近來有機會接觸了一些企業(yè)網(wǎng)絡(luò)準入的項目，感觸頗深。針對這個復(fù)雜的市場有一點自己的心得，沒有結(jié)論，意在拋磚引玉，為大家的思考和討論鋪路。

本文只關(guān)注企業(yè)用戶，而且是具備一定用戶規(guī)模的國內(nèi)企業(yè)用戶，不是學校、不是小區(qū)寬帶；其次，范圍是用戶對網(wǎng)絡(luò)資源的訪問，包括有線、無線、VPN等等。之所以要這么規(guī)定一下，是為了后面的討論更準確、更有針對性，企業(yè)用戶有自己的特點和需求，適合其它環(huán)境的思路在企業(yè)網(wǎng)中很可能玩兒不轉(zhuǎn)，任何一種技術(shù)方案只有在立足的環(huán)境中才存在討論的意義。

一. 緣起

網(wǎng)絡(luò)準入是一個由來已久的話題，但一直以來并不是IT安全的重點，直到近年來，才逐漸成為炙手可熱的話題。無線接入、智能移動終端和云計算的興起共同催生了這一波熱潮。

隨著云計算的不斷深入，越來越多的企業(yè)業(yè)務(wù)系統(tǒng)由傳統(tǒng)的C/S架構(gòu)向B/S架構(gòu)遷移，以往訪問后臺數(shù)據(jù)需要安裝專用軟件，IT部門控制客戶端軟件的許可發(fā)放，就能夠大致控制訪問用戶的范圍。而在B/S架構(gòu)中，用戶只需要一個WEB瀏覽器即可登錄系統(tǒng)，加上智能手機、智能平板和WiFi的流行，以往的限制條件消失了，任何人手中的設(shè)備都成了可能訪問后臺數(shù)據(jù)庫的平臺，IT部門突然一下子失去了對局面的控制，因此，對網(wǎng)絡(luò)的準入控制被重新提上日程。只有合法的用戶才能夠接入網(wǎng)絡(luò)，通過對接入用戶的控制，IT部門開始試圖重新奪回對數(shù)據(jù)訪問的控制權(quán)。

二.  幾種思路

控制用戶接入網(wǎng)絡(luò)的技術(shù)伴隨網(wǎng)絡(luò)本身的誕生和發(fā)展已經(jīng)衍生出五花八門的派別，每種方式都有自己的特點和適用場景，很難說那種方式在技術(shù)和最終效果上技高一籌取得了絕對的領(lǐng)先地位。

在新形勢下，接入技術(shù)本身并沒有發(fā)生翻天覆地的變化，其演進更多地是從滿足需求的前提出發(fā)，將現(xiàn)有的方式進行重新的優(yōu)化、組合，從而推出一個滿足新需求的解決方案。在實際環(huán)境中常見的認證方式包括二層認證、三層認證和基于客戶端方式的認證。

二層認證

二層認證就是用戶在獲得IP地址之前必須通過的認證，大型企業(yè)往往利用DHCP進行IP地址分發(fā)，用戶在接入網(wǎng)絡(luò)之初同網(wǎng)絡(luò)側(cè)通過二層連接進行認證數(shù)據(jù)的交互，只有成功通過認證才能向DHCP服務(wù)器申請IP地址，從而收發(fā)數(shù)據(jù)。

二層認證的代表實現(xiàn)方式就是802.1X。802.1X是IEEE 802.1協(xié)議集的一部分，定義了EAP在以太網(wǎng)環(huán)境中的實現(xiàn)方式，而EAP是IETF在RFC3748中制定的在數(shù)據(jù)鏈路層中進行認證行為的一種機制，以滿足在不同的二層環(huán)境下進行統(tǒng)一、一致的認證的需求。這個邏輯連起來就是，IETF首先制定了在數(shù)據(jù)鏈路層也就是二層上進行驗證的EAP機制，然后IEEE給出了EAP在以太網(wǎng)環(huán)境中的運行方式，這個方式就是大家熟知的802.1X?，F(xiàn)在，我們可以回答兩個常常被混淆的問題：

