快速定位攻击源；可以解决内网分角色分区域访问控制的问题，不同的用户获取不同的权限，访问不同的资源；可以解决各种智能移动终端和外来人员的身份认证问题等。

2 局域网准入控制系统

河南省水利系统各联网单位目前普遍采用华三通信技术有限公司（H3C）的交换路由设备及统一品牌的防火墙、上网行为管理等设备，所以结合实际选择局域网准入控制系统，对其他品牌如思科设备及相关技术EOU等不予考虑。下面从设备控制、软件控制和客户端控制3个大的类型对比选型，选择适合自己的准入控制系统。

2.1 设备准入控制

仅通过网络设备实现局域网准入控制，主要管理设备有防火墙、上网行为管理、交换机、路由器等。

各单位均配置有天融信防火墙，防火墙除了在出口处配置互联网访问策略外，还可以学习ARP表，添加终端信息，如使用人、IP地址、MAC地址，并通过绑定，有效拦截非法人员和外来人员接入网络，达到初步的终端准入控制效果。

各市水利局配置有深信服上网行为管理设备，除了可以绑定用户IP地址、MAC地址，还自带500 g硬盘，可以记录3个月以上的用户联网日志，有各种报表便于统计分析网络使用情况。上网行为管理设备还可以控制用户的上网流量，限制P2P、视频等应用流量，保障关键业务的流量。在局域网内出现超大流量攻击时，可以通过启用安全防护的防DOS攻击功能，阻断攻击源，并可以定位具体使用人，从而真正切断攻击。

个别单位采用锐捷的路由器设备，这些网络安全设备也可以实现绑定用户地址，控制流量的功能，还可以启动端口拦截等防火墙功能。功能齐全并且价格也不贵，适合用户不超过100人的小单位使用。

上述设备均部署在网络出口，不能有效管理到设备端口。为了进一步加强局域网准入控制，可以在H3C交换机配置命令，实现交换机端口、IP地址和MAC地址的绑定，通过这样的绑定，可以有效控制ARP病毒，非法IP地址根本出不了交换机端口，也就不能影响其它用户，也可以有效防止用户乱设IP及伪造别人MAC地址的情况。缺点是维护繁琐且需要管理员有高水平，用户一旦有变更就需要重新配置交换机，这时如果管理员不在，用户就无法联网。

设备控制适用于市县水利局，只有一两个VLAN，用户少的单位。优点是经济实用，甚至不用再投资，利用现有设备就可以实现准入控制。多数设备有图形界面，操作简单。缺点是控制功能少，多数不能管理到局域网端口，用户在网络内部仍可通讯，并且用户可以通过伪造MAC地址等手段逃避监管控制。

2.2 软件准入控制

仅通过网络管理系统软件，不需要用户安装客户端就可以实现局域网准入控制，主要管理软件有广通、北塔、网强等。

网络管理系统软件可以通过SNMP、ICMP、NetBIOS、ARP等多种手段自动、准确、及时地发现局域网网络拓扑结构，发现网络用户IP分布情况，帮助管理人员全面了解整体网络运行情况；并对局域网内服务器、交换机、用户终端进行资产管理，落实实名制；通过内置合法性检测引擎，自动监测网内设备的基本属性（IP地址、MAC地址、主机名、连接的交换机端口等），当发现与登记资料不符的情况，就通过多种安全策略，如通过SNMP协议private写操作直接关闭交换机端口，阻断非法终端接入；持续地监视、报告网络的运行情况；实时监控网络设备的CPU、内存、流量等运行性能指标，持续跟踪和分析设备负载的变化；可以采集包括交换机端口镜像流量、sFlow流量、NetFlow流量，分析当前网络的协议和会话，实现从端口到应用的广泛流量分析和统计；可以通过实时监控，对故障、性能、安全、主动Trap、Syslog等各类告警事件进行接收和分级；可对故障进行根源分析，在拓扑结构图上以不同颜色突出显示，快速定位故障，帮助管理人员及时、高效解决网络中出现的故障。

软件准入控制的最大优点就是操作简单易用，图形界面一目了然，遇到非法用户也可以自动拦截，便于管理维护。缺点就是控制能力有限，对局域网内无线路由器、对使用智能终端的移动用户无法控制，并且需要局域网交换机是有SNMP功能可网管的交换机，交换机端口下还有HUB等不可网管设备则也无法监测控制相应终端。

2.3 客户端准入控制

要想实现更精细的局域网准入控制，还是要借助客户端软件，这里也包含可溶性客户端和插件式客户端。通过客户端，可以进行更严格的身份认证，可以同时绑定用户名、密码、MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息；可以对客户端进行完备的安全状态评估，根据管理员配置的安全策略，检查终端杀毒软件安装情况、补丁安装情况、应用软件和服务运行情况，并可以通过第三方服务器自动对终端安装补丁；可以进行全方位的桌面资产管理，对终端软硬件使用、变更情况、USB存储介质等外设使用情况进行监控，终端资产的配置管理和软件的统一分发等。目前有北信源、H3C等产品。

北信源的桌面安全管理软件是典型的ARP拦截准入控制，当发现终端信息与服务器端资产不匹配时，会在局域网内借助其他合法客户端对非法用户发起ARP攻击进行拦截，阻止其联网。这种方式对局域网交换机无限制，适用于设备比较差的单位。缺点是当局域网内真有ARP病毒时，会使部分合法用户也受牵连不能联网。

H3C的IMC智能管理平台，附带有UAM和EAD管理组件，将用户管理和网络管理进行了智能融合，不仅有上述客户端功能，还可以基于角色网络授权，不同用户不同网络访问权限；对没有通过安全检查的用户，放入隔离区，仅可以访问部分服务器进行安全加固；可以自动发现网络拓扑，管理和监控网络设备信息和状态。准入控制认证方式灵活，802.1x认证和Portal认证方式均可；认证形式也灵活，配置高的用户可选用专门定制的windows客户端，配置差的用户可选用基于网页的可溶解客户端，移动终端用户可仅通过网页进行认证。

802.1 x认证方式是以接入层交换机作为控制点，要在每个接入交换机上都配置802.1x。然后通过客户端进行认证，认证成功则打开对应交换机端口，顺利联网，不成功则使对应端口保持关闭，只允许EAPOL认证报文通过。Portal认证方式以汇聚层交换机作为控制点，仅需要在网关处进行配置。在用户认证不成功的情况下，进行页面重定向跳转到Portal认证页面，提醒用户安装客户端，如果认证成功，则在网关处放行，用户联网处于直通状态。

这两种方式各有利弊。802.1x方式管理严格，可以直接控制到接入层交换机端口，有效防止来自网络内部的安全威胁，缺点是配置和解除绑定均较繁琐，且接入层交换机要可网管，对广域网支持基本无效。Portal配置简单，仅在网关或路由设备配置，可以对VLAN进行操作，启用和解除均灵活，还可以方便的配置Portal认证页面，方便提醒用户，可管理广域网和无线网络，对于网络环境复杂的旧网改造和升级具有很大优势；缺点就是对VLAN内用户控制不严格。

通过客户端进行准入控制的最大优点就是控制更精细严格，可以有效控制无线用户、智能终端联网，可以防止用户在路由器上伪造MAC，解决路由器不可控的问题，还可以解决不可网管交换设备下用户身份认证问题，可以管理到通过路由连接的其他网络。但缺点是终端情况复杂易出现各种问题从而增加了管理难度，同时系统软件价格也最贵。