部署内网安全准入控制系统

802.1x是一套标准的协议规范，是局域网主机接入认证和授权手段。实施端口控制的主体是802.1x接入交换机。在交换机开启802.1x功能后，主机终端所连接的端口将只允许特定的认证数据帧通过，基于其认证结果确定是否开放主机所连的端口接入网络，接入后在终端可信状态不变的情况下，将不再进行认证和检查。

基于802.1x的可信网络接入框架由接入请求点、网络接入控制点和可信接入服务器组成。基于证书策略的终端准入控制过程如下：

1.网络准入控制组件通过802.1x协议将主机终端用户身份证书信息发送到接入交换机。

2.接入交换机将用户身份证书信息通过RADIUS协议，发送给RADIUS认证组件。该组件通过认证服务器对用户身份证书进行有效性判定，并把认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。

3.用户身份认证通过后，终端系统检测组件根据准入策略管理组件制定的安全准入策略对终端安全状态进行检测。终端的安全状态符合安全策略的要求则允许准入流控中心系统网络。

4.如终端身份认证失败，网络准入控制组件通知接入交换机关闭端口；如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作VLAN。

5.在非工作VLAN终端，终端系统检测组件会自动进行终端安全状态的修复，在修复完成后，系统自动将终端重新接入正常工作VLAN。

交换机认证设置

由于不同厂家和型号系列的交换机启用802.1x功能的设置可能不完全相同，需要网管员根据交换机用户手册进行相应部署操作。目前Nortel、思科、华为等主流交换机设备均支持802.1x协议。准入交换机的配置基本步骤：开启全局802.1x和端口的802.1x功能；正确配置RADIUS服务器的IP地址、认证端口以及共享密钥；选择802.1x认证方法为EAP；选择基于MAC的认证方式或Single-Host认证方式，并设置端口和MAC地址的绑定关系，以防止多台主机（或虚拟机）通过同一交换机端口接入网络；对于应用服务器类设备，由于其对于网络稳定性要求比较高，不能机械套用PC机接入控制方式，可通过IP-MAC绑定技术，利用“白名单”制度实施管控，防止出现网络通断对业务系统造成重大影响；对于网络特殊IP设备，如网络打印机、网络摄像头、IP电话等，由于这些终端无法通过802.1x认证方法实施准入控制，可采用MAC地址认证方法，把其MAC地址作为身份进行统一认证，且在准入控制系统上配置其权限，根据授权VLAN或ACL限制其访问范围。

图1 分发准入策略

以思科网络交换机为例，认证配置命令如下：

以上配置中设定192.168.1.100为准入服务器的IP地址。

准入策略设置

准入策略设置通过控制服务端管理软件实施。管理软件完成基于主机或用户的准入策略管理，负责对准入交换机或执行入网请求进行认证和响应，验证入网主机特征标识正确性和用户身份合法性，基于认证结果对其入网端口进行控制。

设置时，以“管理员”身份登录主机安全监控系统管理控制台，在“准入策略”界面可进行准入策略的新建、修改和删除操作。录入“策略名称”，选择“认证方式”，通常支持三种类型：

用户名口令认证。以主机硬盘序列号作为用户标识，以主机硬盘序列号作为口令标识，均自动获取和计算，具备基本安全性。

主机证书认证。利用签名验证机制，对主机特征信息（IP、MAC）进行验证，具备较高的安全级别。

用户Key认证。利用签名验证机制，同时对主机特征信息（IP、MAC）和主机与UKEY间的绑定关系进行验证，具备更高的安全级别。

完成准入策略的设置后，可通过“主机管理”或“用户管理”界面完成，右键单击某台主机选择“分发准入策略”进行分发（如图1所示）。

部署实施后，通过控制管理软件，网络中心可对所有用户终端进行管理控制。用户端必需通过入网终端软件进行认证方可连接网络；同时终端软件可同步实施安全检测，对综合评估分值过低（即风险较高）的用户终端，通过隔离和下线等手段，阻止用户端潜在的风险，确保入网终端可信、安全和可控。