互联网企业网络安全架构系列之四 —— 办公网网络准入控制

发布时间：2014-08-13 15:58:21作者：知识屋

网络划分之后，解决了各个终端的网络访问权限问题，不同的部门不同的人只能看到不同的业务。下一个问题就是网络的接入控制了，用来解决非公司授权设备接入公司网络和已授权但是安全性不足设备接入公司网络的问题。BTW，今天天气很糟糕，毛毛细雨一直在下，这种情况下我一般都会有点消沉，所以希望这一部分不会写得特别的糟糕——像前几篇那种的一般糟糕我还是接受的。

网络接入控制本质上非常的简单，客户端收集安全信息，发送到策略服务器，策略服务器将检查结果通知控制设备，控制设备根据结果做出具体的措施，准许或者拦截。各大厂家的不同之处在于如何拒绝安全检查没有通过的设备，在这一块上可以使用的协议太多，我试图从底层逐渐往上层的去介绍。大家应该还记得，网络划分中介绍过基于MAC地址的VMPS方案，显然这个方案可以在划分动态vlan的同时，还能够实现简单的网络接入控制。缺点也很明显，功能简单，它只能够做到区分授权设备和未授权设备，而不能对这些设备是否安全提供保证。另外，对网卡的MAC地址进行修改可以绕过限制。而且想要整个系统好用还需要做很多开发方面的工作。对于较大规模比较重视安全的企业来说，这不是一个好的选择。

作为工作在二层的协议，除了VMPS之外我们应该马上想到前面介绍的802.1X，因为对它最简单的描述就是它可以确定一个端口在逻辑上是否可以开放，而且认证使用的是EAP这个可扩展的认证协议框架，先天上就为准入控制做好了一切准备。当用户设备接入网络开始802.1X认证时，接入层将用户的登录信息以及健康信息一并发送给做为radius存在的策略服务器检验，任意一个不通过都在交换机上将端口逻辑关闭，或者划分到GUEST VLAN进行修复。可以看到，这种准入和利用802.1X做动态VLAN是完全不冲突的，可以很好的协同工作。由于这种准入是在连入接入层交换机时进行的，所以一般称之为EAPOL（EAP Over Lan）。相对应的，思科又提出了一种EAPOU（EAP Over UDP）的概念。（昨天去绍兴滑雪了一天。今天一到公司就被人影响，心情很坏，不过还是坚持继续下去。）思科认为基础的802.1X方式做准入，设备要求太高，全部的接入层交换机都需要支持802.1X，而且部署成本也较高，需要在全部的接入层交换机上面做变更。于是他们试图把准入从接入层提高的汇聚层，这样将EAP封装到UDP中形成EAPOU方案。优点就是解决了上文EAPOL中的缺点，但是自己却又引入了新的缺点，那就是接入控制的层次太高，只能阻止未通过安全检查的设备访问跨越汇聚层的访问，低于接入层交换机之内的互相攻击、病毒传染无能为力。

再往上一点，有DHCP控制，简单的说就是没有通过安全检查的设备，补给你分配IP地址。显然，这也不是一个特别靠谱的方式，不用去讲太多。

微软在Windows 2008 server中，引入了一个完整的NAP（Network Access Protection）方案。这是一个非常有意思的东西，他们把X509证书引入进来，通过给接入设备颁发健康证书的方式来做控制，设备之间强制使用IPSec进行通信。没有健康证书的设备，在试图和健康的设备通信时，因为没有健康证书而无法建立起安全的IPSec通道。这是我觉得非常好玩的一个东西，可惜被限制在Windows平台。

对入接入控制，除了健康检查、主动修复外，我一直希望有一个主控端存在，能够通过这个主控端强制去分发某些安全补丁。另外一点，在网络划分那里，我曾经说过规模大了的时候动态VLAN已经未必适合了，在某些情况下，通过接入控制客户端提供一个分布式的防火墙，在主控端做一些ACL也许是一个选择。

不想写下去了，我并不善于控制自己的情绪，很抱歉，这一篇我以后重写一次。

作者：云舒

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）