準入控制:讓企業網絡摘掉“公共場所”的帽子
基于主機的準入控制原理
基于網絡的準入控制主要有EAPOL技術、EAPOU技術,而基于主機的準入控制主要有應用準入控制、客戶端準入控制等等,由于基于網絡的準入控制需要花費相對較多的時間來部署和管理,企業用戶的網絡設備也不一定全面支持網絡準入,因此,易于部署的基于主機的準入控制是很多企業采用的首選,且這類部署適應性好,覆蓋面廣,不用像其他網絡設備依賴龐大的配置,對網絡的性能也沒有較多影響,還能做到基于進程的訪問控制及基于進程的帶寬管理。
1、應用準入控制
出口準入控制是部署上最容易實現的終端安全管理技術。其思路是先進入再控制,允許用戶使用網絡,在出口處部署安全控制設備(如防火墻、行為控制網關等)。
應用準入控制
用戶上網時,必須在出口的安全設備處進行身份認證和安全檢查,通過之后才能上網。
服務器控制
出口準入控制的優點是部署簡單,不需要安裝客戶端,而且具備流量控制、上網內容審計等功能,因此應用較為廣泛。其缺點是無法識別用戶身份是否假冒(如IP、MAC、帳號等),無法控制病毒在內網的傳播,而且無法控制外來用戶偷偷接入內網的行為(比如U盤拷貝等),不能從源頭上對終端安全進行控制,必須與其他終端安全控制技術結合,才能提供完整的終端安全管理解決方案。
客戶端準入控制的特點
系統及應用準入是在服務器的操作系統上安裝準入控制軟件,當電腦終端訪問服務器時,準入控制軟件會檢查對方的安全狀態,如果符合策略則允許訪問,如果不符合將拒絕對方的訪問,并給出相關提示。而客戶端準入控制是終端相互之間進行訪問時,安裝在終端上的軟件也會檢查對方的安全狀態。基于主機的準入控制點一般安裝在代理服務器、郵件服務器、內網Web服務器、DNS服務器上或DHCP服務器上。這些服務器是企業內部員工最常訪問的服務器,因此準入效果較好,覆蓋面廣。實際部署時,一般只需在一到兩個服務器上部署控制點即可做到對全局的準入控制。
2、客戶端準入控制
客戶端準入控制是最常見的終端安全管理技術,往往與防病毒軟件、個人防火墻等結合在一起。客戶端準入控制的原理是認為來訪用戶都不可靠,因此必須在終端上安裝客戶端安全軟件,時刻對其安全狀態(如進程、注冊表、引導區、網絡連接狀態、網頁訪問狀態等)進行監控,一旦出現異常,就提示用戶或者按預設策略進行處理。
終端用戶控制
客戶端準入控制的優點是控制能力強,能夠檢查操作系統、網絡和應用層的安全問題。其缺點是經常需要用戶自行判斷,對用戶的安全知識有較高要求,占用系統資源較多;同時無法保證客戶端的運行情況,當端戶貝等),因此在企業內部使用時,無法避免客戶端被卸載或重裝系統、不運行等情況發生。
其他終端安全管理技術
基于主機的準入控制其控制強度較弱,也是不可回避的,除此之外,從安全策略的實施點看,目前業界采用的終端安全管理技術主要還有:
1、服務器準入控制
服務器準入控制技術的原理是在應用服務器上安裝準入控制軟件,一般安裝在DHCP服務器、DNS服務器或代理服務器上。當電腦終端訪問服務器時,準入控制軟件會彈出頁面要求用戶登錄,檢查對方的安全狀態,如果符合策略則允許訪問,如果不符合將拒絕對方的訪問,并給出相關提示。
服務器準入控制的部署比較簡單,對網絡設備環境基本沒有要求,但是容易受到安全攻擊的影響(如DHCP攻擊),而且對源頭客戶端的病毒傳播難以控制,無法解決外來用戶的私自接入問題。
2、網絡準入控制
網絡準入控制技術的原理是從網絡入口進行控制,通過網絡設備在接入端口處強制實施安全策略。用戶接入網絡時,必須運行客戶端軟件,經過身份認證和安全檢查,認證通過后才能使用網絡。由于網絡設備不可繞開,因此客戶端一旦被卸載或者操作系統被重裝,用戶將無法接入。
網絡準入控制的優點是基于用戶身份與網絡設備緊密配合,安全策略可以得到強制實施。其缺點是部署繁復,成本較高,主要在大中型企業得到廣泛應用。
準入控制的不同層次
準入控制技術各有其優缺點,但從安全策略的實施方面來看,基于網絡的準入控制技術由于網絡設備可以實現強制安全決策,安全度較高,但管理及部署門檻也較高。
【編輯推薦】
