ACK准入安全网关

anrong

一、企业内网现状分析

    大多数企业都很重视提高企业内网的边界安全，纷纷采取相应的保护措施，如：在网络出口处安装网络防火墙、入侵检测软件等，希望以此实现内网和外网的安全隔离。

   然而现实情况并非如此，企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁，从某种意义来讲，企业耗费巨资配备的防火墙已失去意义。

二、非法外联情况分析

企业内网中的非法外联情况可以分为以下三类：

终端非法外联

   终端非法外联是指合法的终端接入网络之后，通过其他的途径连接到外网或者Internet，比如：通过ADSL拨号接入Internet、通过3G网卡接入通信网、通过无线网卡接入其他无线网络、通过Modem连接电话线拨号等。这样一来，合法的终端就成了内网与外网或Internet的连接点，可能造成信息泄露，合法终端也可能成为黑客攻击内网的跳板。另外，非法存贮介质，如U盘，的广泛使用也成为终端信息外泄的一个重要途径。

网路层非法外联

   网络层非法外联是指将本不属于企业内网或者不符合企业内网安全要求的终端接入到内网中，比如：将个人家用笔记本接入到企业生产网、将无线AP接入企业内网、将非法交换机或路由器接入到内网等。通过网络层非法外联，原本不可访问网络的计算机获得了企业内网的访问权限，网络边界完整性被破坏，给企业信息安全造成了极大的威胁。

应用层非法外联

   应用层非法外联是指接入企业内网的合法终端，利用网络安全管理上的漏洞和技术缺陷，访问其无权访问的应用系统信息，如：通过他人主机上的代{过}{滤}理功能访问境外非法网站造成信息外泄等。
局限于技术和实现方法，一般的非法外联防护产品只能解决第一类非法外联，通过在终端上安装客户端软件禁止用户安装第二块网卡、无线网卡、3G网卡以及使用非法介质等，而不能解决或不能全部解决第二类和第三类非法外联问题。

三、ID网络介绍

1) 什么是ID网络

ID网络 = IP网络 + ID。传统的网络中都是以IP作为网络中的计算机识别和管理的依据，如控制访问权限和分配带宽等。ID网络则是在传统IP网络的基础上，为网络中的每一个对象，包括网络设备、服务器、终端和用户，都进行分类和建立唯一的身份标识（ID），并按照身份标识来管理的网络。

2) ID网络的建立

建立ID网路的过程也就是给网络中的对象进行分类和建立身份标识的过程，具体数据管理和建立方法通过引入一个ID网管平台来解决，具体见下表：

表1、ID网络的建立方法
在ID网络中，各对象都有明确的类型和身份标识，下图描述了在ID网络中每一个用户都对应有所属的部门和角色：

图1、用户身份标识

3) ID网络的应用
建立了ID网络，就可以以ID为依据，在企业内网进行基于ＩＤ的网络管理，如：
·识别未注册的网络设备和服务器，阻止其入网，防止非法外联，识别IP篡改和冒充；
·鉴别接入网络的终端，禁止未知终端和不安全的已知终端入网；
·对网络用户实施身份认证，根据用户身份和接入方式的不同，可以采取不同的认证方式；
·根据用户身份分配不同的IP，建立“用户-终端-IP”的对应关系；
·根据用户身份、终端分组和接入设备的不同，授予不同的网络访问权限和安全域访问权限；
·根据用户身份、接入设备的不同，给用户分配不同的网络带宽；
·对用户、终端、设备的网络行为实行实名审计和告警；
·其他。  

四、ID网络中的非法外联阻断
以ID网络为基础，我们可以全面的阻断各种非法外联，所采用的具体技术如下表所示：

表2、ID网络中的非法外联阻断
具体实现方法、所使用的设备以及部署方法见下图：

图2、ID网络非法外联阻断示意图
在上图中，引入了ID网管平台、网络流量分析设备和终端上安装的桌面管理软件。其中ID网管平台为核心部件，除了存储和网络中的ID信息和管理策略意外，还负责与网络流量分析设备、交换机、防火墙、桌面管理软件等联动实现ID网络中的非法外联阻断。
案例1：如图所示，ID网管平台发现了一个接入网络的网络设备（无线AP），并得到该终端的IP和MAC，通过与已经建立的网络ID信息库比较，发现这是一个非法接入的设备。ID网管平台与交换机联动将该设备隔离。同样，ID网管平台对非法接入的交换机、路由器、终端、服务器都能发现和阻断。
案例2：如图所示，ID网管平台发现一个接入网络的终端（笔记本），ID网管平台发现该终端未安装桌面管理软件，或在该终端上的桌面管理软件启用了无线网卡连接外部无线网络，则通过桌面管理软件或交换机联动拒绝该终端入网或进行隔离。
案例3：如图所示，ID网管平台接到流量分析设备报告，发现某接入网络的合法终端访问了非法应用，于是通过流量源IP地址确定进行非法访问的终端及其接入点，然后通过与交换机联动将该终端隔离。
以上案例中都用到了网络发现和阻断隔离技术。利用ID网管平台对SNMP、ARP、DHCP等网络协议的支持进行网络发现，同时利用DHCP网络隔离、VLAN隔离、SNMP命令隔离、ACL下发隔离等多种网络隔离方式和手段对网络中的非法外联行为及设备进行阻断，达到有效的应对各种复杂的网络环境中的非法外联问题，提升企业网的安全性。

五、结束语
综上所述，通过在企业内网中建立ID网络，我们可以全面的阻止各种非法外联，保证内网边界完整，大大增强了企业内网信息安全。另外，在此基础上，还可以进一步利用ID网的特点，根据内网信息的重要程度进行安全域划分，然后按人、按部门、按角色细粒度的控制用户对安全域的访问，进一步的增强内网信息安全。