【正文】 問控制，但由防火墻發(fā)展來的網(wǎng)絡(luò)Plugin無疑具有更好的訪問控制功能，有些產(chǎn)品聲稱具有7層過濾功能。網(wǎng)絡(luò)Plugin技術(shù)除了具有EAPOU一樣的優(yōu)點(diǎn)之外，還具有訪問控制能力更強(qiáng)的優(yōu)點(diǎn)。但其缺點(diǎn)也很明顯，首先它會(huì)改變網(wǎng)絡(luò)拓?fù)洌黾庸芾淼膹?fù)雜性，增加單點(diǎn)故障的幾率；其次它的準(zhǔn)入控制強(qiáng)度和EAPOU一樣，稍微弱了一些；第三Plugin設(shè)備的會(huì)顯著增加用戶的投資，所以企業(yè)一般將其用在互聯(lián)網(wǎng)出口成為“準(zhǔn)出”，以減少部署的數(shù)量。網(wǎng)絡(luò)Plugin的部署及覆蓋示意圖下表是各種網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的對(duì)比：準(zhǔn)入控制技術(shù)優(yōu)點(diǎn)缺點(diǎn)基于網(wǎng)絡(luò)的準(zhǔn)入控制EAPOL支持標(biāo)準(zhǔn)協(xié)議強(qiáng)度最大的準(zhǔn)入控制覆蓋面較廣設(shè)備依賴性大部署配置難度大EAPOU對(duì)接入設(shè)備要求不高覆蓋面較廣部署較EAPOL容易準(zhǔn)入控制強(qiáng)度不高僅思科設(shè)備支持協(xié)議上有原理性缺陷網(wǎng)絡(luò)Plugin對(duì)接入設(shè)備要求不高覆蓋面較廣部署較容易訪問控制功能好需改變網(wǎng)絡(luò)拓?fù)涔芾韽?fù)雜準(zhǔn)入控制強(qiáng)度不高綜上所述，每一種網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)都有其優(yōu)點(diǎn)和缺點(diǎn)，在實(shí)際部署中需要結(jié)合網(wǎng)絡(luò)的實(shí)際環(huán)境來選擇相應(yīng)的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，才能達(dá)到最好的效果。目前**接入層交換機(jī)均為Cisco系列可網(wǎng)管交換機(jī)，具有良好的設(shè)備基礎(chǔ)，因此我們建議采用由網(wǎng)絡(luò)設(shè)備廠商出品的基于EAPOL技術(shù)的網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品，例如Cisco的NAC和H3C的EAD。 網(wǎng)絡(luò)準(zhǔn)入控制方案Cisco NAC方案公司NAC部署圖如上圖所示，根據(jù)不同的用戶接入方式提供不同的NAC接入方式：1) 局域網(wǎng)用戶接入控制對(duì)于辦公樓的局域網(wǎng)用戶，使用基于CCA 的L2帶外透明網(wǎng)關(guān)（L2 OOB VGW）方式進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制設(shè)計(jì)。在用戶初始狀態(tài)下，相關(guān)接入端口為認(rèn)證VLAN(Authentication VLAN)。此時(shí)用戶所有網(wǎng)絡(luò)流量均通過CAS進(jìn)行控制，用戶必須進(jìn)行相關(guān)身份認(rèn)證。此后我們將根據(jù)用戶的身份所屬類別進(jìn)行終端安全狀態(tài)的檢查，例如掌管核心企業(yè)機(jī)密級(jí)別的用戶所需要的安全檢查內(nèi)容與嚴(yán)格程度將比普通職員高出許多，具體的檢查內(nèi)容將由公司的管理策略決定。