1.建設背景

在數字化轉型快速推進的今天，政企用戶越來越重視網絡信息安全建設。同時，國家層面對于網絡信息安全的管理要求不斷提升，管理範圍不斷擴大。在面對高新業務的快速發展、以及安全隐患的不斷升級的大環境下，如何構建完善的網絡安全管理體系來保證内網安全，正面臨諸多的風險挑戰。在終端管理層面，面臨的突出風險是：外來終端未經授權訪問内部核心業務服務器資源。未經識别的終端一旦允許随意訪問内部業務資源，極其容易導緻木馬、病毒随終端一起混入網内，内部業務服務器資源有被洩露風險。同時，如果不合法終端本身存在漏洞隐患，也會導緻安全風險。

2.現狀及問題分析

為解決由非法終端訪問内網業務服務器資源而引入的各類風險問題，嚴格的準入管理成為了構建終端安全管理體系的第一道重要防線，具體而言，需要有效識别終端設備并管理，杜絕身份不明的終端随意訪問内部資源。為了确保終端準入控制不存在盲點，需要同時考慮徹底防止非法計算機利用直插網線、仿冒内網合法計算機IP和計算機名、直連網内合法計算機、私接路由這些常見和難以管理的方式違規訪問内網業務服務器。

3.建設思路

基于360應用準入管理解決方案，實現終端準入管理，确保訪問内網資源的終端是合法客戶端。通過内網核心交換機旁接準入服務器，配置交換機鏡像口，把流量引入準入服務器進行數據包合法性校驗，通過校驗的終端允許訪問内部業務服務器。

3.1 設計目标滿足本單位的終端準入管理要求，解決由非法終端訪問内網資源引入的各類風險問題：1、有效識别終端設備并進行準入管理，禁止身份不明的終端随意訪問内網服務器資源。2、徹底防止非法計算機利用直插網線、仿冒内網合法計算機IP和計算機名、直連網内合法計算機、私接路由這些常見和難以管理的方式違規訪問内網業務服務器。

3.2 設計原則（1）實用性系統建設時要充分考慮實用性，能起到真正的防護效果，同時不影響正常的生産辦公業務，實現安全與效率的有機融合。系統操作交互界面應當盡可能簡單易用，降低系統使用和維護的複雜度。（2）擴展性在技術的選用、功能的設計和實現等方面，應充分考慮長期建設需要，使後期終端管控功能和内容的增加能在一個開放性的平台上平滑擴展，而且要求易于管理，以降低後期管理維護成本，保障投資有效性，保證系統健康可持續拓展。（3）有效性實現有效檢測，規避NAT、小路由等環境下的準入繞過行為。

4.銘冠網安360終端準入建設方案

4.1 産品介紹4.1.1 産品概述360應用準入系統，基于客戶端合法性進行識别控制，有效阻斷非法終端訪問内網業務服務器資源的行為，保障内網資源安全。4.1.2 系統組成360應用準入包含管控中心，準入服務器（NAC）以及準入客戶端三部分組成：管控中心：360終端安全管理系統管控中心，負責下發管理策略給準入服務器和客戶端。準入服務器（NAC）：包含準入功能組件的高性能專用服務器，具有多種型号。準入客戶端：向準入服務器發送終端信息。4.1.3 實現原理準入服務器采用旁路鏡像部署模式，通過旁路連接到網絡核心交換中，通過監控路由交換數據，識别客戶端在通訊過程中發送的通訊數據中标識，并判斷其是否合法。未安裝客戶端軟件的終端，因為無法發送标識數據，所以無法通過準入校驗，未通過驗證的終端将被拒絕訪問内部業務服務器資源。4.1.4 準入功能1.基礎功能1)部署方式支持旁路部署方式，對現有網絡拓撲架構無重大影響。2)支持多VLAN、多路由器情況，支持NAT形式的地址轉換環境。3)能夠通過數據包的IPID方式判斷終端合法性。2.重定向機制對于未安裝客戶端軟件的終端提供網頁重定向機制，顯示客戶端的安裝提示，指示使用者主動安裝客戶端管理程序。3.例外終端入網機制為适應更多用戶場景，如外來訪客可能不便安裝客戶端。通過配置例外終端，即使未安裝客戶端也可以順利通過準入訪問内部業務資源。管理員可将例外終端的相應标識特征，比如IP、MAC等添加到例外策略中，當終端入網時，會校驗其是否為例外終端，校驗通過後，例外終端則可以訪問内部資源。

