基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题
技术领域
本发明属于信息安全领域,涉及网络准入控制技术,主要涉及到基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题。
背景技术
伴随国家信息化建设水平的不断提高,相关企事业单位及国家职能部门的网络建设也逐步完善,但随之而来的网络安全问题也越来越多,许多单位为保证内部网络环境的接入安全,部署了传统的终端准入控系统,用于防护非法终端在接入网络时可能给网络带来的未知安全问题。
目前市场上主流的准入控制厂家多数依靠的准入控制技术如:802.1x/MAB准入技术、策略路由、SNMP、ARP、DHCP、SPAN等。每种准入技术都对网络环境和准入需求有限制,且准入管理力度和能管控的安全事件也有所限制,无法通过某种单一的准入技术来应对日趋多变的网络环境和安全漏洞。不同的网络环境(如:路由网、交换网、VPN网络、静态IP环境、DHCP环境、无线网络等);不同的接入设备类型(如:电脑、打印设备、监控、网络设备、工控机、门禁、移动设备等);不同级别的准入需求(如:边界级准入、端口级准入、应用级准入等),这些都是实际存在且会限制准入系统部署影响因素。目前市场上主流的各项准入控制技术都有各自的适用环境和安全短板。对于越来越复杂的企业网络结构、多元化的网络结构、多场景的办公环境,只利用某一种或两种准入技术是无法满足用户的准入需求。
要想全面考虑网络环境、设备类型、准入管控方式等问题,就需要将以上提到的各种准入技术全部结合并根据其适用范围重新做调整。为解决上述问题,本发明主要通过一种基于混合准入技术来解决目前单一准入技术带来的管控漏洞与环境兼容性问题。
发明内容
本发明的核心为混合准入技术,将目前主流的准入技术进行优化改进并融合。以达到单套准入系统能够具备同时使用多种准入技术,所涉及的准入技术包括:DHCP准入技术、ARP准入技术、SNMP准入技术、MAB准入技术(MAC Authentication Bypass,MAC旁路认证,属于802.1x准入技术的衍生技术)、SPAN数据镜像准入技术。这几种准入技术均可在对应的场景中单独使用,也可以基于不同的网络环境、不同的准入需求同时启用多种准入技术来满足准入管理的需要。
基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题的实现方法如下:
S1:将具备混合准入技术的准入服务器纯旁路部署在需要做准入管理的网络;
S2:需要在具备混合准入技术的准入系统中添加所有需要管控网段;
S3:根据实际准入要求配置终端准入检查策略;
S4:根据部署的网络环境以及准入策略需求选择启用混合准入技术中相符合的单个或者多种准入技术进行检查;
S5:当混合准入技术检测到有终端不符合S3步骤配置的策略时,通过S4步骤配置好的单个或多个准入技术对其采取阻断措施。
对于网关配置在核心交换机上的vlan网段范围(交换网环境),可应用混合准入技术中的ARP准入技术,将该地址段范围内所有类型终端纳入准入监控范围,如出现非法接入或其他违规行为,针对该范围终端使用ARP准入单一阻断该终端。既能实现边界级准入,同时兼容了HUB及不可网管交换机环境。
在包含DHCP的网络环境中,由于入网终端的IP地址是通过DHCP服务器分配的,因此可将DHCP服务迁移到具有混合准入技术的准入服务器上。启用混合准入技术中的DHCP准入功能,管理员通过在准入服务器管理界面上配置DHCP自动绑定功能以及入网终端合法合规性检查等策略。当非法终端接入或已接入终端违规时,DHCP准入自动为该终端分配隔一个离网IP地址,限制该终端的访问权限。同时可提供portal引导界面要求其完成信息注册、用户认证等,在终端恢复正常后,系统则会为该终端分配合法的的IP地址,以此实现对DHCP环境下的终端准入控制。