1）802.1X是802.11的子集嗎？

No，802.1X不但可以工作在無線環(huán)境中，同樣能夠工作在有線環(huán)境中，并且在WiFi被大規(guī)模部署之前，802.1X就已經(jīng)是有線網(wǎng)絡(luò)中一種重要的認證方式。

2）EAP是802.1X專用的認證方式嗎？

No，理論上EAP可以被運用在任何一種數(shù)據(jù)鏈路層之上，例如PPP或以太。

基于802.1X的二層認證基本工作方式如下圖所示：

上圖中的三個元素，分別是客戶端（Supplicant）、認證方（Authenticator）和認證服務(wù)器（Authentication Server）?？蛻舳司褪侵С?02.1X功能的終端設(shè)備，如筆記本、智能手機；認證方是將客戶端接入網(wǎng)絡(luò)的接入設(shè)備，在有線網(wǎng)絡(luò)中是接入交換機，無線網(wǎng)絡(luò)中是無線AP和控制器，在VPN連接中，認證方則是VPN服務(wù)器，認證方負責接受客戶端的認證請求，但本身并沒有處理這些請求的能力，它會將獲得的信息轉(zhuǎn)發(fā)到認證服務(wù)器，由認證服務(wù)器辨別客戶端的合法性；認證服務(wù)器通常是集中部署在網(wǎng)絡(luò)內(nèi)的一臺安全設(shè)備，當收到轉(zhuǎn)發(fā)來的用戶請求后，認證服務(wù)器將請求信息同已有的用戶資料做比對，并將結(jié)果返還給認證方，如用戶合法，認證方便會將客戶端接入網(wǎng)絡(luò)，否則予以屏蔽，或放入特殊VLAN，至此，一個標準的二層認證流程才結(jié)束。

在這個過程中，認證方和認證服務(wù)器之間通過特定的協(xié)議通信，目前采用最普遍的兩個協(xié)議是RADIUS和TACACS+，總體說來，TACACS+的穩(wěn)定性、安全性和靈活性更高，但TACACS+是思科私有協(xié)議，因此，在一般的用戶接入場合，RADIUS更加常見。

通過多年的發(fā)展，802.1X+RADIUS的實現(xiàn)方式已經(jīng)發(fā)展成為一個功能非常強大的準入方案，RADIUS豐富的字段使得認證可以不僅僅針對用戶名與密碼，還可以根據(jù)接入設(shè)備的MAC地址、IP地址、交換機端口等信息來進行認證。

之所以解釋這么多二層認證的細節(jié)，是想說明基于802.1X的二層接入是一個非常成熟的方案，市場接受程度很高，不管認證方還是認證服務(wù)器，都不難找到多家廠商的產(chǎn)品，客戶端的支持方面也不是問題，主流的桌面操作系統(tǒng)和智能手機終端大都支持802.1X。用戶的接受與市場的成熟，對于安全策略的長期部署是非常重要的，802.1X在這方面的優(yōu)勢異常明顯，其他方案不一定有這么幸運。

總體說來，802.1X的二層模式具備了以下三個特點：

1）完全公開的架構(gòu)，每一個部分都有相應(yīng)的國際標準，便于企業(yè)客戶自由選擇軟硬件、搭建一個靈活的安全架構(gòu)，不會受制于特定廠家；

2）成熟的技術(shù)標準，802.1X已經(jīng)部署在全球成千上萬的園區(qū)網(wǎng)，本身是一個非常成熟的技術(shù)，實施風險和成本低；

3）包含完善的認證和授權(quán)機制，能夠滿足企業(yè)用戶的大部分需求。

如果仔細揣摩這三點，你會發(fā)現(xiàn)802.1X同以太網(wǎng)非常相似–公開、成熟、實用，這其實就是企業(yè)客戶的核心需求，企業(yè)的IT部門在做任何選擇時首先考慮的都是技術(shù)的可延續(xù)性以及成熟性，如果某項技術(shù)大家都在用，本身功能又實現(xiàn)得七七八八，這個方案就是最優(yōu)方案，華而不實的新鮮玩意反而難以得到企業(yè)用戶的垂青。#p#

