内网准入控制技术分析

摘 要：内网接入管理是近年来国内外很多企业网络安全提出的一项技术需求。它要求内网中计算机接入能得到控制。未经授权的计算机禁止接入内网，从而确保内部网络的安全性。本文讨论早期内网准入控制局限性，并介绍了主流三种可行的准入控制技术，即软件准入网关、硬件准入网关和基于交换机端口的准入网关。

关键词：准入控制；802.1x；协议；Radius

内网接入管理是近年来国内外很多企业对内部网络安全提出的一项技术需求。它要求内网中计算机接入能得到控制。未经授权的计算机禁止接入内网，从而确保内部网络的安全性。内网准入控制技术的目标是：通过对内网准入技术的分析，实现未注册内网终端的阻断功能，同时，只有完全符合安全标准的计算机才能接入受保护网络。

一、早期的内网准入控制技术

早期局域网一般由不可网管交换机或Hub组建而成。针对这种局域网，国内安全厂商很多都是通过ARP欺骗的方式实现这一功能，实现原理如下。

1.用户计算机安装准入控制客户端，客户端检测用户计算机是否达到接入要求。

2.准入控制服务器对所在网段使用ARP扫描功能，在很短时间内（2-3s）获得新接入的计算机的IP地址和MAC地址。

3.通过准入控制服务器对未注册用户计算机实施ARP欺骗，发送IP地址已占用的信息，并发送错误的网关地址。利用Windows操作系统本身机制，未注册客户端会发现自己的IP地址在网络中已经存在，并认为自己的IP地址甚至错误，系统会在未注册计算机上提示IP地址设置错误。

早期的内网接入控制技术存在一些缺点。例如会在网络中生成大量的ARP数据包，影响整体网络性能；ARP欺骗的方式也会造成用户侧计算机ARP防火墙软件的产生报警信息。

二、当前三种可行的准入控制方案

目前针对大型园区网络可行的准入方案主要有三种。

第一通过软件准入网关实现未注册阻断功能。

第二通过硬件准入网关实现未注册阻断功能。

第三与支持802.1x协议的交换机设备联动，在接入层实现未注册终端阻断功能。

1.软件准入网关

软件准入网关发现自己“辖区”内有未注册计算机时，不为其分配IP地址，或者拒绝其数据包，对已注册计算机一律放行。

软件准入网关的一般结构如图1所示。

软件准入网关的原理和下面将要介绍的硬件准入网关原理基本一致，但是适用环境较为单一。软件准入网关一般使用WinPcap网络驱动开发，客户端超过100后，系统性能会急剧下降，应用环境受到很大限制。

2.硬件准入网关

硬件准入网关比软件准入网关性能高，很多园区网采用这种控制方式。硬件准入网关的部署方式类似于软件准入网关，由终端管理服务器将内网客户机状态发送给硬件网关，再由硬件网关判断并执行阻断或URL重定向。以某知名厂商为例，终端管理服务器和准入网关之间通信的数据格式如图2和表1所示。

准入网关和终端管理服务器之间采用应答握手验证协议（CHAP），认证采用预共享口令，认证后派生出随机加密密钥对内容进行加密。

用准入网关实现准入控制受限于所处网络的结构，一般部署在安全级别不同的两个网络边界之间。低安全级别的计算机在进入高安全级别的网络之前，必须经终端管理服务器检查各项安全策略，之后通知准入网关进行放行、阻断或重定向操作。

3.基于交换机端口的准入控制

基于交换机端口的准入控制需要使用IEEE 802.1x协议。802.1x协议是一种访问控制和认证协议。它可以限制未经授权的用户通过网络交换机接入端口访问局域网。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x协议运行在OSI模型链路层，借用EAP（扩展认证协议），不需要到网络层，对设备的整体性能要求不高，可以有效降低建网成本，提供良好的扩展性和适应性。802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，可以实现业务与认证的分离，由RADIUS服务器和交换机利用可控端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上，通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包。802.1x协议可以映射不同的用户认证等级到不同的VLAN。

为了实现基于802.1x协议的准入控制，需要将准入网关与支持802.1x EAP协议的交换机配合实施，目的是为内网提供高度灵活的用户接入强制策略。同时，为了保证能够了解内网终端在网络接入时的安全状态以及网络应用行为，需要在接入内网的终端上安装和运行准入客户端软件（Agent）。

准入控制过程如下：交换机发起EAP认证，Agent在收到EAP认证质询时，将当前终端安全状态以及终端身份向交换机报告，交换机在收到Agent的应答以后，将应答信息以Radius协议封装，发送到终端管理服务器，终端管理服务器按照管理设定的规则检验Agent的应答信息。如果终端的身份合法并且安全状态也符合企业安全策略的要求，终端管理服务器将指示准入网关放行。准入网关同时作为Radius服务器，负责通知交换机将终端放入正常的工作VLAN；如果终端验证失败，准入网关就按照管理的设定，通知交换机将终端放入隔离VLAN或直接关闭端口。在隔离VLAN的终端，Agent会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作VLAN。

目前支持的802.1x协议的有Nortel、Alcatel、Cisco、Huawei等主流设备供应商。以Cisco公司的网络交换机为例，802.1X认证配置如下：

aaa new-model

aaa authentication login default none

aaa authentication dot1x default group radius

dot1x system-auth-control

！

interface FastEthernet0/1

switchport mode access

dot1x port-control auto

！

interface FastEthernet0/2

switchport mode access

dot1x port-control auto

！

radius-server host 192.168.1.100

radius-server key PASSWORD

以上配置中192.168.1.100为准入网关的IP地址。

本文主要介绍了三种可行的内网准入控制技术，其中以基于网络端口的控制方案最为严格，对系统管理水平的要求也最高。通常在园区网管理中，一般采用硬件准入网关与基于端口的准入网关相结合的方式，达到即经济又高效的管理效果。

参考文献：

[1]于昇，祝璐.网络接入控制架构研究综述[J/OL].信息安全与通信保密，2009（8）：41-43.

[2]郭幽燕，杜晔.基于ARP协议的内网访问控制系统[J/OL].计算机工程与科学，2010（1）

作者简介：庞亚宾，中级职称，硕士，主研领域：计算机网络，信息安全；赵磊，中级职称，硕士，主研领域：计算机网络，信息安全