一、引言

随着信息技术的飞速发展,网络已成为我们日常生活和工作中不可或缺的一部分。然而,这也带来了网络安全问题的日益突出。为了应对这一挑战,网络接入控制系统(Network Access Control,NAC)应运而生,成为保护网络安全的第一道防线。

网络接入控制系统主要用于对接入网络的设备进行身份验证、安全检查和访问控制,从而确保只有合法的、安全的设备能够接入网络。在传统的企业或者机构网络建设思路中,一般认为内部网络是安全的,安全威胁主要来自外界。因此各种安全措施基本上都围绕着如何抵御外部的攻击来部署,如部署防火墙等。但是,许多重大的安全漏洞往往出现在网络内部,例如内部员工在浏览某些网站时,一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中,并在内网传播,产生严重的安全隐患。在网络安全威胁日益严重的今天,恶意攻击、病毒传播、数据泄露等事件频发,给企业和个人带来了巨大的损失。

网络接入控制系统从用户角度考虑内部网络安全,通过对接入网络设备进行安全控制,提供“端到端”的安全保证。借助于网络接入控制系统,实现“只有安全的终端、合法的用户才允许接入网络”,隔离非法、不安全的终端和用户,或者仅允许他们访问受限的资源。以此来提升整个网络的安全防护能力。

本报告由中国科技产业研究院推出,旨在对国内网络安全产品中的网络接入控制系统产品进行深入调研,分析其实现技术,为企业和组织选择合适的网络接入控制系统提供参考。

二、国内网络接入控制系统市场现状

1、市场规模

近年来,随着网络安全意识的提高和网络攻击事件的频繁发生,中国网络接入控制系统市场呈现出快速增长的趋势。根据相关数据,我国信息安全产业目前的市场规模约为 614 亿元,作为信息安全细分行业之一的网络接入控制系统行业,预计2024年市场规模将达到25.67亿元,在2027年时将达到 42.42亿元。目前全国IT行业投入为4万亿左右,若按照欧美国家的信息安全投入比重、以及网络接入控制系统行业所占比例计算,我国网络接入控制系统行业的潜在市场需求约为175.53亿元。

2、应用领域

网络接入控制系统广泛应用于政府、企业、金融、电信、医疗、交通、军工等领域,尤其是在对网络安全要求较高的行业中,网络接入控制系统的应用更加普遍。例如,企业可以通过网络接入控制系统对员工设备进行管理,防止未经授权的设备接入企业网络,保护企业敏感信息;政府部门可以利用网络接入控制系统加强对政务网络的安全防护,确保政务信息的安全。

3、主要厂商

目前,中国网络接入控制系统市场主要厂商包括网络设备类厂商、桌管/杀毒类厂商、专注研发接入控制系统厂商等。这些厂商在技术研发、产品性能、市场占有率等方面各有优势,共同推动了中国网络接入控制系统行业的发展。

三、网络接入控制系统实现技术分析

定义与功能

网络接入控制系统是一种用于管理和控制网络接入的安全设备,主要功能包括用户身份认证、设备识别、访问控制、安全策略执行等。通过对网络接入行为的严格管理,可以有效防止未经授权的设备和用户接入网络,降低网络安全风险。

实现技术分析

随着网络接入控制技术的发展,近些年出现了很多针对于不同网络和需求的接入控制技术,从部署和实现上接入控制技术可以分为四大类:

网络设备型

基本都是需要跟接入层交换机联动,采用配置、读取、控制交换机的方式来实现终端接入控制。这种接入控制技术一般而言部署维护相对复杂(因为要配置交换机,与交换机联动),但安全性比较高,其能够从交换机端口层面对终端进行隔离控制。最典型的网络设备联动类就是802.1X、MAC-Auth、SNMP接入控制技术。

802.1X

IEEE 802.1X是由IEEE制定的关于用户接入网络的认证标准,全称是“基于端口的网络接入控制”。它于2001年正式颁布,最初是为有线网络设计,之后为了配合无线网络的接入进行修订改版,并于2004年完成。

802.1X协议是一种基于端口的网络接入控制协议,所以具体的802.1X认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。802.1X协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1X只允许EAPoL(Extensible Authentication Protocol Over Lan)数据通过设备连接的交换机端口。认证通过以后,正常的数据可以顺利地通过以太网端口。

基本组成如下:

申请者(Supplicant):就是想要对网路进行存取的使用者机器,验证阶段就是由申请者提出验证要求 (EAPOL-Start) 后开始进行一连串的验证程序。要成为Supplicant还必须安装支持特定EAP认证方法的Supplicant客户端,Windows XP以后系统(包含XP SP3)已经包含支持部分EAP认证方法的客户端。

验证者(Authenticator):支持802.1X协议的网络设备(如交换机),对所连接的客户端进行认证。它为客户端提供接入局域网的端口,可以是物理端口,也可以是逻辑端口。

验证服务器(Authentication Server):为设备端802.1X协议提供认证服务的设备,是真正进行认证的设备,实现对用户进行认证、授权和计费,通常为RADIUS服务器。

MAC-Auth

有很多终端无法安装802.1X客户端(比如打印机、摄像头、瘦客户机等),或者有些机器安装时与其它软件冲突等,这些设备不能直接访问网络。针对于此类终端可使用MAC旁路认证功能,这是一种基于MAC地址的免802.1X客户端的认证模式,其基本原理是交换机将接入终端的MAC地址组成RADIUS PAP认证的用户名和密码交给RADIUS服务器,RADIUS服务器检查MAC地址然后通知Authenticator是否允许终端接入网络。此认证方式补充了无法安装802.1X客户端的终端入网认证。