三層認證

說了這么多，傳統(tǒng)的二層方案是個完美的方案了？如果放在五年前，也許是這樣，但隨著網(wǎng)絡(luò)的發(fā)展，接入環(huán)境越來越復(fù)雜，802.1X在某些方面漸漸顯得力不從心了。例如，某些企業(yè)需要為訪客提供無線網(wǎng)絡(luò)接入，但不可能每次有來訪人員時臨時在筆記本電腦上配置802.1X策略，這就需要一個快捷的辦法將沒有經(jīng)過認證的第三方設(shè)備接到網(wǎng)絡(luò)中。

三層認證就在這種背景下應(yīng)運而生了。

三層認證又被稱為WEB認證，顧名思義，認證過程是通過一個WEB頁面完成的。當有新的設(shè)備需要接入時，網(wǎng)絡(luò)設(shè)備不會默認屏蔽它，而僅僅為其提供一些基本數(shù)據(jù)的轉(zhuǎn)發(fā)能力，如DHCP、DNS等，客戶端可以通過DHCP拿到地址，但他還沒有辦法獲得完全的網(wǎng)絡(luò)權(quán)限，比如上個QQ啥的；此時，用戶需要發(fā)起一個HTTP請求(在瀏覽器中訪問任意一個WEB頁面)，交換機或者無線控制器從中截取到用戶的這個HTTP請求，并將用戶重定向到一個預(yù)先寫好的認證頁面上（這個頁面可以存放在任意一個IP可達的WEB服務(wù)器上），用戶在在這個頁面使用用戶名/密碼完成認證，從而獲得全面的網(wǎng)絡(luò)訪問權(quán)限。

同傳統(tǒng)的二層認證比較，WEB最大區(qū)別就是去除了對客戶端的要求，用戶端設(shè)備無需進行配置，只要有一個瀏覽器就OK了，而這個條件基本上所有的個人設(shè)備都能夠滿足。因此，近年來WEB認證的發(fā)展非常快，特別是在無線、大型園區(qū)等環(huán)境中得到了大規(guī)模的部署，而主流網(wǎng)絡(luò)廠家也紛紛將WEB認證作為無線控制器和接入交換機的一項默認內(nèi)置功能。

三層認證憑借其自身的特點獲得了市場的認可，但在現(xiàn)階段畢竟還是一個補充方案，難以作為企業(yè)環(huán)境的主力認證方式。首先，每次上網(wǎng)通過WEB頁面登錄的方式對大多數(shù)企業(yè)用戶來說都“土”了一點兒，而且WEB認證檢查的內(nèi)容也比較簡單，大部分時候僅有用戶名和密碼，在高安全級別的環(huán)境中仍顯單薄。

客戶端方式

除了三層認證和二層認證，還有一種很有意思的思路，即通過客戶端對接入用戶進行認證。這里所說的客戶端是指安裝在用戶設(shè)備的上的軟件，其表現(xiàn)形式五花八門，以殺毒軟件起家的廠商會做成殺軟的功能子集、以桌面控制立足的廠家會做成控制軟件的一部分、而傳統(tǒng)的網(wǎng)絡(luò)設(shè)備廠家則會將這部分功能集成到VPN\無線接入的用戶端軟件中。不管是什么路子，這類軟件一般只干兩件事情：1）從操作系統(tǒng)接手802.1X的認證流程；2）對操作系統(tǒng)的健康狀況做檢查，如是否安裝了最新版補丁、殺毒軟件是否更新到最新病毒庫等等，若操作系統(tǒng)處于可靠的狀態(tài)則允許接入網(wǎng)絡(luò)，否則拒絕。

