企业内部网络接入控制技术应用浅析

摘要：企业信息化应用程度越来越广，越来越深入，信息安全的要求也随之而来，其中网络接入控制是信息安全的一个非常重要的方案，本文通过对目前比较流行的网络接入控制的技术进行分析，得出适合各种不同类型企业的优缺点。

关键词：信息安全 网络接入控制

1 网络接入控制技术概述

网络接入控制，也称网络准入控制（Network Admission Control，简称NAC）概念最早是由Cisco提出来的，最初目的是利用网络基础设施来防止病毒和蠕虫危害网络。Cisco NAC方案是Cisco自防御网络计划的第一阶段。企业目前的大多数信息资料都可以通过连入到内部信息网络中获取，所以控制内部网络的接入成了整个信息安全很重要的一环，为此希望通过实施网络接入控制加强信息安全的管理手段。

网络准入控制实现终端注册、安全检查、安全隔离、安全通知和安全修复，保证接入到网络的终端设备的身份是可信的、是满足强制安全策略要求的。对于外来终端设备可以限制其只能访问一些公开的资源；对于不符合强制安全策略要求的终端设备可以对其进行安全隔离，只有修复后才能正常访问网络资源；只有符合强制安全策略要求并且是内部用户的终端设备才能正常访问网络资源。

图1是网络准入控制通用架构。

接入网络的终端设备通过程序向接入控制服务器提供自己的安全特性信息，接入控制服务器向策略服务器验证安全特性信息是否符合强制策略要求、终端设备的身份，接入控制器根据验证结果控制接入控制点，告诉接入控制点终端设备可以访问的网络资源。

2 主流网络接入控制技术分析

网络准入控制实现上要解决的一个关键问题是如何能够适应用户的各种网络环境。目前有四种常见技术来实现网络准入控制：Cisco NAC、微软NAP（Network Access Protection）、网关（防火墙、服务器）、ARP技术。这些技术采用的接入控制点设备不同，所以与接入控制点之间、接入控制点与接入控制服务器之间的协议也不相同，能够起到的效果也不尽同。

2.1 Cisco NAC技术

为了解决不同网络环境的准入控制问题，Cisco NAC提出了三种实现方式：

2.1.1 NAC-L2-802.1x

基于IEEE802.1x协议，根据接入网络的终端设备身份和安全特性，动态打开/关闭网络交换机端口、或者动态切换网络交换机端口的VLAN来控制终端设备能够访问的网络资源。NAC-L2-802.1x要求接入层网络交换机支持IEEE802.1x协议，并且每个交换机端口只能连接一个终端设备，不支持Hub方式连接。Cisco 2940以上的大部分网络交换机都支持IEEE802.1x协议，另外其它主流厂商的网络设备如华为-3Com一些网络交换机也支持该协议。所有基于IEEE802.1x协议的网络准入控制方法包括NAC-L2-802.1x都是最彻底的解决方法，因为在终端设备没有得到验证之前网络是不通的。

2.1.2 NAC-L2-IP

为了解决NAC-L2-802.1x要求所有接入层交换机支持IEEE802.1x并且每个交换机端口只能连接一个终端设备的限制，Cisco在标准EAP协议基础上增加了一种EAPoUDAP的协议，该协议被Cisco的3550以上的交换机支持。网络的接入层、汇聚层或者核心层支持EAPoUDP协议（即有Cisco 3550以上交换机）的交换机都可以作为网络准入控制的“控制点设备”。当终端设备接入网络并发送ARP包或者DHCP包时，接入层、汇聚层或者核心层中支持EAPoUDP协议的网络交换机在转发ARP或者DHCP包之前，会要求终端设备提供身份信息和安全特性信息，并转发给ACS服务器，ACS服务器根据验证结果向网络交换机的相应端口动态设置该终端设备的ACL，这样终端设备就只能访问规定的网络资源。另外ACS服务器还可以向网络交换机端口下载一个重定向URL，当终端设备访问Web服务器时，就会被网络交换机重定向到指定URL中，如修复服务器的URL。

