隨著信息化時(shí)代的飛速發(fā)展，網(wǎng)絡(luò)環(huán)境應(yīng)用日趨復(fù)雜的同時(shí)，網(wǎng)絡(luò)應(yīng)用過(guò)程中存在的風(fēng)險(xiǎn)也日益增多;而這類風(fēng)險(xiǎn)中最難控制與管理的主要表現(xiàn)在終端接入網(wǎng)絡(luò)中所存在的風(fēng)險(xiǎn)。

下圖中描述的是當(dāng)前中小型企業(yè)終端內(nèi)網(wǎng)常用的網(wǎng)絡(luò)拓?fù)?，其中?biāo)紅的區(qū)域正是終端接入內(nèi)網(wǎng)的區(qū)域，也是網(wǎng)絡(luò)中最難控制與管理的區(qū)域，該區(qū)域所帶來(lái)的風(fēng)險(xiǎn)主要表現(xiàn)在幾下幾個(gè)方面：

1. 網(wǎng)絡(luò)邊界不可控：嚴(yán)禁在網(wǎng)絡(luò)中使用HUB和無(wú)線設(shè)備后，不確定是否有用戶違反規(guī)定私自接入HUB設(shè)備和無(wú)線設(shè)備，導(dǎo)致網(wǎng)絡(luò)邊界擴(kuò)大，不可控

2. 接入網(wǎng)絡(luò)中終端身份不確定：終端接入網(wǎng)絡(luò)沒(méi)有進(jìn)行控制，終端機(jī)器接入網(wǎng)絡(luò)后通過(guò)DHCP或者手動(dòng)配置正確的IP地址后便可以訪問(wèn)內(nèi)網(wǎng)

3. 接入網(wǎng)絡(luò)中的終端自身安全情況不確定：終端設(shè)備成功接入內(nèi)網(wǎng)中，終端設(shè)備自身的安全情況未知，終端設(shè)備是否攜帶病毒等惡意程序在網(wǎng)絡(luò)中進(jìn)行傳播不清楚

4. 終端接入網(wǎng)絡(luò)后訪問(wèn)的網(wǎng)絡(luò)范圍不可控：終端設(shè)備成功接入內(nèi)網(wǎng)后，便可以訪問(wèn)內(nèi)網(wǎng)中所有的網(wǎng)絡(luò)資源，沒(méi)有對(duì)終端在網(wǎng)絡(luò)中訪問(wèn)的訪問(wèn)做權(quán)限控制

當(dāng)前對(duì)于終端接入網(wǎng)絡(luò)中的解決方案

1. 在接入層交換機(jī)上對(duì)端口做IP/MAC綁定操作

該種方式通過(guò)在交換機(jī)的端口上做IP/MAC綁定，可以實(shí)現(xiàn)交換機(jī)下所有連接終端機(jī)器的端口上只允許一個(gè)MAC地址進(jìn)行通訊，這樣做可以有效的杜絕網(wǎng)絡(luò)邊界不可控的問(wèn)題出現(xiàn);因?yàn)槊恳粋€(gè)端口下只允許一個(gè)MAC地址進(jìn)行通訊，即使該端口下有HUB類設(shè)備和無(wú)線發(fā)射類設(shè)備存在，也只有一臺(tái)終端能夠正常接入內(nèi)網(wǎng)，其它的終端設(shè)備網(wǎng)絡(luò)通訊都會(huì)被接入層交換機(jī)給阻斷，無(wú)法接入內(nèi)網(wǎng)中。

但是，該種解決方式也只是解決了終端機(jī)器接入內(nèi)網(wǎng)中網(wǎng)絡(luò)邊界不可控的問(wèn)題，其它的問(wèn)題仍然存在于網(wǎng)絡(luò)中，還無(wú)法做到完美的解決。

2. 通過(guò)網(wǎng)關(guān)類設(shè)備或控制器設(shè)備來(lái)控制終端的非法接入

該種方式是通過(guò)在網(wǎng)絡(luò)中架設(shè)網(wǎng)關(guān)類設(shè)備或者控制器類設(shè)備，通過(guò)掃描網(wǎng)絡(luò)中所有進(jìn)行網(wǎng)絡(luò)通訊的終端類設(shè)備的IP、MAC信息，如果該終端設(shè)備在內(nèi)網(wǎng)中沒(méi)有記錄，并且還有網(wǎng)絡(luò)訪問(wèn)行為，可以通過(guò)該類設(shè)備向該終端發(fā)送ARP欺騙包等方式，從而通過(guò)網(wǎng)絡(luò)的行為阻斷該終端的所有網(wǎng)絡(luò)連接。

