美國(guó)CSI/FBI在《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》中指出，因內(nèi)網(wǎng)安全漏洞造成的損失占所有計(jì)算機(jī)安全事故的一半以上；IDC的安全統(tǒng)計(jì)數(shù)據(jù)顯示，來(lái)自企業(yè)內(nèi)部終端的安全威脅占整個(gè)安全威脅的70％以上；中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC的《全國(guó)網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告》指出，終端隱患已成為最大的安全威脅之一。內(nèi)網(wǎng)終端已經(jīng)成為企業(yè)網(wǎng)絡(luò)的阿喀琉斯之鍾，越來(lái)越多的企業(yè)都已經(jīng)深刻認(rèn)識(shí)到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性。

一、 準(zhǔn)入控制——內(nèi)網(wǎng)安全體系的關(guān)鍵

內(nèi)網(wǎng)安全產(chǎn)品主要有三大標(biāo)準(zhǔn)架構(gòu)，分別是：網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）和可信網(wǎng)絡(luò)連接（TNC），這三大標(biāo)準(zhǔn)體系分別定義了各自的實(shí)現(xiàn)協(xié)議，但遵從類似的體系框架，主要架構(gòu)如下：

1A. 終端連接網(wǎng)絡(luò)，通知PDP

1B. PDP啟動(dòng)終端評(píng)估（包括用戶認(rèn)證）

2. 將終端評(píng)估數(shù)據(jù)發(fā)送到策略服務(wù)器

3. 策略服務(wù)器與后端系統(tǒng)交互，證實(shí)終端狀態(tài)，決策是否授予終端接入權(quán)限

4. 策略服務(wù)器將終端評(píng)估結(jié)果通知給網(wǎng)絡(luò)（4A）和終端 (4B)

5. 終端接入網(wǎng)絡(luò)，獲得部分或者全部訪問(wèn)權(quán)限，或接入修復(fù)服務(wù)器

在內(nèi)網(wǎng)安全架構(gòu)中，準(zhǔn)入控制點(diǎn)是整個(gè)體系的關(guān)鍵，承擔(dān)著與后臺(tái)策略決策系統(tǒng)交互，控制終端對(duì)網(wǎng)絡(luò)的訪問(wèn)，隔離非健康終端并協(xié)助其修復(fù)等多項(xiàng)功能。準(zhǔn)入控制方式的選擇（也稱為策略強(qiáng)制點(diǎn)的選擇）至關(guān)重要, 內(nèi)網(wǎng)安全產(chǎn)品能否成功部署，主要就在于能否結(jié)合企業(yè)網(wǎng)絡(luò)的具體情況，選擇到合適的準(zhǔn)入控制點(diǎn)。

二、 多種準(zhǔn)入控制技術(shù)的深入分析

業(yè)界的內(nèi)網(wǎng)安全產(chǎn)品，一般采用以下幾類準(zhǔn)入控制方式，比較如下：

以上是內(nèi)網(wǎng)安全產(chǎn)品主流使用的準(zhǔn)入控制方式，每種方式都有其特定的優(yōu)缺點(diǎn)，一般來(lái)說(shuō)每個(gè)廠商的產(chǎn)品都會(huì)支持兩種以上的準(zhǔn)入控制方式。

#p#

三、 網(wǎng)關(guān)準(zhǔn)入控制——UTM2的四位一體

啟明星辰在2009年5月發(fā)布了UTM2 統(tǒng)一安全套件，采用了獨(dú)有特色的準(zhǔn)入控制方式——USG網(wǎng)關(guān)準(zhǔn)入控制。UTM2將安全網(wǎng)關(guān)、終端代理軟件、終端策略服務(wù)器、認(rèn)證控制點(diǎn)四位一體化部署，在終端數(shù)量龐大的情況下，還可將終端策略服務(wù)器平滑切換到獨(dú)立式工作模式。

在UTM2統(tǒng)一安全套件中，USG承擔(dān)了準(zhǔn)入控制網(wǎng)關(guān)（策略強(qiáng)制點(diǎn)）的功能。當(dāng)計(jì)算機(jī)終端需要通過(guò)天清漢馬USG進(jìn)行訪問(wèn)時(shí)，在天清漢馬USG上進(jìn)行安全監(jiān)察，確保只有安裝天珣客戶端程序、并且符合管理員所設(shè)置的企業(yè)安全策略的計(jì)算機(jī)終端才能通過(guò)天清漢馬USG進(jìn)行訪問(wèn)。