对于安全要求较高,或者必须采用802.1x类准入技术来实现准入控制的网络环境,可启用混合准入技术中的SNMP准入来进行管控。如果需要采用国际标准的准入技术,则可启用混合准入技术中的802.1x(MAB)准入来管控。此时准入服务器将会充当一台Radius认证服务器,通过在交换机上配置MAB认证命令,并将认证服务器IP指定位准入服务器的IP。之后所有接入该交换机上的终端都需要准入服务器对其合规状态进行判断,混合准入技术会基于判断结果确定该终端是否可以接入网络,如果终端不符合接入条件,则混合准入技术会通过radius认证向交换机返回认证失败的值,从而阻断终端。
要实现端口级的准入控制还可以选择混合准入技术中的SNMP准入方式。该方式是通过混合准入技术中的SNMP准入功能与网络中已经配置了SNMP协议的的交换机进行联动,在准入服务器里获取到每台交换机的端口状态、级联关系以及接入终端的相关信息。当发现非法接入或违规终端时,混合准入技术会调用SNMP协议将交换机上接入该终端的端口关闭,从物理链路上断开终端的网络连接,从而实现端口级的准入效果。
对于跨区域的路由网络结构,且为静态IP地址环境,无法使DHCP和ARP准入技术。对于该类情况,可启用混合准入技术中的SPAN数据镜像准入技术和SNMP准入技术来共同实现该区域网络的准入管控。通过SPAN准入技术添加需要管理的IP地址段,并利用SNMP准入技术联动网内所有网络交换机的SNMP协议。当出现非法终端或未知终端新接入网时,混合准入技术可调用SNMP来关闭该终端的接入端口,防止其持续接入网络,达到端口级准入管控的目的。当已经入网但未完成其他安全要求的终端出现轻度违规(如:病毒库未及时更新、IP绑定错误、未登陆用户等),则可以利用SPAN数据镜像来阻断电脑与web服务或互联网的访问。通过流量重定向功能,引导该终端进行问题修复,当修复完成后,SAPN即可解除对该电脑的访问拦截。
另外,该混合准入技术还支持对于不同的准入安全事件采取不同安全级别的准入技术来进行阻断。而不是像传统的准入技术,对于任何准入问题都采取同一种手段来阻断。如此做法的好处是,既能基于安全等级来采取不同力度的准入技术进行防护,也考虑了使用者的实际使用体验,混合准入技术支持检查的准入安全问题覆盖面也更广。
附图:
图1为本发明基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题的部署示意图;
图2为本发明基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题的准入事件配置一览表;
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
图1为本发明涉及到的混合准入技术在常见的一种网络环境中的应用部署示意图。用于解决单一准入技术在环境兼容性上存在的问题。具体配置步骤如下:
S101:将具备混合准入技术的准入服务器纯旁路部署在需要做准入管理的网络中的核心交换上,配置Trunk接入,将应用服务器区域和网络出口节点的数据流量通过配置数据镜像(SPAN),将其发送到准入服务器上;
S102:需要在具备混合准入技术的准入系统中添加所有需要管控范围内的vlan/IP地址段;
S103:根据实际准入要求配置终端准入检查策略;
S104:根据部署的网络环境以及准入策略需求选择启用混合准入技术中相符合的单个或者多种准入技术进行检查;
S105:当混合准入技术检测到有终端不符合S103步骤配置的策略时,通过S104步骤配置好的单个或多个准入技术对其采取阻断措施。
如图2所示,为本发明对于不同的准入安全事件采取不同安全级别的准入技术来进行检查或者阻断,目的为解决单一准入技术对于不同安全事件的的管控存在安全漏洞问题。使用者对于每种准入事件,只需根据管理需要开启或关闭对应的检查或者阻断开关即可。部分事件由于底层技术原理限制,无法进行配置。
以上所述,为本发明较佳的实施案例,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所披露的技术范围内,可轻易的想到的修改、等同替换、改进等,均应涵盖在本发明保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