但是，該種解決方式也只是解決了當(dāng)前接入網(wǎng)絡(luò)中終端機(jī)器身份確定的問(wèn)題，其它的問(wèn)題仍然存在于網(wǎng)絡(luò)中;并且通過(guò)該種方式進(jìn)行解決時(shí)對(duì)于管理員的配置依賴性較大，同時(shí)因?yàn)樵擃愒O(shè)備通過(guò)ARP欺騙的形式進(jìn)行實(shí)現(xiàn)，所以會(huì)導(dǎo)致在網(wǎng)絡(luò)中存在大量的ARP欺騙數(shù)據(jù)包出現(xiàn)。

3. 通過(guò)標(biāo)準(zhǔn)的802.1x認(rèn)證準(zhǔn)入形式實(shí)現(xiàn)

該種方式通過(guò)在接入層交換機(jī)端口上應(yīng)用802.1x協(xié)議來(lái)實(shí)現(xiàn)對(duì)終端接入網(wǎng)絡(luò)中進(jìn)行控制;因?yàn)樵诮粨Q機(jī)端口上應(yīng)用了802.1x協(xié)議，所有端口下連接的終端設(shè)備必須要經(jīng)過(guò)用戶名密碼登陸認(rèn)證成功后才能夠成功的接入內(nèi)網(wǎng)中，從而解決了接入內(nèi)網(wǎng)終端的身份不確定問(wèn)題。

但是，該種解決方式還是無(wú)法解決網(wǎng)絡(luò)邊界不可控、接入網(wǎng)絡(luò)中的終端機(jī)器自身健康情況等問(wèn)題還是沒(méi)有得到相應(yīng)的解決。

天融信提供的終端入網(wǎng)解決方案

天融信提出的終端網(wǎng)絡(luò)接入方案是依靠802.1x的原型實(shí)現(xiàn)的，在終端用戶802.1x用戶名密碼驗(yàn)證成功后，客戶端會(huì)按照策略定義的檢查項(xiàng)來(lái)檢查終端當(dāng)前的健康情況，并將結(jié)果上報(bào)至服務(wù)器，只有終端用戶名密碼認(rèn)證成功并且健康檢查通過(guò)后才能正常的接入內(nèi)網(wǎng)中，因?yàn)榉?wù)器需要判斷終端的健康檢查是否通過(guò)，所以標(biāo)準(zhǔn)的radius服務(wù)器無(wú)法做到，因此天融信自研了TopNAC的服務(wù)器，作為終端接入網(wǎng)絡(luò)中認(rèn)證用服務(wù)器;因此，該終端接入網(wǎng)絡(luò)的接入方式也被稱為TNC接入。

TNC接入方式下終端接入內(nèi)網(wǎng)的過(guò)程見(jiàn)下圖：

該解決方案根據(jù)終端接入內(nèi)網(wǎng)中的流程，可以解決之前所描述的終端入網(wǎng)所有的風(fēng)險(xiǎn)。

TNC接入方式工作原理

TNC接入方式是在802.1x的原型上進(jìn)行相應(yīng)的修改而來(lái)的，與802.1x的工作方式有些許不同;802.1x認(rèn)證只對(duì)終端的用戶名和密碼進(jìn)行驗(yàn)證，并且在終端驗(yàn)證通過(guò)之前終端自身沒(méi)有任何的網(wǎng)絡(luò)連接，并且802.1x無(wú)法對(duì)接入終端機(jī)器自身的健康情況進(jìn)行檢測(cè)。

TNC接入方式中，終端接入網(wǎng)絡(luò)后在沒(méi)有進(jìn)行認(rèn)證之前，此時(shí)終端會(huì)被接入層交換機(jī)劃入 Guest-Vlan中，在該Vlan中終端機(jī)器只可以訪問(wèn)網(wǎng)絡(luò)中所劃分出來(lái)的隔離網(wǎng)絡(luò)區(qū)，即殺毒軟件服務(wù)器、WSUS服務(wù)器等;在該區(qū)域內(nèi)，終端機(jī)器會(huì)進(jìn)行802.1x的用戶名密碼驗(yàn)證，用戶名密碼驗(yàn)證通過(guò)后，終端會(huì)根據(jù)本地應(yīng)用的認(rèn)證策略對(duì)本機(jī)的健康，并將健康檢查的結(jié)果上報(bào)至認(rèn)證服務(wù)器，服務(wù)器端會(huì)根據(jù)終端上報(bào)的健康檢查的結(jié)果來(lái)判斷是否讓終端接入網(wǎng)絡(luò)中。

那么，TNC接入方式是怎么做到解決終端接入網(wǎng)絡(luò)中所面臨的各類風(fēng)險(xiǎn)呢?