相對(duì)于其它的準(zhǔn)入控制方式，USG作為準(zhǔn)入控制網(wǎng)關(guān)，可實(shí)現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個(gè)區(qū)域和角落。其優(yōu)勢(shì)主要體現(xiàn)如下：

（1）網(wǎng)關(guān)位置是非常合適的準(zhǔn)入控制點(diǎn)

UTM的位置本身即位于安全域邊界（互聯(lián)網(wǎng)出口、服務(wù)器出口及辦公網(wǎng)出口等），從安全理論的角度講，對(duì)某個(gè)用戶進(jìn)行控制（包括訪問(wèn)控制、準(zhǔn)入控制、業(yè)務(wù)控制etc）的最佳位置就是在安全域的邊界；同時(shí)，UTM設(shè)備的入侵防御、防病毒、外連控制等模塊可以與準(zhǔn)入控制功能相互配合，UTM一旦發(fā)現(xiàn)某用戶行為違規(guī)，就可通過(guò)內(nèi)網(wǎng)管理系統(tǒng)直接斷開(kāi)該用戶的所有連接。從這個(gè)角度上講，UTM是最適合執(zhí)行準(zhǔn)入控制的網(wǎng)關(guān)設(shè)備。

（2）實(shí)現(xiàn)簡(jiǎn)單方便，成本低，易于部署

采用UTM網(wǎng)關(guān)配合內(nèi)網(wǎng)管理系統(tǒng)實(shí)現(xiàn)準(zhǔn)入控制，與基于802.1x/EOU等協(xié)議相比，業(yè)務(wù)實(shí)現(xiàn)流程清晰可靠、環(huán)節(jié)少，用戶只需要購(gòu)買少量UTM設(shè)備，采用透明方式部署至網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處，即可實(shí)現(xiàn)全面的準(zhǔn)入控制，且對(duì)用戶原有的業(yè)務(wù)流程不造成任何影響。

（3）控制力度強(qiáng)，覆蓋全面

與基于DHCP控制，ARP spoofing，DNS劫持等準(zhǔn)入控制相比，UTM準(zhǔn)入控制能力更強(qiáng)、更全面，終端用戶在任何情況下均無(wú)法突破或繞過(guò)準(zhǔn)入控制。

（4）與UTM其它安全功能進(jìn)行有機(jī)的配合

例如，在采用UTM作為VPN網(wǎng)關(guān)時(shí)，對(duì)接入的移動(dòng)用戶實(shí)施準(zhǔn)入控制，可為整個(gè)VPN體系提供更佳的安全防護(hù)措施，同時(shí)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶和VPN用戶的管理及準(zhǔn)入控制。除此以外，UTM設(shè)備還可根據(jù)終端的安全情況自動(dòng)配置合適的安全策略，如在終端未滿足某些安全要求的情況下開(kāi)放其訪問(wèn)修復(fù)服務(wù)器的權(quán)限。

內(nèi)網(wǎng)安全是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的熱門話題之一。在內(nèi)網(wǎng)安全產(chǎn)品架構(gòu)中，準(zhǔn)入控制方式至關(guān)重要。通過(guò)深入分析目前業(yè)界主要準(zhǔn)入控制機(jī)制的技術(shù)原理，我們可以發(fā)現(xiàn)，包括802.1X、終端防火墻、DHCP控制、ARP spoofing、DNS重定向等各有其優(yōu)缺點(diǎn)。一般地，我們可以根據(jù)企業(yè)網(wǎng)絡(luò)的具體情況，選擇一種或者多種準(zhǔn)入控制方案，完成內(nèi)網(wǎng)安全產(chǎn)品的部署。啟明星辰的UTM2統(tǒng)一安全套件，使用網(wǎng)關(guān)來(lái)完成準(zhǔn)入控制功能與終端安全軟件的有機(jī)配合，在易部署、強(qiáng)制性、統(tǒng)一性等準(zhǔn)入控制綜合能力上可圈可點(diǎn)。這也體現(xiàn)出，像啟明星辰這樣集多種網(wǎng)絡(luò)安全核心技術(shù)于一身的綜合類安全提供商，正在為整合企業(yè)網(wǎng)絡(luò)安全應(yīng)用做出有益的探索。

【編輯推薦】

1. 為內(nèi)網(wǎng)安全提供四級(jí)認(rèn)證 立體布控才是出路
2. 安全公司為創(chuàng)維家電打造可信內(nèi)網(wǎng)安全
3. 網(wǎng)關(guān)準(zhǔn)入控制—初探內(nèi)網(wǎng)安全的新思路