當(dāng)用戶通過認(rèn)證之后，將進(jìn)行相關(guān)的終端狀態(tài)檢查，以及必要的軟件安裝或補(bǔ)丁升級(jí)工作。此時(shí)該用戶只能訪問特定的網(wǎng)絡(luò)資源，以滿足必要的終端升級(jí)需求。L2 OOB VGW方式在通過認(rèn)證之后，用戶所接端口將切換到正常VLAN，所有網(wǎng)絡(luò)流量不再通過CAS。2) 無線接入用戶接入控制對(duì)于無線接入用戶，使用基于CCA 的L2帶內(nèi)透明網(wǎng)關(guān)（L2 IB VGW）方式進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制設(shè)計(jì)。在用戶初始狀態(tài)下，相關(guān)接入端口為認(rèn)證VLAN(Authentication VLAN)。此時(shí)用戶所有網(wǎng)絡(luò)流量均通過CAS進(jìn)行控制，用戶必須進(jìn)行相關(guān)身份認(rèn)證。此后我們將根據(jù)用戶的身份所屬類別進(jìn)行終端安全狀態(tài)的檢查，例如掌管核心企業(yè)機(jī)密級(jí)別的用戶所需要的安全檢查內(nèi)容與嚴(yán)格程度將比普通職員高出許多，具體的檢查內(nèi)容將由公司的管理策略決定。當(dāng)用戶通過認(rèn)證之后，將進(jìn)行相關(guān)的終端狀態(tài)檢查，以及必要的軟件安裝或補(bǔ)丁升級(jí)工作。此時(shí)該用戶只能訪問特定的網(wǎng)絡(luò)資源，以滿足必要的終端升級(jí)需求。L2 IB VGW方式在通過認(rèn)證之后，用戶所有網(wǎng)絡(luò)流量仍然需要經(jīng)過CAS進(jìn)行轉(zhuǎn)發(fā)。3) 訪客的接入控制在網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)中集成了訪客控制機(jī)制，包括訪客VLAN以及訪客帳戶、快捷訪問設(shè)置等等。訪問客戶即Guest，為保證訪客接入網(wǎng)絡(luò)的安全，可以給來訪的訪客提供臨時(shí)的帳號(hào)和密碼，對(duì)訪客終端不作上述二類那樣的安全要求，即不強(qiáng)制安裝客戶端代理Cisco Clean Access Agent和不做安全檢查。當(dāng)訪客輸入從IT部門獲得的零時(shí)帳號(hào)和密碼，通過Web Login的方式進(jìn)行身份認(rèn)證后，系統(tǒng)不檢查訪客終端的安全狀況，只授權(quán)其訪問internet和一些指定網(wǎng)段。4) 家庭用戶接入位于宿舍樓的家庭用戶可直接接入網(wǎng)絡(luò)，不需要任何驗(yàn)證即可通過公司網(wǎng)絡(luò)直接連接互聯(lián)網(wǎng)，用戶如需訪問公司局域網(wǎng)，則可通過IPSEC/VPN接入。H3C EAD方案1）在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過交換機(jī)接入企業(yè)網(wǎng)絡(luò)。這些接入終端的安全狀態(tài)將直接影響整個(gè)網(wǎng)絡(luò)的運(yùn)行安全。為了確保只有符合企業(yè)安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò)，EAD可以通過交換機(jī)的配合，幫助管理員實(shí)施企業(yè)安全策略，確保終端病毒庫和系統(tǒng)補(bǔ)丁得到及時(shí)更新，降低病毒和蠕蟲蔓延的風(fēng)險(xiǎn)，阻止來自企業(yè)內(nèi)部的安全威脅。