河南省水利系统局域网准入控制系统对比分析

2014-08-15 00:47赵新强闫晓敏河南省水利信息中心
河南水利与南水北调 2014年10期
关键词:局域网IP地址交换机

□赵新强 □闫晓敏 □杨 栓(河南省水利信息中心)

1 实行局域网准入控制的必要性

河南省水利系统目前已实现了省、市、县三级网络连接,网络已覆盖了河南省水利厅、18个市水利局、134个县(区)水利局及34个厅属单位,网络终端三千余个。各级联网单位均配置有网络防火墙,省厅和市水利局还配置有入侵防御设备,加强互联网防护。但是局域网内部安全管理非常薄弱,亟需加强。

据权威调查报告显示,75%的IT管理者认为内部网络的终端是使他们的IT系统受到攻击的最主要来源。用户终端不及时修复系统漏洞,不安装杀毒软件,随意安装网络上下载的各种软件,导致终端病毒大量占用带宽,阻塞网络;或者导致终端被植入木马,成为黑客的傀儡肉鸡,在局域网内部绕过了入侵防御、防火墙等安全防线,直接面对网络核心业务,造成数据丢失。所以内部安全防护非常重要,而内部防护的精髓就是接入可控,要建立一套切实可行的准入控制系统。

局域网准入控制系统包含了终端身份、终端安全、终端权限、终端在线防御、终端在线审计、终端资产管理等内容。通过准入控制系统,可以有效解决网络安全管理规范落实的问题,使规范不再是一纸空文,不按规定执行的用户不能联网,用强有力手段使用户遵守规定;可以实现接入用户及设备的实名制,通过绑定IP地址、网卡MAC地址、账号、交换机端口号等多种手段有效核实用户身份,以确保用户对各种网络资源的使用行为承担责任,发生网络安全事故后,根据联网日志审计系统也可以很快定位到个人;可以在网络受到攻击时快速定位攻击源;可以解决内网分角色分区域访问控制的问题,不同的用户获取不同的权限,访问不同的资源;可以解决各种智能移动终端和外来人员的身份认证问题等。

2 局域网准入控制系统

河南省水利系统各联网单位目前普遍采用华三通信技术有限公司(H3C)的交换路由设备及统一品牌的防火墙、上网行为管理等设备,所以结合实际选择局域网准入控制系统,对其他品牌如思科设备及相关技术EOU等不予考虑。下面从设备控制、软件控制和客户端控制3个大的类型对比选型,选择适合自己的准入控制系统。

2.1 设备准入控制

仅通过网络设备实现局域网准入控制,主要管理设备有防火墙、上网行为管理、交换机、路由器等。

各单位均配置有天融信防火墙,防火墙除了在出口处配置互联网访问策略外,还可以学习ARP表,添加终端信息,如使用人、IP地址、MAC地址,并通过绑定,有效拦截非法人员和外来人员接入网络,达到初步的终端准入控制效果。

各市水利局配置有深信服上网行为管理设备,除了可以绑定用户IP地址、MAC地址,还自带500 g硬盘,可以记录3个月以上的用户联网日志,有各种报表便于统计分析网络使用情况。上网行为管理设备还可以控制用户的上网流量,限制P2P、视频等应用流量,保障关键业务的流量。在局域网内出现超大流量攻击时,可以通过启用安全防护的防DOS攻击功能,阻断攻击源,并可以定位具体使用人,从而真正切断攻击。

个别单位采用锐捷的路由器设备,这些网络安全设备也可以实现绑定用户地址,控制流量的功能,还可以启动端口拦截等防火墙功能。功能齐全并且价格也不贵,适合用户不超过100人的小单位使用。

上述设备均部署在网络出口,不能有效管理到设备端口。为了进一步加强局域网准入控制,可以在H3C交换机配置命令,实现交换机端口、IP地址和MAC地址的绑定,通过这样的绑定,可以有效控制ARP病毒,非法IP地址根本出不了交换机端口,也就不能影响其它用户,也可以有效防止用户乱设IP及伪造别人MAC地址的情况。缺点是维护繁琐且需要管理员有高水平,用户一旦有变更就需要重新配置交换机,这时如果管理员不在,用户就无法联网。

设备控制适用于市县水利局,只有一两个VLAN,用户少的单位。优点是经济实用,甚至不用再投资,利用现有设备就可以实现准入控制。多数设备有图形界面,操作简单。缺点是控制功能少,多数不能管理到局域网端口,用户在网络内部仍可通讯,并且用户可以通过伪造MAC地址等手段逃避监管控制。

