终端安全 网络准入，主动防御——终端安全面面观

文 / 张廷伟

随着计算机技术和网络通信技术的发展、融合，我们所理解的传统意义上的“终端”已经发生了变化，它不仅是网络中与网线连接的台式机和笔记本电 脑，还包括手机、 PDA 、 PSP 游 戏机、电子阅读器等各类新式的移动设备。这些形形色色的终端给网络安全工作带来了巨大挑战：它们类型众多，以各种方式接入；并且，它们是网络中大部分事物 的源头和起点 —— 是 用户登录并访问网络的起点，是用户访问应用系统并获取数据的起点，更是病毒传播、从内部发起的恶意攻击、内部保密数据盗用或失窃的起点。因此，终端安全管 理对每个企业来说都是非常重要的，良好的终端安全控制技术能够保证企业的安全策略真正得到实施，有效控制各种非法安全事件，遏制网络中屡禁不绝的恶意攻击 和破坏。

 

终端安全控制技术的最佳选择

在终端安全管理中，安全策略的控制与实施是实现所有终端管理功能的基础所在。采用安全策略控制技术能 够对终端用户进行身份认证，对安全状态进行检查，将不合格的终端进行隔离、强制修复，从而有效促进内网的合规建设，减少网络事故。

从安全策略的实施点看，目前业界采用的终端安全管理技术主要有以下四种：

1.         出口准入控 制

出口准入控制是部署上最容易实现的终端安全管理技术。其思路是先进入再控制，允许用户使用网络，在出口处部署安全控制设备（如防火墙、行为控制 网关等）。用户上网时，必须在出口的安全设备处进行身份认证和安全检查，通过之后才能上网。

出口准入控制的优点是部署简单，不需要安装客户端，而且具备流量控制、上网内容审计等功能，因此应用 较为广泛。其缺点是无法识别用户身份是否假冒（如 IP 、 MAC 、帐号等），无法控制病毒在内网的传播，而且无法控制外来用户偷偷接入内网的行为（比如 U 盘拷贝等），不能从源头上对终端安全进行 控制，必须与其他终端安全控制技术结合，才能提供完整的终端安全管理解决方案。

2.         客户端准入控制

客户端准入控制是最常见的终端安全管理技术，往往与防病毒软件、个人防火墙等结合在一起。客户端准入控制的原理是认为来访用户都不可靠，因此必 须在终端上安装客户端安全软件，时刻对其安全状态（如进程、注册表、引导区、网络连接状态、网页访问状态等）进行监控，一旦出现异常，就提示用户或者按预 设策略进行处理。

客户端准入控制的优点是控制能力强，能够检查 操作系统、网络和应用层的安全问题。其缺点是经常需要用户自行判断，对用户的安全知识有较高要求，占用系统资源较多；同时无法保证客户端的运行情况，当端户贝等），因此 在企业内部使用时，无法避免客户端被卸载或重装系统、不运行等情况发生。

3.         服务器准入控制

服务器准入控制技术的原理是在应用服务器上安装准入控制软件，一般安装在 DHCP 服务器、 DNS 服务器或代理服务器上。当电脑终端访问服务器时，准入控制软件会弹出页面要求用户登录，检查对方的安 全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。

服务器准入控制的部署比较简单，对网络设备环境基本没有要求，但是容易受到安全攻击的影响（如 DHCP 攻击），而且对源头客户端的病毒传播 难以控制，无法解决外来用户的私自接入问题。

4.         网络准入控制

网络准入控制技术的原理是从网络入口进行控制，通过网络设备在接入端口处强制实施安全策略。用户接入网络时，必须运行客户端软件，经过身份认证 和安全检查，认证通过后才能使用网络。由于网络设备不可绕开，因此客户端一旦被卸载或者操作系统被重装，用户将无法接入。

网络准入控制的优点是基于用户身份与网络设备紧密配合，安全策略可以得到强制实施。其缺点是实施成本 较高，对网络环境和技术人员有一定要求，目前主要在大中型企业得到广泛应用。