WLAN接入的用戶終端具有漫游性，經(jīng)常脫離企業(yè)網(wǎng)絡(luò)管理員的監(jiān)控，容易感染病毒和木馬或出現(xiàn)長期不更新系統(tǒng)補(bǔ)丁的現(xiàn)象。與局域網(wǎng)接入防護(hù)類似，對(duì)于這種無線接入的用戶，EAD也可以在交換機(jī)配合下，對(duì)用戶的身份和安全狀態(tài)進(jìn)行認(rèn)證與評(píng)估，防止外來病毒和蠕蟲對(duì)網(wǎng)絡(luò)的攻擊。2）VPN接入組網(wǎng)方案企業(yè)和機(jī)構(gòu)經(jīng)常允許移動(dòng)辦公員工或外部合作人員通過VPN方式接入企業(yè)內(nèi)部網(wǎng)絡(luò)。遠(yuǎn)程接入的用戶由于其來源的復(fù)雜性，往往會(huì)給企業(yè)網(wǎng)絡(luò)帶來嚴(yán)重的安全隱患。EAD方案可以通過VPN網(wǎng)關(guān)確保遠(yuǎn)程接入用戶在進(jìn)入企業(yè)內(nèi)部網(wǎng)之前，安裝最新的病毒庫和系統(tǒng)補(bǔ)丁。對(duì)于沒有安裝EAD安全客戶端的遠(yuǎn)程用戶，管理員可以選擇拒絕其訪問內(nèi)部網(wǎng)絡(luò)或限制其訪問權(quán)限。3）Portal接入組網(wǎng)方案EAD可以配合路由器、高端交換機(jī)等設(shè)備，結(jié)合Porta認(rèn)證方式在匯聚層實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的端點(diǎn)準(zhǔn)入控制。這種組網(wǎng)方案具有適應(yīng)性廣的特點(diǎn)，可以應(yīng)用與企業(yè)網(wǎng)絡(luò)出口、分支機(jī)構(gòu)入口、關(guān)鍵區(qū)域保護(hù)等多種應(yīng)用場景。EAD的安全防護(hù)層次不僅僅限于用戶接入控制，某些企業(yè)可能更關(guān)心對(duì)于核心數(shù)據(jù)區(qū)域（比如數(shù)據(jù)中心、ERP服務(wù)器區(qū)等）的安全保護(hù)。通過在關(guān)鍵數(shù)據(jù)區(qū)的入口添加安全聯(lián)動(dòng)路由器，EAD可以強(qiáng)制所有訪問關(guān)鍵數(shù)據(jù)區(qū)的用戶進(jìn)行Portal認(rèn)證和安全狀態(tài)檢查，確保用戶訪問關(guān)鍵數(shù)據(jù)時(shí)不會(huì)無意中因病毒和蠕蟲對(duì)其產(chǎn)生破壞。這種保護(hù)方式也可以阻止外部用戶對(duì)企業(yè)敏感數(shù)據(jù)的非法訪問和攻擊。大型企業(yè)往往擁有分支或下屬機(jī)構(gòu)，分支機(jī)構(gòu)可以通過專線或WAN連接企業(yè)總部。某些企業(yè)甚至允許家庭辦公用戶或出差員工直接訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。這種組網(wǎng)方式在開放型的商業(yè)企業(yè)中比較普遍，受到的安全威脅也更嚴(yán)重。為了確保接入企業(yè)內(nèi)部網(wǎng)的用戶具有合法身份且符合企業(yè)安全標(biāo)準(zhǔn)，可以在企業(yè)入口路由器中實(shí)施EAD準(zhǔn)入認(rèn)證，強(qiáng)制接入用戶進(jìn)行Portal認(rèn)證和安全狀態(tài)檢查。用戶終端在企業(yè)網(wǎng)內(nèi)部訪問時(shí)，受到的安全威脅相對(duì)較小。