准入控制 让企业网络系统不再是“公共场所”

准入控制是终端管理基础

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，如果一个企业的网络系统变成任人进出的"公共场所"，索尼的"前车之鉴"就可能在任何一家企业"重演"了。

最近一段时间内，Skype、宏碁、任天堂等信息科技企业接连传出被黑客攻击的消息。甚至包括美国联邦调查局(FBI)、美国中央情报局(CIA)、西班牙及土耳其警方在内的多个政府机构也不能幸免。而此前传出被黑客入侵导致重要客户信息泄露的花旗银行，更令整个金融界人心惶惶，一时间众多企业人人自危，担心步至今仍灰头土脸的索尼后尘：一着不慎，满盘皆输。

网络安全需要构建的是整体的系统及架构，除了专业的团队、合理的机制外，更需要完善的技术支撑。目前，准入控制技术是行之有效的能够主动监控电脑安全状态和管理状态，将不安全的PC终端进行隔离、修复的技术之一。

一、什么是准入控制技术?

准入控制是网络准入控制(NAC)的简称，最早是由互联网解决方案提供商思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴网络恶意攻击技术对企业安全造成危害。

准入控制简要原理

借助准入控制，企业用户可以只允许合法的、值得信任的终端设备接入企业网络系统，而不允许其它未经许可的设备接入。

在独立技术和市场调研公司 Forrester 对NAC厂商的排名中，我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准：

·Unified management (整合管理)

·Integration (集成度，或兼容性)

·Clientless (agentless) mode (无客户端模式)

·Hardware (appliance) (硬件应用)

基于主机的准入控制原理

·Heavy focus on IT consumerization, mobile device control and data center virtualization (关注前端、移动端和虚拟化)

准入控制可对网络边界进行保护，对接入网络的终端和终端的使用人进行合规检查及认证授权;还可与传统的网络安全技术结合，将被动防御变为主动的立体防御，能够有效促进内网安全建设，减少网络事故。

二、基于主机的准入控制原理

目前的准入控制技术主要分为两大类：基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有EAPOL技术、EAPOU技术;基于主机的准入控制主要有应用准入控制、客户端准入控制等等，由于基于网络的准入控制需要花费相对较多的时间来部署和管理，企业用户的网络设备也不一定全面支持网络准入，因此，易于部署的基于主机的准入控制是很多企业采用的首选，且这类部署适应性好，覆盖面广，不用像其他网络设备依赖庞大的配置，对网络的性能也没有较多影响，还能做到基于进程的访问控制及基于进程的带宽管理。

基于网络与基于主机的准入控制对比

1、应用准入控制

出口准入控制是部署上最容易实现的终端安全管理技术。其思路是先进入再控制，允许用户使用网络，在出口处部署安全控制设备(如防火墙、行为控制网关等)。

应用准入控制

用户上网时，必须在出口的安全设备处进行身份认证和安全检查，通过之后才能上网。

服务器控制

出口准入控制的优点是部署简单，不需要安装客户端，而且具备流量控制、上网内容审计等功能，因此应用较为广泛。其缺点是无法识别用户身份是否假冒(如IP、MAC、帐号等)，无法控制病毒在内网的传播，而且无法控制外来用户偷偷接入内网的行为(比如U盘拷贝等)，不能从源头上对终端安全进行控制，必须与其他终端安全控制技术结合，才能提供完整的终端安全管理解决方案。

客户端准入控制的特点

系统及应用准入是在服务器的操作系统上安装准入控制软件，当电脑终端访问服务器时，准入控制软件会检查对方的安全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。而客户端准入控制是终端相互之间进行访问时，安装在终端上的软件也会检查对方的安全状态。基于主机的准入控制点一般安装在代理服务器、邮件服务器、内网Web服务器、DNS服务器上或DHCP服务器上。这些服务器是企业内部员工最常访问的服务器，因此准入效果较好，覆盖面广。实际部署时，一般只需在一到两个服务器上部署控制点即可做到对全局的准入控制。