這種方式有一點像一個加強版的360軟件，它不但幫你檢查身體，還基于你的身體狀況決定你是否能獲得一張游泳證。由于健康狀態(tài)的檢查內(nèi)容包含了系統(tǒng)的補丁安裝、應(yīng)用軟件安裝、殺毒軟件更新等情況，因此，必須在客戶的設(shè)備上安裝一個系統(tǒng)權(quán)限非常高的客戶端軟件才能完成所有的檢查工作。

很明顯，客戶端方式完全是從企業(yè)IT部門的視角出發(fā)，對最終用戶采取更多的限制。通常，這種方式都會和廠家進行緊密的綁定，通過在每臺終端設(shè)備上安裝客戶端，用戶的IT流程和安全規(guī)范也緊密地同廠家能夠提供的功能選項結(jié)合在一起。#p#

三種方式的對比表格

三.  延伸思考

用戶需要什么樣的方案？

企業(yè)網(wǎng)的準入是一項非常特殊的技術(shù)，最終用戶的體驗是決定一個項目成敗的關(guān)鍵。有的方案從技術(shù)上評估非常完美，但實施之后發(fā)現(xiàn)最終用戶根本接受不了，過多挑戰(zhàn)用戶的使用習慣，最終被行政層面廢掉。

有的客戶在被廠家忽悠過后決定在整個公司范圍內(nèi)推廣嚴格的網(wǎng)絡(luò)準入控制，在所有PC終端上安裝安全客戶端軟件。結(jié)果，客戶端裝上后頻頻告警，因為不少人在自己的電腦上安裝的下載軟件強行修改了系統(tǒng)的下載線程限制，還有的員工干脆卸載了原有殺毒軟件，自己重新安裝了互聯(lián)網(wǎng)上的免費殺軟。這些被折騰過的電腦，在安全客戶端內(nèi)置的嚴格的策略規(guī)則前統(tǒng)統(tǒng)被亮了紅燈，上線測試第一周就有不少員工無法正常接入網(wǎng)絡(luò)。結(jié)果IT部門啥都顧不上，成天到各處救火，最后這個系統(tǒng)被大領(lǐng)導(dǎo)一句話下了馬。

即使是最通行的802.1X方式，也不一定適應(yīng)每個地方的水土。當一臺配置了802.1X接入的PC機剛開機時需要一定時間同網(wǎng)絡(luò)側(cè)交互認證信息，如果用戶接受程度不高，很可能會認為網(wǎng)絡(luò)接入效率低，從而投訴，給IT部門造成很大壓力。

因此，對于最用用戶來說，最好的方案就是用戶體驗最友好的方案，只有對原有使用流程影響最小的技術(shù)方案才能得到上下一致的支持，從而推動最終的全面部署。另一方面，業(yè)務(wù)部門對準入的支持也至關(guān)重要。

IT部門需要什么樣的方案

對于IT部門來說，網(wǎng)絡(luò)準入是一個非?；\統(tǒng)、模糊的概念，什么樣的用戶能夠接入網(wǎng)絡(luò)？什么樣的安全檢查才是足夠安全？同企業(yè)的其他安全策略該如何整合？這些問題在業(yè)界都沒有統(tǒng)一的結(jié)論，而且安全防護是一場沒有終點的拉鋸戰(zhàn)，IT部門不可能無限制地投入資源去追求極致的安全級別。

準入控制的實施過程是非常復(fù)雜的，是一個驚動全局的工程，因此，IT部門在上馬準入時無不希望是一個循序漸進的過程，先從最基本的二層準入或三層準入開始，逐漸推進到設(shè)備健康狀態(tài)檢查等復(fù)雜的機制，這在準入項目的實施過程中尤其重要。

其次，準入控制的最終對象是企業(yè)內(nèi)部的人員，而大部分企業(yè)往往已經(jīng)具備了用戶數(shù)據(jù)庫，且用戶的合法性以此數(shù)據(jù)庫的實時數(shù)據(jù)為準，比如供人力部門使用的微軟Active Directory。新的準入系統(tǒng)要能夠方便地與原有數(shù)據(jù)庫集成，特別是將準入系統(tǒng)內(nèi)復(fù)雜的策略直接綁定到已有的用戶帳號上。例如有的用戶希望對PC機的MAC地址進行認證，而在原有的Active Directory內(nèi)是沒有MAC地址這一個字段的，且這個數(shù)據(jù)庫的管理權(quán)不一定在IT部門手里，那么新添加的MAC地址信息如何同原有的用戶帳號綁定，并實現(xiàn)帳號信息的定期自動更新就是一個挑戰(zhàn)。

