姜新超 王进 孙佳伟 信息工程大学

1 前言

随着现代计算机技术和网络通信技术的发展、融合，传统意义上的“终端”已经发生了变化，它不仅是网络中与网线连接的台式机、笔记本电脑以及服务器，还包括智能手机、平板电脑、电子阅读器等各类新式的移动设备，而企业网络中的打印机、IP电话等也是不容忽视的“哑终端”。这些形形色色的终端给网络安全工作带来了巨大挑战：一方面它们类型众多，通过有线、无线、VPN等多种方式接入；另一方面，它们是网络中大部分事物的源头和起点，更是病毒传播、从内部发起的恶意攻击、内部保密数据盗用或失窃的途径。因此，终端安全管理对每个企业来说都是非常重要的，良好的终端安全控制技术能够保证企业的安全策略真正得到实施，有效控制各种非法安全事件，确保企业网络安全。

2 终端准入控制实现原则

2.1 身份认证

建立用户实名管理机制，所有用户、接入终端都必须实名接入网络。通过该管理机制，可以弥补现实与网络虚拟世界之间的鸿沟，以保证网络中的安全问题都可以精确定位和追根溯源，这样就可以建立对网络违规和非法行为的威慑力，确保用户在网络的各项行为都严格按照管理要求进行，最终消除内网安全问题的隐患。基于RADIUS协议的终端准入控制技术是业界成熟的终端实名接入控制方案。终端准入控制系统为企业所有员工、外部员工、访客（提供访客登记管理）分配基于真实身份的接入账号。接入者使用企业终端通过802.1X、Web Portal、VPN等接入方式访问网络时，必须输入真实的账号和密码，经终端准入控制系统验证后，才允许接入企业网络。

2.2 安全检查

除基本的身份验证外，终端准入控制系统还可对接入终端实施安全检查，对于不符合企业既定安全策略的终端通过网络隔离、拒绝接入等方式处理，阻断不安全终端对企业网络的影响。

2.3 权限控制

接入终端通过身份认证和安全检查后，终端准入控制系统根据接入终端的身份属性，对接入的网络设备下发VLAN、ACL来控制终端的网络访问范围，防止接入终端对网络的越权访问。

2.4 监控审计

终端准入控制系统提供对终端接入的监控和审计，管理员不仅可以看到接入终端的实时在线状态，还可以通过下线、黑名单等手段对终端进行实时控制。

3 多类型终端的准入控制

终端准入控制在企业的部署虽然保证了企业终端接入网络时，都必须经过身份认证、安全检查、权限控制、监控审计四个层面的安全控制，但是由于企业终端类型的多样性，实施的身份验证方法、接入方式、安全策略也往往有所差异。企业终端大致可分为PC、服务器、哑终端和移动智能终端四种类型，下面具体介绍每种类型的终端对应的准入控制方式。

3.1 PC终端的准入控制

大多数企业采用安装了Windows操作系统的台式机、便携机作为办公电脑。网络接入方式上以有线网络及VPN为主体，而无线网络作为辅助。这种情况下，对于PC的网络接入管理一般采用为PC安装安全认证代理方式，根据企业网络接入控制点的位置，灵活采用802.1X、Portal、L2TP VPN等方式接入网络。在这种认证环境下，身份认证的手段也非常多样，除了传统的用户名/密码认证外，对于需要特殊管控的账号，可以要求采用智能卡、数字证书等方式进行身份认证。同时可以要求PC在认证时提供“绑定信息”作为身份标识的附属品，例如IP、MAC地址、接入设备的IP和端口、主机的域用户名及计算机名等。

终端经过身份认证、安全检查接入网络后，可根据其身份下发已配置的VLAN、ACL到接入设备的端口上，对接入终端进行访问权限控制。对于某些网络精细化的管理要求，还可配置主机防火墙规则下发到终端安装的安全代理软件上，对接入终端的访问行为进行严格管控。

3.2 服务器终端的准入控制

企业中的服务器一般是统一放置在数据中心的机房内，服务器的IP地址、接入的设备端口一般都是固定不变的，对于网络的稳定性要求上比较高，出现网络通断会对运行于其上的业务系统造成重大影响。因此，服务器并不能使用传统的802.1X、Portal认证的方式去统一管理。对于服务器接入这种情况，可通过管理系统的IP+MAC绑定技术进行控制。通过在管理系统上配置服务器MAC地址与接入设备的IP、端口绑定，实行“白名单”制度。

管理系统会根据制定的白名单对接入服务器的设备进行自动扫描，当发现某端口上的接入MAC不属于“白名单”范围内时，一方面会产生“异常接入明细”和告警向管理员进行报告，另一方面可根据已配置的处理策略，对非法接入的端口进行关闭，以避免非法的终端利用服务器的“免认证”漏洞接入企业网络。

3.3 哑终端的准入控制

企业网络中哑终端的数量和种类也在不断地增加，例如打印机、IP电话等，这些设备一般安放在企业的多个位置。由于这些哑终端并无通用操作系统，因此无法通过802.1X或Portal认证对其进行准入控制。但如果将哑终端的接入端口设置为免认证，这无疑给企业网络的全面接入控制留下了一个漏洞。企业内部人员可以利用该免认证端口接入PC，从而逃避企业准入控制的安全要求。因此，哑终端也应该拥有身份信息，并对其网络接入权限进行控制。

哑终端设备可以采用MAC地址认证技术进行网络接入认证，即把哑终端的MAC地址作为其身份到企业准入控制系统进行统一认证。在哑终端接入企业网络时，接入设备在首次检测到哑终端的MAC地址以后，接入设备将作为RADIUS客户端，将检测到的用户MAC地址作为用户名和密码发送给企业准入控制系统，与企业准入控制系统配合完成MAC地址认证操作。企业准入控制系统完成对该MAC地址的认证后，认证通过的哑终端可以访问网络。

3.4 移动智能终端的准入控制

由于智能终端的多样性和其私有属性，不便在智能手机、平板电脑上安装智能客户端对其进行网络认证和安全控制。所以移动智能终端一般通过基于无线的Portal认证来接入企业网络。当用户在移动智能终端浏览器中输入访问的URL时，接入控制设备会将重定向至企业内部的Web认证页面，只有输入分配给智能终端的账号、密码进行验证后，该智能终端才可接入企业网络。为进一步保证合法智能终端才能接入企业无线网络，身份认证时可以要求绑定接入的SSID、智能终端的IP地址以及交换机端口等，确保智能终端网络身份的真实性。对智能终端可以通过对接入设备下发VLAN或ACL来严格控制其访问范围，尽量减小智能终端对企业网络的影响。

智能终端系统，从苹果的iOS到谷歌的Android等等，目前所呈现的安全漏洞问题并不多，当下很难对企业网络产生冲击。因此目前的阶段，对移动终端的主机安全可以不作安全检查要求。但是随着移动智能终端在企业网络的不断普及，其自身的安全性将逐渐成为企业网络值得重视的问题。

4 结语

终端准入控制技术彻底改变了原有网络安全管理与用户管理、终端管理相脱节的局面，通过建立终端、用户与网络之间接入控制系统，构建起网络安全防御环，从而革命性地改变了企业网络架构，使企业网络的安全性上了一个新的台阶。

终端管理问题千头万绪，但只要抓住准入这一关键点，保证终端安全制度可以实施起来，让每个用户都养成良好的习惯，并融入其他的安全技术和管理技术，建立主动防御的安全体系，在实践中不断完善。