網(wǎng)絡(luò )準入控制主要通過(guò)安全認證與控制實(shí)現端點(diǎn)的安全接入，各類(lèi)準入控制技術(shù)不斷涌現和發(fā)展以解決局域網(wǎng)邊界安全問(wèn)題，然而隨著(zhù)網(wǎng)絡(luò )復雜性和部署管理便捷性要求的提升，固定的準入控制手段已不能適應種類(lèi)繁多的安全場(chǎng)景需求。綜述準入控制框架及技術(shù)發(fā)展，提出一種基于軟件定義思想的準入控制體系，闡述其模型、架構、主要技術(shù)及應用場(chǎng)景，通過(guò)資源編排、資產(chǎn)管理與態(tài)勢統一呈現等設計適應不同用戶(hù)環(huán)境的安全準入和資產(chǎn)管理需求。

作為內網(wǎng)安全防護的“第一道關(guān)卡”，網(wǎng)絡(luò )準入控制依托身份認證和安全檢查結果實(shí)施訪(fǎng)問(wèn)控制措施，阻止身份不合法、狀態(tài)不合規的對象接入，解決局域網(wǎng)邊界安全問(wèn)題。隨著(zhù)網(wǎng)絡(luò )的發(fā)展和信息化程度的提升，各種打印機、攝像頭、IP電話(huà)、BYOD手持設備等“啞終端”不斷涌現，對傳統安裝代理進(jìn)行入網(wǎng)認證的方式提出挑戰，于是興起了各種無(wú)代理準入技術(shù)，擺脫對網(wǎng)絡(luò )通信設備和客戶(hù)端代理的依賴(lài)，如李京飛提出的基于終端特征指紋的準入控制。同時(shí)，云平臺、虛擬化、物聯(lián)網(wǎng)等新技術(shù)逐步使用，網(wǎng)絡(luò )準入控制也向資產(chǎn)發(fā)現、內網(wǎng)資源管控的方向拓展，如劉濤等提出的實(shí)現無(wú)盲區準入控制目標的解決方案。

面對未來(lái)愈加復雜異構的局域網(wǎng)環(huán)境，各種應用場(chǎng)景和安全要求并存，單一的準入控制機制，或者某幾種準入控制機制的簡(jiǎn)單堆砌已不能滿(mǎn)足所有的安全防護和管理運維要求，功能完備、自適應能力強、部署維護簡(jiǎn)便、分析展現直觀(guān)，無(wú)疑將是網(wǎng)絡(luò )準入控制系統的一個(gè)重點(diǎn)發(fā)展方向。

網(wǎng)絡(luò )準入控制技術(shù)與機制眾多，但其核心思想和框架模型都是統一的，如圖1所示。

框架中包括三個(gè)實(shí)體：

（1）入網(wǎng)實(shí)體。局域網(wǎng)外部待接入的對象，包含人和終端。人主要指其身份信息，終端的范疇則涵蓋PC機、服務(wù)器、打印機、IP電話(huà)、音視頻設備和BYOD設備等。在準入認證過(guò)程中通過(guò)身份證書(shū)、物理特征、行為基線(xiàn)等來(lái)識別入網(wǎng)實(shí)體。

（2）鑒別實(shí)體。局域網(wǎng)內提供認證鑒別服務(wù)的實(shí)體（如AAA服務(wù)器等），與入網(wǎng)實(shí)體進(jìn)行認證信息交互，結合安全策略實(shí)施入網(wǎng)判決，將判決結果通知控制實(shí)體，并記錄接入狀態(tài)和日志信息。

（3）控制實(shí)體。局域網(wǎng)內實(shí)施接入控制操作的實(shí)體（如802.1X交換機等），接收鑒別實(shí)體發(fā)送的判決結果，在網(wǎng)絡(luò )、端口、協(xié)議、流量等層面施加訪(fǎng)問(wèn)控制。部分場(chǎng)景中控制實(shí)體可與鑒別實(shí)體合二為一（如網(wǎng)關(guān)式準入）。

不同準入控制機制的區別主要體現在網(wǎng)絡(luò )準入控制的三類(lèi)方法中：

（1）認證方法。鑒別實(shí)體對接入實(shí)體進(jìn)行認證鑒權采用的工作模式、部署方式和認證技術(shù)的組合，工作模式有旁路模式和串接模式；部署方式包括有代理方式和針對啞終端的無(wú)代理方式；認證技術(shù)有傳統的802.1X、PORTAL、DHCP等，以及基于資產(chǎn)探測和特征識別的無(wú)代理認證技術(shù)。