但當(dāng)用戶試圖訪問外部網(wǎng)絡(luò)時(shí)，其受到非法攻擊和病毒感染的幾率則要成倍增加，如果用戶在訪問外網(wǎng)時(shí)沒有及時(shí)安裝補(bǔ)丁或升級(jí)病毒庫，則其系統(tǒng)中存在的漏洞將很可能成為外部攻擊的目標(biāo)，甚至成為攻擊企內(nèi)部網(wǎng)絡(luò)的“幫兇”。EAD可以在企業(yè)出口路由器中強(qiáng)制用戶進(jìn)行Portal認(rèn)證和安全狀態(tài)檢查，確保用戶訪問外網(wǎng)時(shí)具有符合企業(yè)標(biāo)準(zhǔn)的攻擊防御能力。兩種方案綜述Cisco NAC主要基于Cisco網(wǎng)絡(luò)設(shè)備，通過CAS組件認(rèn)證轉(zhuǎn)發(fā)Agent流量和CAM切換交換機(jī)端口VLAN等方式實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制。而華三 EAD主要基于華三網(wǎng)絡(luò)設(shè)備，其中安全策略服務(wù)器與華三交換機(jī)和第三方補(bǔ)丁、防病毒服務(wù)器聯(lián)動(dòng)，通過切換端口VLAN或下發(fā)ACL等方式實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制。需要注意的是Cisco交換機(jī)支持的是標(biāo)準(zhǔn)的EAP協(xié)議，實(shí)現(xiàn)的是基于端口的dot1x認(rèn)證，包括兩種模式Multihost和Singlehost。在Multihost模式下，無法妥善解決下接hub的問題，因?yàn)橥ㄟ^hub接入至同一交換機(jī)端口的多臺(tái)終端電腦，只要其中一臺(tái)通過了認(rèn)證，其他的未進(jìn)行認(rèn)證也可正常接入網(wǎng)絡(luò)。而Singlehost模式則可限制每個(gè)端口只能接入一臺(tái)終端電腦，通過hub接入的其他電腦將無法正常接入網(wǎng)絡(luò)，這樣即可有效控制下接HUB的問題。由于目前**接入層交換機(jī)均為Cisco2960和3560系列，所提供的端口可滿足所有用戶的接入需求，因此建議選擇Singlehost的模式，禁止用戶私自下接HUB逃避網(wǎng)絡(luò)準(zhǔn)入控制檢查?；谟脩舻膭?dòng)態(tài)VLANVLAN在控制廣播域的范圍、網(wǎng)絡(luò)安全、第三層地址的管理、和網(wǎng)絡(luò)資源的集中管理方面有重要的意義。目前**采用的是傳統(tǒng)的基于交換機(jī)端口劃分VLAN的方式，但這種方式很不靈活而且對(duì)于管理員來說工作量太大，很難滿足今天移動(dòng)用戶的VLAN管理需求。因此建議可以考慮在網(wǎng)絡(luò)設(shè)備與AD域聯(lián)動(dòng)進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制的同時(shí)，實(shí)現(xiàn)根據(jù)用戶登錄名動(dòng)態(tài)劃分VLAN，這樣無論用戶移動(dòng)到公司的哪個(gè)地點(diǎn)接入到網(wǎng)絡(luò)，都將可以自動(dòng)被分配至他所屬的VLAN，而不用管理員手工干預(yù)。 防火墻選型建議防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是一種由安全軟件、硬件平臺(tái)構(gòu)成的系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施存取控制策略。兩臺(tái)核心交換機(jī)配置千兆防火墻模塊，按照安全需求提供訪問控制、審計(jì)等功能，保障核心區(qū)域核心設(shè)備及重要服務(wù)器區(qū)(包括DB服務(wù)器區(qū)，呼叫中心服務(wù)器區(qū)，卡支付服務(wù)器，MAIL服務(wù)器、WEB服務(wù)器等)的安全。