首页联系我们
联系我们
加入UTrust渠道计划
网络准入控制系统
网络准入控制系统
1. 企业网络现状
随着我国信息系统建设的普及和成熟,企业的信息系统和网络变得越来越复杂。企业间的合作也变得非常普遍。这就要求各个企业必须对网络接入进行管理。同时,由于企业合作增多、移动办公的要求、人员流动的加快,对企业内部网络的边界保护就变得非常重要。对于政府集团来说,内部有大量的重要商业资料,而外来访问的人员也较多,在终端的安全管理上还很缺乏。目前将存在如下的问题:
1、员工私改IP,以获得访问一些重要应用和服务器的权限

2、外来人员进入内网,私下访问内部应用,获得商业数据

3、外面人员通过获取无线账号密码,访问内网资源,或是进入服务器进行灾难性的破坏。
4、终端PC由于没有安全的健康检查,会导致容易遭受病毒和攻击
2. 需求分析
根据上述需求的分析,企事业单位网络管理需要一套完整的准入控制系统,所谓的准入控制就是指通过技术手段,加强网络中人(用户)、终端以及网络接入的管理,基本功能需求总结如下:
1、 只有确定身份的用户(企业授权的员工)才能使用网络;
2、 只有符合企业规定(可以在桌面、软件系统、防毒系统、应用系统做出完整的规划和规则)的终端才允许接入网络;
3、 对终端参数(主机名、MAC地址等)增加监管功能;
4、 对于特定主机(出现问题的终端)能够快速定位到工位;
5、 能够对私接HUB和小路由器进行管控。
3. 解决方案
网络准入控制系统是一种基于实名制认证的管理系统,通过插件可以实现准入控制、实名制管理、统一认证、统一IP地址管理、强制桌面系统定制、实名制审计等功能。
方案理念
现在的互联网是开放的、基于IP地址管理的网络。任何人都可以在互联网上匿名传输信息,任意造访互联网上的任何终端。由于办公内网简单地照搬了互联网技术,就使得办公内网管理不到终端的使用者,很难按人(ID)进行管理和审计,给信息系统的安全留下了极大的隐患。
为了防止办公内网成为人人都能任意匿名访问的互联网,越来越多的办公内网开始实施准入控制,对终端接入办公内网时的使用者进行认证。
但目前的技术即使在实现了准入控制后,还是不能按人(ID)来管理网络。ACK从根本架构着手,以准入控制为基础,创立了一套基于用户身份管理的ID网管平台,实现了基于人的网络管理(即ID网络)。
另一方面,由于准入控制厂家的商业利益(不是为了多卖交换机,就是为了多卖终端软件)和技术局限,目前的准入控制厂家的方案很难对所有的网络和终端都实现准入控制(不是要求交换机都支持802.1x协议,就是要求终端全部安装终端软件)。UTrust ACK在网络准入技术上进行了创新,开发出了适合于各种网络设备和终端的准入技术,使得各企业能够轻易实现全网的准入控制,建立起安全的ID办公内网。
方案优势
兼容老旧网络设备,旁路部署,实现实名制准入控制;
无客户端,Web界面强制接入认证控制;
可按人管理的DHCP服务器;动态划分安全域、自动实施访问控制;
统一管理IP地址、网络设备、终端和用户账户,保护网络边界,防止非法外联;
企业级硬件设备;支持双机热备、灾备及分布式部署;
无需更改网络结构,即可建立与内网隔离的访客专网;
4. 方案效果
1) 网络接入实名制认证
完整的实名制准入控制,是全面ID网络管理的基础。认证就是需要对所有使用PC接入办公网络的人员进行身份确认,要求可以记录人员入网记录。可以通过UKEY,动态口令,数字证书,静态口令,手机号码等认证模式实现实名制入网认证。
2) 精细到人和终端的网络管理
在网络中,所有的网络操作的基础是IP通信,实现网络中的IP地址进行全局规划和管理,并且能够灵活的对IP进行分配,可以控制员工使用PC的情况,细粒度的控制人、PC、IP地址三者之间的关系。通过统一管理可以发现非法IP的接入,非法网络设备的接入等等非法外联的情况发生。如:
  • 可以解决人、机的对应关系;
  • 可以发现私接路由和网络设备;
  • 可以发现下挂HUB(不可网管交换机)等情况;
3) 主机健康检查
符合企业网络管理规范的终端设备,才允许接入网络 许多非法外联发生在应用层,如移动存储介质、网页、邮件等等。UTrust ACK系列主要是在网络层实现对非法外联的监控,应用层的网络行为和操作行为主要依靠应用的系统来实现,如安全桌面系统、网络行为管理等等;以安全桌面系统为例,可以实现对操作的监控,对使用移动介质的审计和管理等等,UTrust NAC系列通过主机健康检查实现强制用户安装安全桌面软件,从而实现整体网络安全的规划和监控。
4) 加固内、外网隔离,防止“非法外联”
从用户终端层面,即使实现了内外网隔离,非法外联的可能性还在于多网络连接问题。如终端通过网卡、双绞线接入到网络中来,然后又起用无线网卡、3G网卡(连接)、双网卡连接ADSL、使用代理等等情况,实现终端连接到不同的网络,把内网的信息通过第二个网络连接传递出去,逃避监管。
其次是网络层面,通过对交换机、路由器等设备管理和监测,及时发现使用路由器、交换机、HUB等设备造成的网络互通而形成的非法外联现象。
5) 第三方(访客)管理
在各种网络环境中经常会遇到下列情况:朋友来访,突然有急事需要自带的笔记本电脑接入到内网中来收取邮件;网络中的某应用系统出现问题,需要开发商的工程师来现场调试(可能是长期的驻守)等等。无论是前一种情况(访客),还是有一种情况(第三方),都需要给他一个IP地址,让他接入网络,并可以实现对整个内网的访问。这种情况属于非常危险的做法。
网络准入控制系统采用访客网概念和技术实现对上述情况下的安全控制。在网络准入系统中,允许这类人员接入网络,但是会分配不同的IP地址,该地址只能访问互联网而不能访问内网(对访客来讲),或者只能访问某一台应用服务器,而不能访问整个内网(对于第三方来讲)。
6) 私改IP地址的监控
监控IP地址使用状况,杜绝私改IP的行为,防止IP地址冲突
  • 自动收集终端信息:部署时自动收集网内IP-MAC地址等网络信息,无需人工添加。
  • IP地址使用监控:实时监测所有固定地址和动态分配地址使用状态。
  • 及时阻断非法终端:发现私改IP行为立即予以阻断,不影响其他终端设备正常使用。
  • 非法行为记录:记录非法操作用户ID、IP地址、MAC信息和时间,方便追查。
7) 移动办公管理
移动办公的主要思路是实现按人、按用户的认证、IP分配和管理。即无论该用户在网络中那个位置、那个VLAN中登录,都会通过认证,并且分配给与其身份相对应的权限和IP地址。
8) 用户入网记录审计
对入网行为进行记录,审计必须是实名审计,必须提供精确到人的日志记录,管理员可以查看历史信息作为事后审计。
9) 网址管理和网段划分
  • 按部门划分网络安全域
  • 防止终端非法接入非授权的安全域
  • 固定IP网络,中心控制管理
  • 准入控制的动态网络
  • 动态下发VLAN 和ACL
5. 部署方案
在不改变企业原有网络拓扑的情况下,并满足当前需求的情况下,解决方案的总体拓扑如图所示: