UniAccess网络准入控制技术简介

2014-01-01茹正毅

通信电源技术 2014年5期

茹正毅

（中国电信武汉分公司，湖北武汉430070）

0 引言

目前企业对网络运行的可靠性要求越来越高，各行各业网上的机密信息越来越多，价值也越来越高。在日常网络管理中，把安全管控推到网络的最边缘，也就是对最终终端用户进行检查、认证、管理和控制，可以起到防患于未然的作用。UniAccess网络准入控制技术提供了一个强有力的平台。

1 常见的网络准入控制技术简介

1．1 802．1x准入控制

802．1x是一个国际标准，受到多个厂商支持，通过动态VLAN切换，实现对不安全终端的隔离。一个交换机端口下面只能接一台终端，只有通过LAN接入才能做准入控制，VPN／Wirelesss不能实现，而网络交换机、HUB不支持802．1x协议，许多无线AP支持802．1x，但是不支持动态VLAN切换，不同厂商在802．1x协议实现上有差别，存在兼容性问题。

1．2 Cisco NAC准入控制

这种准入控制方式组网灵活，适合多种类型设备：交换机、路由器、VPN接入设备等只要终端访问后台资源中间有支持NAC－L2／3－IP的设备即可通过ACL动态下载，可以实现非常精确的资源访问。不同的终端、不同的用户可以访问不同的网络资源，指示明确，用户违反安全管理规定时，网络设备对其HTTP访问重定向。重定向URL可以在Radius服务器上设置，不影响网络的可靠性和功能，在边缘接入或者汇聚层进行准入控制。其常见问题：产品的兼容性、耦合性问题会给部署实施带来巨大的困难和复杂性，不支持Cisco以外网络厂商的设备。

1．3 DHCP准入控制

这种控制费用低，通过更换DHCP服务器软件即可实现，但如果用户手工设置IP，可以绕开准入控制。

1．4 ARP干扰技术

ARP干扰技术的优点：技术简单，实现成本低。缺点：在网络上产生ARP广播，可能会影响网络的正常运行，要求在每个网段部署一个干扰器。

1．5 UniAccess准入控制解决方案

UniAccess支持基于802．1x协议的准入控制，支持多厂商网络设备，支持Cisco EoU认证的准入控制，比802．1x更灵活，组网更方便。通过LeagView准入控制器实现准入控制。它同时是一套综合型桌面管理产品，不但弥补了以上几种方案的不足，还集准入控制、系统安全、信息安全、桌面管理于一身。

图1所示为UniAcessTM网络准入控制部署示意图。

图1 UniAcessTM网络准入控制部署示意图

2 UniAccess准入控制技术的价值

如图2所示，部署了UniAccess准入控制后，可以在四个层面上进行网络终端管控。

图2 UniAccess准入控制下的网络终端管控

2．1 准入控制

在终端的部署中，让接入网络的终端都安装代理，除单独设置例外，对接入的设备进行验证，防止非法接入，不符合安全要求的终端不能直接访问并被自动隔离。

2．2 信息安全

通过对移动存储介质（U盘、移动硬盘）进行管理，防止非法移动存储介质在内网使用，禁止EXE文件运行；可以禁用和审计Modem、无线网卡、光驱、软驱等外联设备；可以禁用和审计MSN、QQ外传、电子邮件外传、WebMail外传、文件共享外传、打印外传。

2．3 系统安全

系统安全主要包括以下几方面：（1）桌面终端安全检查：操作系统是否安装了必要的补丁，桌面系统的防病毒系统设置，是否安装了防病毒软件，病毒扫描引擎是否更新，病毒特征码是否更新。桌面终端安全加固，禁止危险进程、服务和非法软件的运行，网络访问控制，内置双向防火墙。Windows的本地安全策略自动分发，并且可以控制终端（禁止修改注册表、IP地址、IE的设置等）。（2）网络异常分析：发现广播、流量异常的终端，管理员可以定义流量的行为模式，支持广播、流量大小、TCP连接、端口扫描等异常检测。发现被未知病毒、Spyware、木马感染的计算机，发现员工私自使用黑客或者网络工具扫描、破坏网络，避免病毒、木马快速扩散，流量统计分析和流量控制，统计终端与外界的网络交互日志，分析终端流量的组成情况针对指定的进程或软件实现流量控制。（3）IP地址管理：IP地址冲突，防止盗用，IP地址定位，依据IP找到人或电脑，防止ARP网关欺骗。（4）其它：设备接入自动报警，PC接入报警：第一时间告诉管理员当前在什么位置有新设备接入网络；HUB接入报警：自动发现私接HUB的网络端口等。

2．4 桌面管理

桌面管理包括：（1）补丁管理。自动获取微软系统补丁，支持多级补丁服务器，灵活的补丁安装策略，管理员可指定补丁安装时间、安装方式，支持推（PUSH）和拉（PULL），支持断点续传，终端可以从WSUS、MS网站下载补丁，补丁是否安装需要经过管理员批准，客户端可以看到哪些补丁可以安装、支持快速自动安装、软件分发、支持自动强制安装、交互式安装等多种方式，对安装包格式无特殊要求，非常灵活的安装条件，按照操作系统、软件，分组按照部门、网段等可以设置策略避免网络拥塞，断点续传，支持大规模分发，流量控制，下载时间通过算法随机错开。（2）支持资产管理。硬件、软件、网络设备资产统计，软件、硬件资产变更报告，CPU、内存、硬盘、内部插卡等的变化自动报告，软件配置变化自动报告，资产编号管理与财务的融合资产维护记录。