兩臺(tái)千兆防火墻實(shí)施HA的配置，主備機(jī)切換時(shí)間小于1秒，對(duì)防火墻失效狀態(tài)判斷準(zhǔn)確、全面、可靠，從機(jī)接管切換快，降低防火墻節(jié)點(diǎn)單點(diǎn)失效的風(fēng)險(xiǎn)。防火墻設(shè)備應(yīng)能實(shí)現(xiàn)以下功能：1） 高可用性解決方案，能夠在一秒鐘內(nèi)完成接口或設(shè)備的故障切換。2） 支持OSPF, BGP, RIPv2等多種路由協(xié)議。3） 防火墻管理用戶及VPN用戶驗(yàn)證支持RADIUS/LDAP等多種方式。4） 提供Web、SSH、SNMP、Telnet、等多種管理手段。5） 支持Syslog、Email、Snmp Trap等多種告警方式，支持Webtrends日志格式。6） 、MMS、IRC、Oracle等多種應(yīng)用協(xié)議。 IPS選型建議為了準(zhǔn)確、及時(shí)而且有效地阻止各種針對(duì)系統(tǒng)漏洞的攻擊，屏蔽蠕蟲、病毒和間諜軟件，防御DOS及DDOS攻擊，阻斷或限制P2P等應(yīng)用誤用和濫用，IPS必須具備以下五個(gè)條件才可以成為完成主動(dòng)式入侵防御的利器，IT部門才值得為其投入。IPS首先應(yīng)支持線內(nèi)工作模式，即其部署在數(shù)據(jù)傳輸?shù)穆窂街?，任何?shù)據(jù)流都必須經(jīng)過IPS并被檢測以立即發(fā)現(xiàn)攻擊、屏蔽蠕蟲、病毒和間諜軟件、DOS及DDOS攻擊、應(yīng)用誤用和濫用行為，而一旦發(fā)現(xiàn)，IPS應(yīng)立即阻斷攻擊，屏蔽蠕蟲、病毒和間諜軟件，以及阻斷和限制P2P等應(yīng)用誤用和濫用行為。IPS的線內(nèi)工作方式必須對(duì)現(xiàn)有網(wǎng)絡(luò)沒有影響，即其應(yīng)該工作在全透明模式，本身不需要設(shè)置IP地址，也沒有MAC地址，這樣才不需要對(duì)現(xiàn)有網(wǎng)絡(luò)作任何修改，而且對(duì)各種網(wǎng)絡(luò)協(xié)議完全透明，特別是VRRP、HSRP等網(wǎng)絡(luò)冗余協(xié)議，實(shí)現(xiàn)了即插即用，大大提高部署效率。既然IPS工作在線內(nèi)，其必保證實(shí)現(xiàn)入侵檢測和防御的同時(shí)不引入過大的處理延時(shí)，否則將成為網(wǎng)絡(luò)的瓶頸，而且會(huì)導(dǎo)致應(yīng)用系統(tǒng)的交易吞吐量下降，對(duì)于在多數(shù)的應(yīng)用，端到端的性能與延時(shí)成反比，加倍的延時(shí)使得完成一個(gè)任務(wù)花費(fèi)二倍多的時(shí)間，通常局域網(wǎng)的延時(shí)大約200微秒，而園區(qū)網(wǎng)的延時(shí)大約在500微秒，所以IPS必須具備低延時(shí)的特點(diǎn)，而且其引入的延時(shí)應(yīng)小于200微妙；除確保低延時(shí)外，IPS還應(yīng)保證高吞吐能力，即應(yīng)該與以太網(wǎng)交換機(jī)的吞吐能力相匹配，而且在打開成千上萬條攻擊過濾器的情況下，在實(shí)際網(wǎng)絡(luò)中仍能夠保持線速的處理能力，即IPS必須具備像網(wǎng)絡(luò)交換機(jī)一樣的低延時(shí)和線速的性能。由于IPS工作在線內(nèi)，其必須具有極高的可靠性并支持雙機(jī)冗余備份，否則將成為網(wǎng)絡(luò)的故障的嚴(yán)重隱患，一旦單臺(tái)IPS癱瘓等于認(rèn)為制造了拒絕服務(wù)攻擊將業(yè)務(wù)系統(tǒng)阻斷。