企业网络终端准入控制解决方案

摘要：随着IT应用的不断发展，大部分的企业及用户开始意识到对内网终端进行控制和管理的必要性，实施网络终端安全准入控制，确保企业网络安全，已是许多企业网客户的迫切需求。终端准入控制解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，加强了用户终端的主动防御能力，保障了企业网络的安全。

关键词：终端准入 网络安全 802.1x EAD

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）06-0014-02

1 引言

在创新无处不在的IT世界里，从要求可用性到安全性再到高效率，只经历了短短的几年时间。如何对终端设备进行高效、安全、全方位控制一直都困扰着众多IT管理者，由于终端设备数量多、分布广、使用者素质及应用水平参差不齐，而且终端设备所接入的网络环境异构化程度很高，导致了终端成为整个IT管理环境中最容易出现问题的一环，对终端问题的响应业已成为IT管理者日常最主要的工作之一，它同样遵循着从可用性到安全性再到追求效率的发展规律。

终端作为网络的关键组成和服务对象，其安全性受到极大关注。终端准入控制技术是网络安全一个重要的研究方向，它通过身份认证和完整性检查，依据预先设定的安全策略，通过软硬件结合的方式控制终端的访问权限，能有效限制不可信、非安全终端对网络的访问，从而达到保护网络及终端安全的目的。终端准入控制技术的研究与应用对于提高网络安全性，保障机构正常运转具有重要作用；对于机构解决信息化建设中存在的安全问题具有重要意义。目前，终端准入控制技术已经得到较大的发展和应用，在安全领域起到越来越重要的作用。

2 发展现状

为了解决网络安全问题，安全专家相继提出了新的理念。上世纪90年代以来，国内外提出了主动防御、可信计算等概念，认为安全应该回归终端，以终端安全为核心来解决信息系统的安全问题。

3 终端准动模型

H3C终端准入控制解决方案（EAD，End user Admission Domination）从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动，对接入网络的用户终端按需实施灵活的安全策略，并严格控制终端用户的网络使用行为，极大地加强了企业用户终端的主动防御能力，为企业IT管理人员提供了高效、易用的管理工具。

4 终端准入控制过程

EAD解决方案提供完善的接入控制，除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、所在SSID、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，支持域统一认证，增强身份认证的安全性。根据实际情况我们采用基于域统一认证，与接入终端MAC地址和接入设备IP信息进行绑定的严格身份认证模式。通过身份认证之后，根据管理员配置的安全策略，用户进行包括终端病毒库版本检查、终端补丁检查、是否有等安全认证检查。通过安全认证后，用户可正常使用网络，同时EAD将对终端运行情况和网络使用情况进行监控和审计。若未通过安全认证，则将用户放入隔离区，直到用户通过安全认证检查。EAD解决方案对终端用户的整体控制过程如图2所示。

5 终端准入控制策略的实现

5.1 接入用户身份认证

为了确保只有符合安全标准的用户接入网络，EAD通过交换机的配合，强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估，但很多单位已经建立了基于Windows域的信息管理系统，通过Windows域管理用户访问权限和应用执行权限。为了更加有效地控制和管理网络资源，提高网络接入的安全性，EAD实现了Windows 域与802.1x统一认证方案，平滑地解决了两种认证流程之间的矛盾，避免了用户二次认证的烦琐。该方案的关键在于两个“同步”过程：一是同步域用户与802.1x接入用户的身份信息（用户名、密码），EAD解决方案使用LDAP功能实现用户和Windows域用户信息的同步。二是同步域登录与802.1x认证流程，EAD解决方案通过H3C自主开发的iNode智能客户端实现认证流程的同步。统一认证的基本流程如图3所示。

5.2 安全策略状态评估

EAD终端准入控制解决方案在安全策略服务器统一进行安全策略的管理，并在安全策略管理中提供黑白软件统一管理功能。管理员可根据IT政令，在安全策略服务器定义员工终端黑白软件列表，通过智能客户端实时检测、网络设备联动控制，完成对用户终端的软件安装运行状态的统一监控和管理。如果用户通过安全策略检查，可以正常访问授权的网络资源；如果用户未满足安全策略，则将被强制放入隔离区内，直至通过安全策略检查才可访问授权的网络资源。

5.3 EAD与iMC融合管理

EAD通过与iMC（开放智能管理中枢，Intelligent Management Center）灵活组织功能组件，形成直接面向客户需求的业务流解决方案，从根本上解决多业务融合管理的复杂性。EAD实现了对用户的准入控制、终端安全、桌面资产管理等功能，iMC平台实现了对网络、安全、存储、多媒体等设备的资源管理功能，UBAS、NTA等组件实现了行为审计、流量分析等业务的管理功能，这几者结合在一起，为企业IT管理员提供了前所未有的融合用户、资源和业务三大要素的开放式管理体验。

6 结语

在未实施终端准入解决方案之前，本企业网络管理模式被动，虽制定完善的IT管理制度，但不能有效实行，比如不能及时升级系统补丁，不能及时升级杀毒软件病毒库，不能实时监控用户软件安装，不能实时监控计算机硬件信息等问题。通过实施终端准入解决方案，降低了来自企业内部网络的威胁，规范了终端准入安全策略，提高了IT管理员工作效率，从而保障了企业网络环境的安全。

参考文献

[1]周超，周城，丁晨路.计算机网络终端准入控制技术.计算机系统应用，2011，20（1）：89—94.

[2]马锡坤.医院网络终端准入控制解决方案.医院数字化，2011，26（11）：30-32.

[3]成大伟，吕锋.支持802.1x的网络准入系统在企业中的应用.中国科技博览，2012，27：296.

[4]杭州华三通信技术有限公司（H3C Technologies Co， Limited）.EAD技术白皮书.【2010·l一12].http：//.cn/Service/Document—Center/.2008.

[5]IEEE Std 8021X 2004，IEEE Standard for Local and metropolitan area networks-Port—Based Network Access Contro1.LAN/MAN Standards Committee of the IEEE Computer Society，2004.