4.2 部署架構

準入服務器旁路部署模式

本建設方案，将準入服務器連接到交換機出口的鏡像端口上，對流經鏡像端口的 TCP 數據包進行過濾，控制其是否可以通過準入服務器。旁路部署模式，對用戶的網絡架構無重大影響。

4.3 銘冠網安360終端準入解決方案應用場景

4.3.1 應用場景1：合規終端允許訪問保護區服務器資源場景描述：外來計算機接入到内網網絡中，可能會給内網核心業務服務器造成極大的安全風險。潛在風險：内部重要業務系統信息被非法訪問，同時可能會把病毒傳染給内網計算機。管理需求：禁止非法的外來終端訪問内網業務服務器資源。解決方案：用戶可以将内部業務區服務器資源劃分保護區。通過應用準入，對未安裝客戶端軟件的計算機，限制其訪問業務保護區服務器資源。

4.3.2 應用場景2：特殊終端設備例外入網場景描述：内網可能存在部分老舊設備、特權終端、特殊硬件設備不能夠安裝客戶端程序，但同時這類終端設備有訪問業務保護區服務器資源的需求。管理需求：希望能夠将這些特殊設備例外放行，不影響其正常辦公。解決方案：對于計算機或特殊網絡設備，可通過IP、MAC方式例外放行；對于移動設備，通過識别Http包中的關鍵字進行例外，例外的設備可以正常訪問保護區的服務器資源。

4.3.3 應用場景3：複雜網絡環境，NAT轉換場景場景描述：内部網絡結構較為複雜，存在多層NAT轉化。NAT 有三種實現方式，即靜态轉換 Static Nat、動态轉換 DynamicNAT和端口地址轉換OverLoad。靜态地址轉換（靜态NAT）：本地和全局地址之間的一對一地址映射;動态地址轉換（動态NAT）：本地和全局地址之間多對多地址的映射;端口地址轉換（NAT Overload;）：使用端口在本地和全局地址之間進行多播地址映射。1、靜态轉換靜态轉換是指将内部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址隻轉換為某個公有IP地址。借助于靜态轉換，可以實現外部網絡對内部網絡中某些特定設備（如服務器）的訪問。2、動态轉換動态轉換是指将内部網絡的私有IP地址轉換為公用IP地址時，IP 地址是不确定的，是随機的，所有被授權訪問上Internet的私有IP地址可随機轉換為任何指定的合法IP地址。也就是說，隻要指定哪些内部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動态轉換。動态轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡内部的計算機數量時。可以采用動态轉換的方式。動态轉換的應用場景一般分為兩種：一是在防火牆設置VPN連接，這樣外網的機器都可以訪問内網，訪問時是以同一個IP地址進行訪問。二是在内網接入小路由，如某個部門中放置一個家用小路由，這樣小路由下面的機器就可以通過一個公共的IP地址訪問網絡。3、NAT OverLoad（PAT）使用端口在本地和全局地址之間進行多播地址映射。這種方法也稱為NAT Overload，可以将多個地址映射到一個或多個地址，因為每個私有地址也由端口号跟蹤。管理需求：對NAT設備下的終端設備實現訪問控制，規避出現漏防終端設備的情況，避免保護區服務器資源受到威脅。解決方案：通過IPID技術可以識别出NAT設備或小路由下面的終端哪台安裝了客戶端軟件哪台沒有安裝客戶端軟件，即使IP地址出現變化，也能實現準入控制，避免漏防終端。

5.銘冠網安360終端準入解決方案優勢

簡單化部署方式準入服務器采用旁路鏡像的部署模式，可在不改變用戶原有網絡結構基礎上，實現對終端訪問内網資源的控制及管理，同時避免對網絡拓撲結構産生較大影響。有效規避準入繞過行為适應多VLAN、多路由器情況網絡，支持NAT形式的地址轉換環境，基于數據包的IPID判斷終端合法性，有效規避小路由、NAT等環境下的準入繞過行為。Windows和信創終端統一管理可以同時支持Windows終端與信創桌面機的準入控制，滿足信創過渡期内不同系統終端的準入管理要求。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!