內(nèi)網(wǎng)準(zhǔn)入方案-0903

網(wǎng)絡(luò)準(zhǔn)入解決方案一．引入網(wǎng)絡(luò)準(zhǔn)入的原因隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的發(fā)展、應(yīng)用的日趨復(fù)雜，計(jì)算機(jī)終端已不再是傳統(tǒng)意義上我們所理解的“終端”，它不僅是網(wǎng)線所連接的PC，還包括手機(jī)、PAD等各類新式的移動(dòng)設(shè)備。這些形形色色的終端給信息安全工作帶來了巨大挑戰(zhàn)：類型眾多，以各種方式接入;并且是大部分事物的起點(diǎn)和源頭：是用戶登錄并訪問網(wǎng)絡(luò)的起點(diǎn)、是用戶訪問Internet的起點(diǎn)、是應(yīng)用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點(diǎn)、更是病毒攻擊、從內(nèi)部發(fā)起惡意攻擊和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此，終端安全管理對(duì)每個(gè)企業(yè)來說都極其重要，只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的啟始、遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞。基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)能夠在用戶訪問網(wǎng)絡(luò)訪問之前確保用戶的身份是信任關(guān)系。但是，識(shí)別用戶的身份僅僅是其中一部分，盡管依照總體安全策略，用戶有權(quán)進(jìn)入網(wǎng)絡(luò)，但是其使用的計(jì)算機(jī)可能不適合接入網(wǎng)絡(luò)。這種情況是因?yàn)楣P記本電腦等移動(dòng)計(jì)算設(shè)備的普及提高了用戶的生產(chǎn)率，但是同時(shí)會(huì)產(chǎn)生一定的問題：這些計(jì)算設(shè)備很容易在外部感染病毒或者蠕蟲，當(dāng)它們重新入公司網(wǎng)絡(luò)時(shí)，就會(huì)將病毒等惡意代碼在不經(jīng)意之間帶入公司工作環(huán)境。二．在當(dāng)前的信息網(wǎng)絡(luò)應(yīng)用環(huán)境下，網(wǎng)絡(luò)管理者普遍面臨和需要解決如下終端安全問題：網(wǎng)絡(luò)邊界不清晰網(wǎng)絡(luò)中有多少臺(tái)終端在工作？有沒有外來終端入侵？有多少網(wǎng)絡(luò)設(shè)備？終端連接狀況如何？使用人員難以確定誰在操作終端？有沒有人進(jìn)行越權(quán)訪問？有沒有進(jìn)行非法操作？如何盡快發(fā)現(xiàn)和管理？BYOD帶來巨大挑戰(zhàn)BYOD（Bring?Your?Own?Device，自帶設(shè)備辦公）設(shè)備是否有漏洞？安全設(shè)置是否符合安全規(guī)定？帶離辦公區(qū)后會(huì)不會(huì)被攻擊？是否會(huì)將外部的攻擊帶入辦公區(qū)？4、終端安全狀況不清晰終端的操作系統(tǒng)環(huán)境是否安全？終端的軟件環(huán)境是否合規(guī)？終端是否符合安全基線要求？??5、各種安全制度難以落實(shí)，針對(duì)終端和網(wǎng)絡(luò)使用的各項(xiàng)安全制度，是否能夠快速落實(shí)和檢查？??6、防護(hù)系統(tǒng)眾多難以整合各種防護(hù)系統(tǒng)如何進(jìn)行統(tǒng)一管理？各防護(hù)系統(tǒng)的安全數(shù)據(jù)如何整合？三．網(wǎng)絡(luò)準(zhǔn)入方式對(duì)比：802.1x(或EoU)網(wǎng)關(guān)型DHCPARP干擾IP+MAC技術(shù)特點(diǎn)非授權(quán)終端不能訪問任何網(wǎng)絡(luò)資源，不能對(duì)網(wǎng)絡(luò)產(chǎn)生任何破壞性影響非授權(quán)終端不能訪問受網(wǎng)關(guān)保護(hù)的網(wǎng)絡(luò)資源，但終端之間可以直接相互訪問，只能控制終端訪問外網(wǎng)終端可以通過自行IP等手段，繞開DHCP準(zhǔn)入控制終端可以通過自行設(shè)置本本機(jī)的路由、ARP映射等繞開ARP準(zhǔn)入控制全局的ipsourceguard功能來實(shí)現(xiàn)部署要求無須調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，要求網(wǎng)絡(luò)設(shè)備支持802.1x（或EoU）需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，需要專門的網(wǎng)關(guān)無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，需在每個(gè)網(wǎng)段部署專用DHCP服務(wù)器無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，需要在每個(gè)網(wǎng)段設(shè)置ARP干擾器無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)性能影響不會(huì)降低網(wǎng)絡(luò)的可靠性、性能會(huì)給網(wǎng)絡(luò)帶來可靠性、性能問題不會(huì)降低網(wǎng)絡(luò)的可靠性、性能過多的ARP廣播包會(huì)給網(wǎng)絡(luò)帶來諸多性能、故障問題不會(huì)降低網(wǎng)絡(luò)的可靠性、性能支持廠商Cisco/huawei/Leagsoft/奇安信以防火墻廠商為主Microsoft等軟件廠商非主流廠商三層交換機(jī)適合對(duì)象所有規(guī)模的網(wǎng)絡(luò)用戶不適合大規(guī)模組網(wǎng)中小網(wǎng)絡(luò)小網(wǎng)絡(luò)小網(wǎng)絡(luò)標(biāo)準(zhǔn)化國(guó)際標(biāo)準(zhǔn)，或主流技術(shù)非標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)非標(biāo)準(zhǔn)非標(biāo)準(zhǔn)四．開源方案：支持802.1x的交換機(jī)+freeradius+openldap（ad域控）優(yōu)點(diǎn)：強(qiáng)準(zhǔn)入，在核心交換機(jī)上開啟802.1x協(xié)議，接入域控，為每個(gè)員工分配域控賬號(hào)密碼。缺點(diǎn)：可能需要給不懂技術(shù)的員工，指導(dǎo)他們開啟接入的功能。支持802.1x的交換+深信服上網(wǎng)行為管理系統(tǒng)+openldap（ad域控）優(yōu)點(diǎn)：其他的同上，可以設(shè)置認(rèn)證重定向界面，支持認(rèn)證方式：賬號(hào)密碼認(rèn)證、AD域單點(diǎn)登錄、外部證書認(rèn)證。缺點(diǎn)：實(shí)際效果未知，需要測(cè)試。固定ip+MAC優(yōu)點(diǎn)：改動(dòng)最小，只需要把ip和mac綁定即可。缺點(diǎn)：工作量比較大，給所有的員工分配ip，把員工的mac地址收集起來，再進(jìn)行綁定，如有員工離職，還需要解綁。（4）802.1X+MAC認(rèn)證五．廠商準(zhǔn)入產(chǎn)品的優(yōu)點(diǎn)：六．深圳、北