（2）聯(lián)動(dòng)方法。鑒別實(shí)體通知控制實(shí)體進(jìn)行入網(wǎng)控制的方法，傳統的準入技術(shù)其工作流程已包含聯(lián)動(dòng)方法，如支持802.1X和PORTAL協(xié)議的交換機能解析認證消息并自動(dòng)實(shí)施控制；無(wú)代理準入時(shí)則需要鑒別實(shí)體通過(guò)SNMP、SSH等遠程管理方式主動(dòng)下發(fā)交換機配置策略以實(shí)現控制。

（3）控制方法?？刂茖?shí)體根據策略對接入實(shí)體實(shí)施訪(fǎng)問(wèn)控制的方法，有基于終端軟件的控制（如ARP阻斷、終端本地防火墻）、基于網(wǎng)絡(luò )設備的控制（如交換機端口控制、ACL控制）和基于網(wǎng)絡(luò )應用協(xié)議的控制（策略路由、虛擬網(wǎng)關(guān)、TCP連接）等。

軟件定義，即用軟件定義系統功能，通過(guò)軟件編程實(shí)施靈活、多樣的功能編排，實(shí)現系統動(dòng)態(tài)賦能，提供用戶(hù)化、智能化和定制化的服務(wù)能力。2009年斯坦福大學(xué)首次提出SDN（Software Defined Network，軟件定義網(wǎng)絡(luò )）概念，ONF（Open Networking Foundation，開(kāi)放網(wǎng)絡(luò )基金會(huì )）在2012年發(fā)布SDN技術(shù)白皮書(shū)，并致力于加速其部署，希望通過(guò)軟件編程的形式定義和控制網(wǎng)絡(luò )。

Gartner在2012年提出SDS（Software Defined Security，軟件定義安全）概念，將網(wǎng)絡(luò )安全設備與其接入模式、部署方式、實(shí)現功能進(jìn)行解耦，底層抽象為安全資源池里的資源，頂層通過(guò)軟件編程方式進(jìn)行智能化、自動(dòng)化的編排和管理，完成相應安全功能，實(shí)現一種靈活的安全體系，在復雜網(wǎng)絡(luò )防護上表現出更強的適應性。

3.1 模型

由于網(wǎng)絡(luò )結構的復雜性，局域網(wǎng)準入的認證、聯(lián)動(dòng)和控制方法呈現多樣化發(fā)展，衍生了各種聯(lián)動(dòng)和組合，本文借鑒軟件定義的思想，提出一種準入控制體系，通過(guò)軟件編程的方式自動(dòng)編排各種準入控制資源構件，實(shí)現靈活智能的組織模式，為用戶(hù)提供定制化、自適應的準入控制服務(wù)，適應不同場(chǎng)景需求。

基于軟件定義的準入控制模型如圖2所示。

資源編排、控制檢測和管理呈現三個(gè)方面形成一個(gè)動(dòng)態(tài)、閉環(huán)的工作模型，體現靈活組織、統一管理的特點(diǎn)。

（1）資源編排：根據統一管理和配置，由軟件編程的方式實(shí)現認證、聯(lián)動(dòng)和控制方法的按需組合，達到準入資源靈活聯(lián)動(dòng)和協(xié)同作用的目標。

（2）控制檢測：在實(shí)施準入控制的同時(shí)，檢測局域網(wǎng)邊界及內部的異常情況和薄弱環(huán)節，實(shí)施安全審計，并向統一管理平臺上報日志、告警數據。

（3）管理呈現：集中管理各類(lèi)準入控制資源，實(shí)施統一注冊、池化管理、彈性分配和動(dòng)態(tài)加載；集中展示當前局域網(wǎng)準入態(tài)勢，通過(guò)分析預測，針對當前態(tài)勢演化出針對性的解決方案并指導自適應編排過(guò)程，實(shí)現閉環(huán)體系。

3.2 架構

軟件定義準入控制體系的核心是資源按需編排、快速靈活部署和態(tài)勢統一呈現，實(shí)現自適應的準入控制能力和內網(wǎng)資產(chǎn)及準入態(tài)勢展現能力，其架構如圖3所示。

整個(gè)架構包含四個(gè)層面：

（1）管理層。位于最頂層，用于人機交互，它基于編排層提供的API下發(fā)準入功能需求策略描述，由編排層進(jìn)行解析和處理。同時(shí)，從當前運行的準入資源構件中收集終端資產(chǎn)和網(wǎng)絡(luò )拓撲信息進(jìn)行展現，匯總準入日志和告警信息進(jìn)行統計分析，提供內網(wǎng)終端準入態(tài)勢的可視化呈現，為管理人員掌握內網(wǎng)安全狀態(tài)和系統自適應調整安全策略提供數據支撐和預測素材。