2.2 软件准入控制

仅通过网络管理系统软件,不需要用户安装客户端就可以实现局域网准入控制,主要管理软件有广通、北塔、网强等。

网络管理系统软件可以通过SNMP、ICMP、NetBIOS、ARP等多种手段自动、准确、及时地发现局域网网络拓扑结构,发现网络用户IP分布情况,帮助管理人员全面了解整体网络运行情况;并对局域网内服务器、交换机、用户终端进行资产管理,落实实名制;通过内置合法性检测引擎,自动监测网内设备的基本属性(IP地址、MAC地址、主机名、连接的交换机端口等),当发现与登记资料不符的情况,就通过多种安全策略,如通过SNMP协议private写操作直接关闭交换机端口,阻断非法终端接入;持续地监视、报告网络的运行情况;实时监控网络设备的CPU、内存、流量等运行性能指标,持续跟踪和分析设备负载的变化;可以采集包括交换机端口镜像流量、sFlow流量、NetFlow流量,分析当前网络的协议和会话,实现从端口到应用的广泛流量分析和统计;可以通过实时监控,对故障、性能、安全、主动Trap、Syslog等各类告警事件进行接收和分级;可对故障进行根源分析,在拓扑结构图上以不同颜色突出显示,快速定位故障,帮助管理人员及时、高效解决网络中出现的故障。

软件准入控制的最大优点就是操作简单易用,图形界面一目了然,遇到非法用户也可以自动拦截,便于管理维护。缺点就是控制能力有限,对局域网内无线路由器、对使用智能终端的移动用户无法控制,并且需要局域网交换机是有SNMP功能可网管的交换机,交换机端口下还有HUB等不可网管设备则也无法监测控制相应终端。

2.3 客户端准入控制

要想实现更精细的局域网准入控制,还是要借助客户端软件,这里也包含可溶性客户端和插件式客户端。通过客户端,可以进行更严格的身份认证,可以同时绑定用户名、密码、MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息;可以对客户端进行完备的安全状态评估,根据管理员配置的安全策略,检查终端杀毒软件安装情况、补丁安装情况、应用软件和服务运行情况,并可以通过第三方服务器自动对终端安装补丁;可以进行全方位的桌面资产管理,对终端软硬件使用、变更情况、USB存储介质等外设使用情况进行监控,终端资产的配置管理和软件的统一分发等。目前有北信源、H3C等产品。

北信源的桌面安全管理软件是典型的ARP拦截准入控制,当发现终端信息与服务器端资产不匹配时,会在局域网内借助其他合法客户端对非法用户发起ARP攻击进行拦截,阻止其联网。这种方式对局域网交换机无限制,适用于设备比较差的单位。缺点是当局域网内真有ARP病毒时,会使部分合法用户也受牵连不能联网。

H3C的IMC智能管理平台,附带有UAM和EAD管理组件,将用户管理和网络管理进行了智能融合,不仅有上述客户端功能,还可以基于角色网络授权,不同用户不同网络访问权限;对没有通过安全检查的用户,放入隔离区,仅可以访问部分服务器进行安全加固;可以自动发现网络拓扑,管理和监控网络设备信息和状态。准入控制认证方式灵活,802.1x认证和Portal认证方式均可;认证形式也灵活,配置高的用户可选用专门定制的windows客户端,配置差的用户可选用基于网页的可溶解客户端,移动终端用户可仅通过网页进行认证。

802.1 x认证方式是以接入层交换机作为控制点,要在每个接入交换机上都配置802.1x。然后通过客户端进行认证,认证成功则打开对应交换机端口,顺利联网,不成功则使对应端口保持关闭,只允许EAPOL认证报文通过。Portal认证方式以汇聚层交换机作为控制点,仅需要在网关处进行配置。在用户认证不成功的情况下,进行页面重定向跳转到Portal认证页面,提醒用户安装客户端,如果认证成功,则在网关处放行,用户联网处于直通状态。

这两种方式各有利弊。802.1x方式管理严格,可以直接控制到接入层交换机端口,有效防止来自网络内部的安全威胁,缺点是配置和解除绑定均较繁琐,且接入层交换机要可网管,对广域网支持基本无效。Portal配置简单,仅在网关或路由设备配置,可以对VLAN进行操作,启用和解除均灵活,还可以方便的配置Portal认证页面,方便提醒用户,可管理广域网和无线网络,对于网络环境复杂的旧网改造和升级具有很大优势;缺点就是对VLAN内用户控制不严格。

通过客户端进行准入控制的最大优点就是控制更精细严格,可以有效控制无线用户、智能终端联网,可以防止用户在路由器上伪造MAC,解决路由器不可控的问题,还可以解决不可网管交换设备下用户身份认证问题,可以管理到通过路由连接的其他网络。但缺点是终端情况复杂易出现各种问题从而增加了管理难度,同时系统软件价格也最贵。

3 结语

河南省水利系统局域网准入控制需要有一套管理制度及完备的管理资料,然后才是根据各单位实际情况,选择适合的系统。各单位可以采用多种方式结合的办法,充分挖掘现有设备功能、完善配置,然后根据单位规模、财力、管理员水平等因素选择合适的系统,从而做到接入可控,加强内部安全管理。

猜你喜欢
局域网IP地址交换机
轨道交通车-地通信无线局域网技术应用
铁路远动系统几种组网方式IP地址的申请和设置
基于VPN的机房局域网远程控制系统
修复损坏的交换机NOS
IP地址切换器(IPCFG)
基于802.1Q协议的虚拟局域网技术研究与实现
使用链路聚合进行交换机互联
局域网性能的优化
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考