2.1.3 NAC-L3-IP

NAC-L3-IP采用Cisoc路由器作为“控制点设备”。与NAC-L2-IP类似，通过设置NAC-L3-IP也是设置路由器端口的ACL和重定向URL来控制终端设备可以访问的网络资源。

2.2 微软NAP技术

微软NAP提供了四种方法来解决不同网络环境的网络准入控制：

①基于IPSec通讯。基于IPSec的NAP客户端会根据与其通讯的对方客户端拥有什么样的健康证书（Health Certificate）来决定是否与其通讯。NAP系统通过HCS为网络内的客户端分配健康证书以及指定客户端在通讯时是否需要对方提供健康证书将网络分为三部分：安全网络、边界网络和受限网络。安全网络内的设备都拥有健康证书并且要求通讯对方也拥有健康证书；边界网络内的设备也拥有健康证书但它不要求对方拥有健康证书；受限网络内的设备不拥有健康证书，所以只能访问边界网络内资源。

②基于DHCP服务。NAP系统通过DHCP服务器为接入网络的终端分配不同的IP地址来控制其能够访问的网络资源。

③基于VPN。NAP系统通过VPN服务器为接入网络的终端设备进行包过滤来控制其能够访问的网络资源。

④基于IEEE802.1x。NAP系统通过支持IEEE802.1x协议的网络交换机控制接入网络的终端设备能够访问的网络资源。

2.3 网关实现技术

防火墙、服务器是一个网络中的出口，所以如果和防火墙、服务器进行联动也能够在一定程度上实现终端设备的网络准入控制。不满足身份要求或者强制安全策略的终端设备可以禁止其访问防火墙和服务器后面的网络资源。

2.4 ARP干扰实现技术

基于ARP干扰的网络准入控制主要是利用ARP自身的漏洞，通过对不满足强制安全策略要求的终端设备进行ARP欺骗，从而限制这些终端访问网络资源。

3 主流网络接入控制技术比较

Cisco NAC是围绕Cisco网络设备提出的，对Cisco网络设备有严重依赖性，象NAC-L2-IP、NAC-L3-IP都是Cisco私有方法，在多厂商网络设备并存的网络环境很难使用。另外Cisco Trust Agent所能提供的安全特性非常有限，主要是操作系统版本、SP版本、防病毒软件版本和病毒特征库，还不能提供象系统补丁包、其它安装软件、木马或者间谍软件等检查。

微软NAP架构提供的四种方法中，基于VPN和基于IEEE802.1x实现方法和具体网络设备有关，基于IPSec通讯和基于DHCP服务的实现方法和具体网络设备无关，所以具有较好的适应性。但微软NAP架构只在Win7和Vista操作系统中提供，只能支持Vista操作系统终端设备。另外微软NAP架构更多的是提供了一个网络准入控制的开发平台，还需要第三方厂商做二次开发才能很好地满足具有用户的需求。

基于网关的网络准入控制实现方法与Cisco NAC、微软NAP架构相比有几个致命问题：一是没有标准化，各个厂商的网关设备对外提供的联动接口或者API都是非标准的，不具有普适性。二是控制不够灵活，不能将网络资源划分为不同的资源区，根据终端的身份和安全特性细化可以访问的网络资源。

ARP干扰有如下这些问题：①会给网络带来大量ARP干扰包，会占用网络带宽，并且如果部署了IDS设备，会产生攻击告警；②在每个物理网段需要部署一个ARP干扰设备，对于物理网段较多的网络，有较大维护工作量；③终端设备可以很容易绕开被ARP干扰，如静态设置网关的ARP。

总之，通过以上的技术分析，虽然每种技术手段实现的最终效果还是有差异，且应对特殊需求时都有相对的局限性，但就目前我们需要实现的防止非法设备接入企业网络的功能来说，这些技术手段都可以起到足够的效果，通过对以上几种技术的分析，可以清楚各个企业目前所需要的技术手段。

参考文献：

[1]Cisco系统技术支持网站.

[2]《浅谈网络探针接入控制技术》中国管理信息化.2010（15）.

[3]何欣全.新一代网络安全接入技术TNC[J].信息网络安全.2007（03）.