2、客户端准入控制

客户端准入控制是最常见的终端安全管理技术，往往与防病毒软件、个人防火墙等结合在一起。客户端准入控制的原理是认为来访用户都不可靠，因此必须在终端上安装客户端安全软件，时刻对其安全状态(如进程、注册表、引导区、网络连接状态、网页访问状态等)进行监控，一旦出现异常，就提示用户或者按预设策略进行处理。

终端用户控制

客户端准入控制的优点是控制能力强，能够检查操作系统、网络和应用层的安全问题。其缺点是经常需要用户自行判断，对用户的安全知识有较高要求，占用系统资源较多;同时无法保证客户端的运行情况，当端户贝等)，因此在企业内部使用时，无法避免客户端被卸载或重装系统、不运行等情况发生。

不同准入控制方式对比

基于主机的准入控制其控制强度较弱，也是不可回避的，除此之外，从安全策略的实施点看，目前业界采用的终端安全管理技术主要还有：

1、服务器准入控制

服务器准入控制技术的原理是在应用服务器上安装准入控制软件，一般安装在DHCP服务器、DNS服务器或代理服务器上。当电脑终端访问服务器时，准入控制软件会弹出页面要求用户登录，检查对方的安全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。

服务器准入控制的部署比较简单，对网络设备环境基本没有要求，但是容易受到安全攻击的影响(如DHCP攻击)，而且对源头客户端的病毒传播难以控制，无法解决外来用户的私自接入问题。

网络准入控制的特点

2、网络准入控制

网络准入控制技术的原理是从网络入口进行控制，通过网络设备在接入端口处强制实施安全策略。用户接入网络时，必须运行客户端软件，经过身份认证和安全检查，认证通过后才能使用网络。由于网络设备不可绕开，因此客户端一旦被卸载或者操作系统被重装，用户将无法接入。

网络准入控制的优点是基于用户身份与网络设备紧密配合，安全策略可以得到强制实施。其缺点是部署繁复，成本较高，主要在大中型企业得到广泛应用。

准入控制的不同层次

以上的控制技术各有其优缺点，但从安全策略的实施方面来看，基于网络的准入控制技术由于网络设备可以实现强制安全决策，安全度较高，但管理及部署门槛也较高。

三、准入控制并不是一劳永逸：

构建完善的准入控制系统，应该坚持保持企业原有网络架构基本不变、不影响正常网络业务的情况下开展。

准入控制可与防火墙等配备部署

准入控制能够保障访问网络系统的用户是可信任级别，但这些访问用户的计算机设备也很容易感染恶意软件，因此，由准入控制系统搭配防毒墙、防火墙的应用，也是行之有效的。除了设备的完善外，企业的准入制度规范也应贯彻。

部署准入控制，实现主动防御

基于网络准入的终端安全解决方案虽然保证了安全策略的实施，但仍然存在被动防御的问题，缺少与其他的安全设备、安全软件进行联动的机制，不能主动对网络信息和安全信息进行收集。

准入控制系统还可以从多个安全软件客户端搜集安全状态信息，并将这些信息发送到相连的、制定访问控制决策的网络及监管中心，实现快速决策。

准入控制并不是一劳永逸

实名制业务系统和服务资源访问

企业网络管理者可以通过与绩效等相关的因素，对访问内部资源的PC用户进行授权管理，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统。

实现实名访问控制

借助实名制管理系统，还可以帮助企业管理者实施实名制终端行为审计和实名制移动存储管理，即便是内网意外发生安全事件，借助实名管理系统，即可精确定位到发起网络访问的终端和用户账号，确定责任人。

明确安全策略

在终端安全管理中，安全策略的控制与实施是实现所有终端管理功能的基础所在。采用安全策略控制技术能够对终端用户进行身份认证，对安全状态进行检查，将不合格的终端进行隔离、强制修复，从而有效促进内网的合规建设，减少网络事故。

由于现阶段网络应用的普及和云计算的兴起，"准入控制"系统的部署会变得越来越重要，终端管理问题层出不穷，但只要把握了安全入口，建立完善准入制度及规章，贯彻安全访问方法，融入其他软件系统的安全技术，建立行之有效主动防御的安全体系，就可以将损失降到最低。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。