美國CSI/FBI在《計算機犯罪與安全調查報告》中指出，因內網安全漏洞造成的損失占所有計算機安全事故的一半以上;IDC的安全統(tǒng)計數(shù)據顯示，來自企業(yè)內部終端的安全威脅占整個安全威脅的70%以上;中國國家計算機網絡應急技術處理協(xié)調中心CNCERT/CC的《全國網絡安全狀況調查報告》指出，終端隱患已成為最大的安全威脅之一。內網終端已經成為企業(yè)網絡的阿喀琉斯之鍾，越來越多的企業(yè)都已經深刻認識到部署內網安全產品的重要性。

一、 準入控制——內網安全體系的關鍵

內網安全產品主要有三大標準架構，分別是：網絡準入控制(NAC)、網絡訪問保護(NAP)和可信網絡連接(TNC)，這三大標準體系分別定義了各自的實現(xiàn)協(xié)議，但遵從類似的體系框架。

內網安全架構中，存在三個邏輯組件，分別是：終端代理程序、準入控制點(也稱為策略強制點)、策略決策點。其中，準入控制點是整個體系的關鍵，承擔著與后臺策略決策系統(tǒng)交互，控制終端對網絡的訪問，隔離非健康終端并協(xié)助其修復等多項功能。準入控制方式的選擇(也稱為策略強制點的選擇)至關重要, 內網安全產品能否成功部署，主要就在于能否結合企業(yè)網絡的具體情況，選擇到合適的準入控制點。

二、 多種準入控制技術的深入分析

業(yè)界的內網安全產品，一般采用以下幾類準入控制方式，比較如下：

 

 

以上是內網安全產品主流使用的準入控制方式，每種方式都有其特定的優(yōu)缺點，一般來說每個廠商的產品都會支持兩種以上的準入控制方式。

三、 網關準入控制——UTM2的四位一體

啟明星辰在2009年5月發(fā)布了UTM2 統(tǒng)一安全套件，采用了獨有特色的準入控制方式——USG網關準入控制。UTM2將安全網關、終端代理軟件、終端策略服務器、認證控制點四位一體化部署，在終端數(shù)量龐大的情況下，還可將終端策略服務器平滑切換到獨立式工作模式。

 

 

在UTM2統(tǒng)一安全套件中，USG承擔了準入控制網關(策略強制點)的功能。當計算機終端需要通過天清漢馬USG進行訪問時，在天清漢馬USG上進行安全監(jiān)察，確保只有安裝天珣客戶端程序、并且符合管理員所設置的企業(yè)安全策略的計算機終端才能通過天清漢馬USG進行訪問。

相對于其它的準入控制方式，USG作為準入控制網關，可實現(xiàn)全面覆蓋用戶內網每一個區(qū)域和角落。其優(yōu)勢主要體現(xiàn)如下：

(1)網關位置是非常合適的準入控制點

UTM的位置本身即位于安全域邊界(互聯(lián)網出口、服務器出口及辦公網出口等)，從安全理論的角度講，對某個用戶進行控制(包括訪問控制、準入控制、業(yè)務控制etc)的最佳位置就是在安全域的邊界;同時，UTM設備的入侵防御、防病毒、外連控制等模塊可以與準入控制功能相互配合，UTM一旦發(fā)現(xiàn)某用戶行為違規(guī)，就可通過內網管理系統(tǒng)直接斷開該用戶的所有連接。從這個角度上講，UTM是最適合執(zhí)行準入控制的網關設備。

(2)實現(xiàn)簡單方便，成本低，易于部署

采用UTM網關配合內網管理系統(tǒng)實現(xiàn)準入控制，與基于802.1x/EOU等協(xié)議相比，業(yè)務實現(xiàn)流程清晰可靠、環(huán)節(jié)少，用戶只需要購買少量UTM設備，采用透明方式部署至網絡關鍵節(jié)點處，即可實現(xiàn)全面的準入控制，且對用戶原有的業(yè)務流程不造成任何影響。

(3)控制力度強，覆蓋全面

與基于DHCP控制，ARP spoofing，DNS劫持等準入控制相比，UTM準入控制能力更強、更全面，終端用戶在任何情況下均無法突破或繞過準入控制。

(4)與UTM其它安全功能進行有機的配合

例如，在采用UTM作為VPN網關時，對接入的移動用戶實施準入控制，可為整個VPN體系提供更佳的安全防護措施，同時實現(xiàn)對內網用戶和VPN用戶的管理及準入控制。除此以外，UTM設備還可根據終端的安全情況自動配置合適的安全策略，如在終端未滿足某些安全要求的情況下開放其訪問修復服務器的權限。

內網安全是當前網絡安全領域的熱門話題之一。在內網安全產品架構中，準入控制方式至關重要。通過深入分析目前業(yè)界主要準入控制機制的技術原理，我們可以發(fā)現(xiàn)，包括802.1X、終端防火墻、DHCP控制、ARP spoofing、DNS重定向等各有其優(yōu)缺點。一般地，我們可以根據企業(yè)網絡的具體情況，選擇一種或者多種準入控制方案，完成內網安全產品的部署。啟明星辰的UTM2統(tǒng)一安全套件，使用網關來完成準入控制功能與終端安全軟件的有機配合，在易部署、強制性、統(tǒng)一性等準入控制綜合能力上可圈可點。這也體現(xiàn)出，像啟明星辰這樣集多種網絡安全核心技術于一身的綜合類安全提供商，正在為整合企業(yè)網絡安全應用做出有益的探索。

【編輯推薦】

1. 為內網安全提供四級認證 立體布控才是出路
2. 安全公司為創(chuàng)維家電打造可信內網安全
3. 網關準入控制—初探內網安全的新思路