最后，準入控制系統(tǒng)一定要有一個清晰、簡潔的管理流程和界面。

什么是完美的產(chǎn)品？

綜上所述，一個優(yōu)秀的準入控制技術(shù)方案需要具備以下特點：

1）可延續(xù)性

所謂可延續(xù)性是指采用的技術(shù)方案要具有長期的發(fā)展路線和支持力度，或者是被廣泛應(yīng)用的公開標準，或者是強大廠商的主流產(chǎn)品。準入機制一旦部署將延伸到網(wǎng)絡(luò)的各個角落，并同企業(yè)今后的安全策略緊密結(jié)合起來，如果基礎(chǔ)平臺不穩(wěn)定，后期變更將是遷一發(fā)動全局的麻煩事；

2）可用性

準入策略的順利實施一定是以最終用戶的接受為基礎(chǔ)，因此，準入系統(tǒng)對最終用戶的使用流程不能有太大的影響，要提供一個足夠友好的用戶體驗；

3）靈活性

準入策略的內(nèi)涵非常廣泛，企業(yè)IT部門在實施時一定是一個逐漸完善的過程，為了應(yīng)對這種需求，準入系統(tǒng)要具備一定靈活性，各個功能模塊的實現(xiàn)不能有沖突；

4）整合性

準入系統(tǒng)要能夠方便地同主流的企業(yè)數(shù)據(jù)庫系統(tǒng)整合，并將安全策略綁定到相應(yīng)的用戶帳號之上，實現(xiàn)自動化的用戶數(shù)據(jù)更新。

虛擬桌面的機會

網(wǎng)絡(luò)環(huán)境的變化，帶來的是訪問方式的變化。一方面，網(wǎng)絡(luò)準入技術(shù)開始快速發(fā)展，另一方面，很多人開始詢問“是否一定需要在網(wǎng)絡(luò)邊界做這么嚴格的控制，還有沒有其他方法？”。

也許是有的。

虛擬桌面在企業(yè)內(nèi)部的應(yīng)用開始逐漸鋪開，員工對數(shù)據(jù)庫的訪問全部通過虛擬桌面完成，而硬件本身可能是一個簡單的瘦客戶端，不具備復(fù)雜的功能。在企業(yè)網(wǎng)絡(luò)內(nèi)部對虛擬桌面流量設(shè)置高優(yōu)先級QoS策略，對其余流量以及網(wǎng)絡(luò)接入采取從簡的思路，在未來，這并非不會是一種解決方案。

總之，隨著云計算、智能手機、WiFi等新應(yīng)用的快速發(fā)展，傳統(tǒng)的企業(yè)網(wǎng)絡(luò)不得不開始主動變化，這種變化將如何發(fā)生，往哪里去，得出怎樣的結(jié)果，現(xiàn)在都還不明晰，但有一點是明確的，那就是有意企業(yè)數(shù)據(jù)網(wǎng)絡(luò)和安全的廠家現(xiàn)在就必須開始重視這股潮流，未雨綢繆，才能從容應(yīng)對未來的新一代企業(yè)網(wǎng)絡(luò)的發(fā)展。

【編輯推薦】

1. 網(wǎng)絡(luò)和存儲協(xié)議的選擇
2. 上海電信建成全市最大的無線寬帶接入網(wǎng)絡(luò)
3. 2012網(wǎng)絡(luò)技術(shù)趨勢：WLAN的自帶設(shè)備
4. 誰來緩解春運網(wǎng)絡(luò)購票“不能承受之輕”
5. 軟件定義網(wǎng)絡(luò)架構(gòu)的應(yīng)用層