网络准入控制技术简史 (上篇)

2020-10-19 ackmin


网络准入控制技术简史

(上篇)







前言




题目里带“简史”二字,颇为忐忑,毕竟有那么多带有简史字样的大作广为流传,但搜肠刮肚之后也实在没找到更好的替代词语了,此处纯粹取字面意思好了。

    本文试图从一个从业者的角度描述网络准入控制技术发展过程中的点点滴滴,梳理出一个较为清晰的脉络,归纳出一个最佳实践,以及就发展前景适当谈点浅见,不追求史料详实与日期数字的精确。倘若对有兴趣了解这项技术的朋友有所帮助,又或者对各企事业单位选型采购有一二助益,则善莫大焉,贻笑大方之处,还请海涵。



image.png




网络准入的定义




    先来看看维基百科上网络准入控制的定义:

网络准入控制的宗旨是防止计算机病毒和蠕虫等黑客攻击技术对企业安全造成危害。借助网络准入控制技术,可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络,而未经授权的终端不能接入

这个定义其实并不是太高明,就好比给大米下定义说这是植物,可以吃。该定义阐述了这项技术的目的——防止企业网络被攻击,也介绍了方法原理——仅授权终端设备能接入企业网络,但看起来跟其它网络安全技术没什么大区别吧?防火墙?VPN?IDS/IPS?

    对于此项技术所面向的对象,定义中写的是“企业网络”,也不是太精当。但凡稍有规模的组织机构,都会有自己的内部局域网,除了企业,也包括政府机关、军队、学校、医院等单位。为方便描述,下文中仍然用“企业网络”指代各种组织机构的内部局域网,想来也不会引来理解上的困难。






网络准入的目的




    各种网络安全技术,发展的有早有晚。某一天,有国际知名专业调查统计机构发布报告称,过去一年企业网络安全事件,绝大部分都是从企业网络内部发起的。这里有两层含义:

    一方面,防火墙类的技术已经发展的很成熟并且成功的成为了企业网络的标配,从外部已经很难有效的攻击企业内部网络了;

    另一方面,杀毒、IDSIPS等内网安全防护手段,要么有滞后性要么做不到完全覆盖,从原理上就不足以保护企业内网的安全。

    想一想也不难理解,在信息互联时代,企业不使用内部网络是不可能的,因噎废食的傻事不能干;而内部网络不仅四通八达,重要信息也可能出现在任何一个网络节点上,不管这个节点是服务器还是个人电脑。搞瘫网络、身份仿冒、信息窃取、数据篡改等等可耻行为,一旦发现,哪怕是立即拔网线,也只能防止破坏进一步扩大;对已经造成的破坏,只能干瞪眼了。很快,业界就意识到需要新的技术框架来解决来自企业网络内部的威胁。网络准入控制技术的提出,就是要解决这个问题,通过一定的信任机制,只允许符合预设条件的计算机接入企业内网,而屏蔽其它任何计算机,尽最大可能的做到防患于未然。







网络准入的组成部分




    网络准入控制的达成,有三个重要的部分:摸清家底、建立信任、阻断可疑

    ●摸清家底,就是要搞清楚企业网络的范围和边界,需要回答的问题有:有哪些网络设备和服务器、划分了多少VLAN、IP资源怎么分配的、有多少进出通道、都由哪些终端接入了企业网络、使用了什么IP、在哪个位置接入的、终端的软硬件资产是什么样的等等;这些信息部分有赖于网络管理员提供,但更多的需要有全面的技术手段来自动获取;

    ●建立信任,对于网络设备和服务器,就是要搞清楚它们的特征,以确保不被仿冒;对于终端则是要检查更多的细节,包括是否审批过、由谁使用、在什么时间段、通过何种方式、从哪个位置接入内网、健康状况如何、是否符合入网策略、访问了哪些资源等等;通过全方位的技术检查建立动态的白名单,每次入网都必须通过检查;

    ●阻断可疑,则是将未能建立信任的计算机屏蔽在企业内部网络之外,避免有人有意或无意的通过传播病毒、伪造、仿冒、嗅探、攻击等手段,破坏企业网络,窃取机密信息。



更多内容敬请关注后续篇章更新