網(wǎng)絡(luò)邊界不可控

TNC接入方式采用802.1x的準(zhǔn)入的原型進(jìn)行認(rèn)證，在交換機(jī)上應(yīng)用端口模式進(jìn)行認(rèn)證。因?yàn)樵谡J(rèn)證前Guest-Vlan中終端機(jī)器使用DHCP進(jìn)行地址分配，認(rèn)證成功進(jìn)入Normal-Vlan后使用靜態(tài)IP地址進(jìn)行網(wǎng)絡(luò)通訊，即使使用HUB 進(jìn)行通訊，在Guest-Vlan中所有終端機(jī)器可以訪問(wèn)隔離網(wǎng)絡(luò)區(qū)域，只要有一臺(tái)終端機(jī)器準(zhǔn)入認(rèn)證成功，那么交換機(jī)端口劃分至Normal-Vlan 下，該終端機(jī)器使用Normal-Vlan下的靜態(tài)IP地址可以正常通訊，而HUB下的其它終端機(jī)器還是使用的DHCP地址在Normal-Vlan下，網(wǎng)絡(luò)無(wú)法正常通訊，從而保證了交換機(jī)端口只能存在一個(gè)終端進(jìn)行正常的內(nèi)網(wǎng)訪問(wèn)，保證了網(wǎng)絡(luò)邊界的可控性。

接入網(wǎng)絡(luò)中終端身份不確定

TNC接入中需要對(duì)終端機(jī)器認(rèn)證的用戶名密碼進(jìn)行驗(yàn)證，每一個(gè)用戶都有自己的用戶名密碼，因此只要是認(rèn)證成功接入網(wǎng)絡(luò)中的機(jī)器身份都可以得到確認(rèn)。

接入網(wǎng)絡(luò)中的終端自身安全情況不確定

TNC接入中對(duì)于用戶的認(rèn)證方面，用戶名密碼驗(yàn)證通過(guò)后，還需要終端機(jī)器根據(jù)服務(wù)器端下發(fā)的健康檢查策略將本地的健康檢查結(jié)果上報(bào)至服務(wù)器端，只有健康檢查通過(guò)后服務(wù)器端才會(huì)下發(fā)認(rèn)證通過(guò)的命令，終端才可以正常的接入網(wǎng)絡(luò)中;如果健康檢查不通過(guò)，客戶端會(huì)彈窗顯示不通過(guò)的選項(xiàng)以及修復(fù)方式，此時(shí)終端機(jī)器可以在Guest-Vlan中通過(guò)訪問(wèn)網(wǎng)絡(luò)隔離區(qū)中的各類服務(wù)器進(jìn)行健康修復(fù)，修復(fù)完成再次發(fā)起認(rèn)證檢查，檢查通過(guò)后才被允許接入網(wǎng)絡(luò)中，從而保證了接入網(wǎng)絡(luò)中的終端機(jī)器都是健康接入。

終端接入網(wǎng)絡(luò)后訪問(wèn)的網(wǎng)絡(luò)范圍不可控

TNC接入中每一個(gè)認(rèn)證的用戶名密碼都會(huì)綁定一個(gè)Vlan號(hào)，認(rèn)證成功健康檢查通過(guò)后，認(rèn)證服務(wù)器會(huì)將該Vlan號(hào)信息發(fā)送至該接入交換機(jī)，交換機(jī)收到后會(huì)將連接該認(rèn)證終端的端口劃分至該Vlan下;因此，不同的賬號(hào)綁定不同的Vlan號(hào)認(rèn)證成功后分別進(jìn)入不同的Vlan下進(jìn)行網(wǎng)絡(luò)通訊。辦公人員認(rèn)證成功后被劃入辦公Vlan中，只能訪問(wèn)辦公Vlan下的資源;業(yè)務(wù)人員認(rèn)證成功后被劃入業(yè)務(wù) Vlan中，只能訪問(wèn)業(yè)務(wù)Vlan下的資源。因此，TNC接入方式保證了終端接入網(wǎng)絡(luò)成功后所訪問(wèn)的網(wǎng)絡(luò)資源范圍可控性;因?yàn)椴煌馁~號(hào)所綁定的Vlan 號(hào)不同，在一定的程度上也避免了賬號(hào)混用的風(fēng)險(xiǎn)。