 

以上四种控制技术各有其优缺点，但从安全策略的实施方面来看，基于网络的准入控制技术由于网络设备难 以绕开、控制力度可达交换机端口等特点，保证了安全策略得到强制实施，实现了终端安全管理的不可抵赖性和不可逃避性，同时解决了外来用户与内网外联的问 题，并且能够与传统的安全技术和桌面管理技术融合，可以说，它是终端安全技术的最佳选择。

 

网络准入控制的原理和实现过程

目前常见的网络准入控制技术有 802.1x 、 portal 、 VPN 等，分别应用于局域网、广域网、 WLAN 、 VPN 等各种网络环境接入的用户。

以 802.1x 技术为例。管理员在网络设备上开启 802.1x 功能，用户接入时只有允许的报文（如认证报文、 DHCP 报文）可以通过，通过认证和安全检查 后，设备端口才会完全打开并允许用户上网，同时基于用户的安全策略也会从 Radius 服务器上下发给设备执行。具体流程如下图：

图 1 基于 802.1x 技术的网络准入控制流程

802.1x 技术可以在接入层交换机上进行准入控制，也可以与无线设备、路由器的以太网模块等进行配合，对局域 网、无线用户、广域网用户等进行准入控制。由于 802.1x 的应用靠近用户终端，普遍认为其比较安全。但 802.1x 技术的协议标准制定较早，用户授权方面存在不足，对于 HUB 用户难以管理，对交换机等设备也有一定 要求。为此，各厂商在标准协议的基础上进行了不少改进，在保留 802.1x 安全性的同时，提高了实施方面的兼容性和易用性。比如 H3C EAD （终端准入控制）解决方案对 802.1x 和 Radius 进行了扩展，可以将 VLAN 和 ACL 下发到网络设备或者客户端，同时支持 HUB 环境下的 802.1x 接入，以及多厂商 802.1x 设备环境的混合组网。

从实际部署的情况和管理效果来看，在安全度要求较高的局域网内可以采用二层的 802.1x 准入方式，而在环境比较复杂的 网络边界（无线网络、广域网分支等）可以采用三层 Portal 技术的网关准入方式，既兼顾了安全性又兼顾了易用性，是一种值得推荐的部署方案。

 

从网络准入开始，实现主动安全防御

基于网络准入的终端安全解决方案虽然保证了安全策略的实施，但仍然存在被动防御的问题，缺少与其他 的安全设备、安全软件进行联动的机制，不能主动对网络信息和安全信息进行收集，对攻击事件进行快速定位，自动处理安全问题。

业界的众多厂商也注意到了这个问题，并提出了相应的技术模型，如 TCG （可信计算联盟）在其 TNC 可信网络连接技术的最新版本中，增加 了与其他安全设备（防火墙、 IPS 、安全管理中心）、流量分析软件、行为审计软件的联动，其主要目的在于实现网络访问控制的协同工作， 通过全面的安全信息收集，端到端的事件分析和路径跟踪，智 能、及时的联动响应，将不同领域的网络部件和安全部件融合成一个无缝的网络安全防御体系。

图 2 符合 TNC 模型的 EAD 终端安全防御体系

主动安全防御体系的主要核心为安全控制中心和事件管理中心设备。安全控制中心可以接收网络设备和终端 用户的安全信息，也可以与安全事件中心设备配合，接收安全设备的信息，从而完成对全网安全事件的采集、分析。安全控制中心还可以对异常事件进行路径跟踪， 查找事件根源，对需要响应的重要事件可灵活进行短信通知、 Email 通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作，并指定操作的执行顺序，从而实现 主动式、体系化的安全管理。

 

结束语

终端管理问题千头万绪，但只要抓住网络准入这一关键点，保证终端安全制度可以实施起来，让每个用户 都养成良好的习惯，同时融入其他的安全技术和管理技术，建立主动防御的安全体系，在实践中不断完善，这就是终端安全管理的可行之道。

终端安全管理，从网络准入开始。