（2）編排層。整個(gè)體系的核心功能層，根據管理層下發(fā)的功能及場(chǎng)景需求描述，通過(guò)語(yǔ)義解析、特征識別、編排組織等流程生成針對性的策略模板（包括工作模式、部署方式、認證方式、控制粒度和聯(lián)動(dòng)機制等要素），滿(mǎn)足用戶(hù)對準入控制的能力定制要求，適應網(wǎng)絡(luò )的應用場(chǎng)景特點(diǎn)。編排完成后向管理層反饋編排結果，并向控制層下發(fā)模板和策略。

（3）控制層。根據編排部署策略模板，實(shí)現對資源層功能構件的編排和管理。通過(guò)解析編排策略為資源調度提供依據；通過(guò)資源管理實(shí)現插件化的準入資源構件注冊、注銷(xiāo)和維護；通過(guò)統一調度實(shí)現各功能插件的協(xié)調運行和功能互補；通過(guò)狀態(tài)監控實(shí)現插件工作狀態(tài)監管和異常沖突等的處理。

（4）資源層。包含各類(lèi)準入控制功能模塊，這些模塊在控制層注冊后成為準入資源池的公共資源，接受集中管理和統一調度，實(shí)現協(xié)同工作，發(fā)揮單一準入控制功能無(wú)法達到的防護效能；同時(shí)，各功能模塊也按照統一的數據規范向管理層上報端點(diǎn)接入信息、網(wǎng)絡(luò )拓撲信息和日志告警信息，供其進(jìn)行綜合統計與分析展示。

3.3 主要技術(shù)

（1）準入資源自動(dòng)編排技術(shù)

資源編排是軟件定義準入控制體系的核心技術(shù)，是實(shí)現功能適配、場(chǎng)景兼容和能力自適應的關(guān)鍵，工作機制如圖4所示。

資源自動(dòng)編排過(guò)程如下：

第一步，根據準入語(yǔ)義庫的規則對用戶(hù)的需求及應用場(chǎng)景的描述進(jìn)行語(yǔ)義解析和轉換，形成可供后續處理的標準化特征描述，如終端類(lèi)型、網(wǎng)絡(luò )規模、組網(wǎng)方式、接入要求、安全級別等；

第二步，將特征描述與準入特征庫的特征數據進(jìn)行匹配，識別出有效的特征；

第三步，直接從準入模板庫中匹配和提取滿(mǎn)足需求的成熟模板，或者從資源池中讀取功能構件的注冊描述信息，基于需求的特征進(jìn)行智能編排組織，形成新的自定義模板；

第四步，向底層下發(fā)編排模板和部署策略；

第五步，編排結束后，通過(guò)編排時(shí)的上下文關(guān)聯(lián)學(xué)習，對準入語(yǔ)義庫、準入特征庫和準入模板庫進(jìn)行更新，包括庫內容和匹配模式的更新等。

（2）資產(chǎn)發(fā)現與拓撲繪制技術(shù)

通過(guò)資產(chǎn)發(fā)現與識別可以形成局域網(wǎng)的IP資產(chǎn)清單，通過(guò)網(wǎng)絡(luò )拓撲分析與繪制可以形成局域網(wǎng)的物理拓撲和邏輯拓撲，為管理運維和應急處置等提供有力支撐。資產(chǎn)發(fā)現與拓撲繪制的工作機制如圖5所示。

針對資產(chǎn)的掃描識別與網(wǎng)絡(luò )拓撲的繪制分析包括主動(dòng)發(fā)現和被動(dòng)發(fā)現兩種方式。

主動(dòng)發(fā)現依托終端上安裝的代理軟件獲取終端硬件的詳細指紋特征、準入認證信息和網(wǎng)絡(luò )會(huì )話(huà)信息；依托網(wǎng)絡(luò )掃描嗅探獲取無(wú)代理終端的資產(chǎn)指紋特征并檢測非法接入終端，依托與網(wǎng)絡(luò )設備的聯(lián)動(dòng)獲取終端和網(wǎng)絡(luò )設備間的連接關(guān)系。

被動(dòng)發(fā)現依托交換機鏡像口等方式獲取內網(wǎng)流量，通過(guò)流量分析獲取終端間的網(wǎng)絡(luò )會(huì )話(huà)關(guān)系。

更進(jìn)一步的，通過(guò)資產(chǎn)指紋與特征庫的匹配識別資產(chǎn)的類(lèi)型、廠(chǎng)家、型號等信息，通過(guò)網(wǎng)絡(luò )連接關(guān)系分析繪制網(wǎng)絡(luò )的物理拓撲，通過(guò)終端會(huì )話(huà)關(guān)系分析繪制網(wǎng)絡(luò )的邏輯拓撲，最終由統一監管平臺進(jìn)行集中管理和態(tài)勢展現。