首先IPS應(yīng)支持HA工作模式，而且這種HA應(yīng)該是有狀態(tài)的冗余，即兩臺(tái)IPS的攻擊過濾列表應(yīng)該是完全同步，一旦一臺(tái)出現(xiàn)故障，另外一臺(tái)可以立即接管全部檢測和防御任務(wù)，而當(dāng)兩臺(tái)均健康時(shí)可以一起工作，即支持ActiveActive工作模式。如果只能夠部署一臺(tái)IPS，其也必須提供故障偵測和快速重起自愈功能。如采用看門狗計(jì)時(shí)器（watchdog timers）持續(xù)的監(jiān)控IPS引擎，一旦系統(tǒng)錯(cuò)誤被偵測到，IPS可以自動(dòng)或手動(dòng)的切換成Layer 2 的設(shè)備，確保網(wǎng)絡(luò)不斷線。優(yōu)秀的IPS必須能夠提供精確的防御能力，必須具有極低的誤報(bào)和漏報(bào)率。除支持簡單攻擊特征匹配功能外，還必須具有反IPS規(guī)避能力，包括：　?IP 碎片和交迭　?TCP碎片和交迭 （TCP fragmentation and overlap）?十六進(jìn)制編碼和統(tǒng)一的字符編碼標(biāo)準(zhǔn)（Hex encoding and unicode）?變形攻擊（Polymorphic attacks）?等等只有識(shí)別出各種隱蔽攻擊，才可以保證極低的誤報(bào)和漏報(bào)率，做到精確的打擊同時(shí)決不阻斷任何合法流量。此外，IPS必須能夠進(jìn)行及時(shí)攻擊過濾器更新，防御已知的攻擊不足為奇，重要的是能夠防御零時(shí)差攻擊，即在漏洞被公布的極短時(shí)間內(nèi)完成IPS的更新，趕在攻擊爆發(fā)之前構(gòu)建好有效的防御體系。優(yōu)秀的IPS最后還必須提供良好的可管理性。首先，應(yīng)該支持SSH和HTTPs等安全管理方式，其次支持基于Web的友好界面，簡化IPS的配置，提高運(yùn)行和維護(hù)的效率，最后還必須支持完備的日志和報(bào)表功能，能夠產(chǎn)生趨勢分析報(bào)告、事件交叉分析、實(shí)時(shí)流量統(tǒng)計(jì)圖表、過濾的攻擊種類、網(wǎng)絡(luò)主機(jī)與服務(wù)，以及IPS的網(wǎng)絡(luò)位置與健康狀態(tài)。IPS參考指標(biāo)序號(hào)指標(biāo)指標(biāo)意義說明　系統(tǒng)架構(gòu)和性能　1吞吐量 （全部策略應(yīng)用后的雙向總吞吐量）常見的吞吐能力要求： 600MbpsIPS是應(yīng)用層面(L7)的安全防護(hù)設(shè)備，考察其吞吐能力除3層IP包轉(zhuǎn)發(fā)能力外，更重要的是評(píng)估其在安全策略開啟時(shí)的吞吐能力，由于測試需要專用的儀器，所以比較可行的評(píng)估手段是參考權(quán)威評(píng)測機(jī)構(gòu)的公開測試報(bào)告，如NSS和ICSA2網(wǎng)絡(luò)接口 ：至少4個(gè)1000BaseSX光口和4個(gè)10/100/1000Mbps自適應(yīng)電口　3硬件加速引擎：ASIC和NP（以公開資料為準(zhǔn)）因?yàn)镮PS需要完成深度包檢測，進(jìn)行大量的攻擊特征匹配，計(jì)算量很大，所以采用傳統(tǒng)的基于Intel CPU的通用架構(gòu)不能勝任，特別是在千兆以上的網(wǎng)絡(luò)環(huán)境中，必須采用網(wǎng)絡(luò)處理器（NP）和專用的處理器（ASIC）卸載CPU的負(fù)荷，實(shí)現(xiàn)高速并行處理4可擴(kuò)展架構(gòu)（一臺(tái)設(shè)備集成攻擊識(shí)別