（3）準入控制技術(shù)對比分析

網(wǎng)絡(luò )準入控制從最初基于終端軟件的架構（Software-based NAC，如終端防火墻），發(fā)展到基于網(wǎng)絡(luò )基礎設施的架構（Infrastructure-based NAC，如802.1X、PORTAL），再到基于應用的架構（Appliance-based NAC，如策略路由、虛擬網(wǎng)關(guān)準入），涌現了各種準入控制技術(shù)，業(yè)界也在研究這些技術(shù)的優(yōu)勢互補和融合，如基于DHCP和TCP特征掃描的準入控制、定制化的無(wú)盲區綜合網(wǎng)絡(luò )準入方案、基于802.1X+portal的準入應用、基于策略路由和MVG技術(shù)融合的準入體系、基于多種準入技術(shù)實(shí)現準入控制和審計。準入技術(shù)的融合互補是必然的發(fā)展趨勢，下面對主流準入控制技術(shù)進(jìn)行對比分析，如表1所示，以作為功能編排融合的參考。

4 應用場(chǎng)景

基于軟件定義的網(wǎng)絡(luò )準入控制可以根據用戶(hù)需求進(jìn)行功能編排自適應，滿(mǎn)足不同場(chǎng)景的應用要求，下面以幾種典型場(chǎng)景為例說(shuō)明：

場(chǎng)景一：高安全級別專(zhuān)用網(wǎng)絡(luò )。該場(chǎng)景安全性是首要需求，部署維護的復雜性可以接受，因此可編排802.1X+策略路由（或虛擬網(wǎng)關(guān)）+資產(chǎn)發(fā)現的準入體系，兼顧有代理終端的細粒度認證、端口級強制管控，以及音視頻等啞終端的硬件指紋生成、仿冒識別和流量訪(fǎng)問(wèn)控制。

場(chǎng)景二：用戶(hù)要求較好的入網(wǎng)認證體驗和故障逃生能力。該場(chǎng)景更傾向于易用性，一般采用引導式入網(wǎng)手段，在交換機支持PORTAL協(xié)議的情況下可以編排PORTAL+認證代理的體系，否則可編排策略路由+資產(chǎn)發(fā)現的體系。

場(chǎng)景三：以WEB應用為主的網(wǎng)絡(luò )，要求部署簡(jiǎn)便的準入控制系統。該場(chǎng)景中應用業(yè)務(wù)以WEB為主，同時(shí)考慮部署便捷性，可以編排SPAN+TCP RESET的應用協(xié)議準入控制實(shí)現，非法終端的HTTP訪(fǎng)問(wèn)會(huì )因TCP握手過(guò)程被阻斷而無(wú)法完成。同時(shí)，根據用戶(hù)需求可以采用有代理的認證或者基于資產(chǎn)特征識別的無(wú)代理認證手段。

場(chǎng)景四：采用DHCP管理IP的啞設備網(wǎng)絡(luò )。該場(chǎng)景允許采用DHCP動(dòng)態(tài)分配IP地址，且無(wú)法安裝代理軟件，通過(guò)編排DHCP+資產(chǎn)特征識別+IPAM的體系解決，在DHCP過(guò)程中根據DHCP響應數據和TCP端口分析形成硬件指紋，識別仿冒終端，同時(shí)通過(guò)IPAM實(shí)現IP地址可視化集中管理。在交換機支持DHCP Snooping+DAI的情況下，還可增加交換機聯(lián)動(dòng)機制，開(kāi)啟網(wǎng)絡(luò )中接入交換機的防護功能。

本文對網(wǎng)絡(luò )準入控制框架及體系發(fā)展進(jìn)行綜述，提出了一種基于軟件定義思想的準入控制體系，包括概念、模型和架構，從資源編排、資產(chǎn)識別、集中管控與態(tài)勢呈現等方面介紹了體系的核心技術(shù)和工作機制，并對比分析了常用準入控制技術(shù)，為軟件編排提供參考。相較于單一或固定的準入控制體系，軟件定義準入控制體系依托準入功能資源池化和智能化編排，可以靈活衍變以適應不同應用場(chǎng)景的需要，并通過(guò)內網(wǎng)資產(chǎn)集中管理和準入態(tài)勢統一呈現為管理人員提供微觀(guān)細粒度管控和宏觀(guān)全態(tài)勢掌控能力。

作者簡(jiǎn)介 >>>

鄧永暉（1984—），男，碩士，工程師，主要研究方向為信息安全；

周　佳（1985—），女，碩士，工程師，主要研究方向為信息安全；

鹿文楊（1990—），男，碩士，工程師，主要研究方向為信息安全。

來(lái)源：信息安全與通信保密