SNMP

简单网络管理协议SNMP(Simple Network Management Protocol)是1990年之后TCP/IP网络中应用最为广泛的网络管理协议,提供了一种监控和管理计算机网络的系统方法。SNMP在90年代初得到了迅猛发展,得到了广泛应用,并成为网络管理的事实上的标准。SNMP在90年代初得到了迅猛发展,同时也暴露出了明显的不足,如,难以实现大量的数据传输,缺少身份验证(Authentication)和加密(Privacy)机制。因此,1993年发布了SNMPv2,随后又发布了更为安全的V3版本。

接入控制设备通过SNMP协议对交换机进行读写操作,其主要通过SNMP Read读取接入层交换机的MAC表和ARP表的内容,然后对其MAC地址、IP地址进行分析。当发现接入终端违规的时候,通过SNMP Write控制交换机将终端接入的交换机端口进行关闭操作。一般接入控制设备采用定期轮询的方式采集交换机信息,其必定有一个时间间隔,在这个窗口之内违规终端是可以成功访问网路的。这个时间一般几秒到几分钟不等,这会导致不安全因素,为了尽量缩短这个不安全的时间窗口,一般还会配置SNMP-Trap来管理。当有新终端接入网络的时候,交换机会通过SNMP-Trap的方式将新终端MAC地址发送给接入控制系统,接入控制系统收到后对其进行分析,这个时间间隔很短几乎可以忽略不计。具体原理图如下:

网关型

属于安全域的边界控制类,放在区域的入口或者出口处,分析流经设备的流量(或者镜像流量),然后根据流量特征等对终端访问权限进行控制。这种接入控制技术严格意义上不能算是真正的网络接入控制,不管是物理串接,还是半物理串接(策略路由),还是旁路分析(镜像流量),都只能检查和控制流经设备的流量,不能对终端接入进行快速发现和阻断。

网关类接入控制技术是由防火墙、上网行为分析、入侵检测等系统发展而来,属于安全域的边界控制类,放在区域的入口或者出口处,分析流经设备的流量(或者镜像流量),然后根据流量特征等对终端访问权限进行控制。这种接入控制技术严格意义上不能算是真正的网络接入控制,不管是物理串接(路由、桥接),还是半物理串接(策略路由),还是旁路分析(镜像流量),都只能检查和控制流经设备的流量,不能对终端接入进行快速发现和阻断。

网关型接入控制技术根据部署方式上大约分为2大类:

串联型:与防火墙类似,物理串接在网络中,进出流量都需要经过接入控制设备转发,此类型对系统稳定性和性能要求很高,因为物理串接容易形成网络性能瓶颈和单点失效问题。基本流程如下图:

半串联型:主要指策略路由PBR(Policy-Based Routing),所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。PBR完全是路由器或交换机的功能,接入控制设备只是使用了这个PBR的功能达到了改进Bridge等物理串联型接入控制技术。其基本概念是只分析和处理流出流量,而不管理流入流量,从而降低了对网络性能的影响,另外采用PBR本身的容灾功能也在一定程度上解决了网络单点失效问题。其基本流程如下:

客户端型

客户端型接入控制技术是从桌面管理软件发展过来,采用安装客户端的方式对主机进行管理,一般是采用主机网络驱动程序控制主机访问权限。此类接入控制技术对于已安装客户端的机器能够很好的进行管控,关键点在于如何防止不安装客户端的机器接入网络。

对入网终端进行主机检查,看其是否符合企业安全要求,比如是否安装杀毒软件,杀毒软件是否最新版本,系统防火墙是否启用,屏保是否启用等。只有符合企业安全要求的终端才允许接入网络,为了满足此需求,接入控制厂商一般情况下需要在入网终端上安装一个客户端代理软件。客户端型一般分为2种:

插件型:主要是ActiveX插件,其依附于IE浏览器,浏览器本身没有权限对终端信息比如进程、系统配置等进行获取,但通过ActiveX空间的方式可以让浏览器具有这些权限。这一类型客户端常被成为“轻型客户端”或者“无客户端”模式,它最大优点是给终端用户感觉没安装软件,最大缺点是严重依赖IE浏览器,当浏览器关掉后变不再执行,只能入网检查一次,不能常驻内存实现在线安全检查。

常驻型:相对插件型而言此类型客户端需要安装并常驻内存运行,实时监控终端安全状态。当发现终端违规,则立刻进行隔离动作,安全程度很高,但缺点是需要安装软件代理在入网终端上。

纯旁路型

旁路接入网络,不分析网络流量,不控制交换机,采用IP切换或者ARP探测、阻断等方式进行接入控制。此类接入控制技术优点在于对网络环境依赖小,几乎适应所有复杂网络,部署和维护容易,安全程度适中。

旁路型

主要通过端口镜像技术SPAN(Switched Port Analyzer),将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。其与上面两种方式最大的区别在于旁路性,任何流量都不由接入控制设备转发,不会对网络有任何影响,没有性能瓶颈和单点失效的问题,其入网流程如下:

IPv4 ARP/IPv6 NDP

IPv4 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,而MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。IPv6 NDP的“Neighbor Discovery Protocol”与IPv4的ARP原理几乎一致。

从上面介绍的ARP协议可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。这个ARP缓存的请求和应答是没有任何验证机制的存在,从而请求ARP的主机是没有办法区分收到的ARP应答时正确的还是虚假的,这也是很多ARP病毒程序的工作原理。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器。

ARP协议的特点是一个双刃剑,用在病毒身上可能对网路造成极大地破坏,但是如果用在正常的接入控制技术上,则可以实现很好的效果。从原理上来说ARP接入控制技术与病毒十分相似,它是通过向局域网中的非法终端和合法终端发送虚假ARP数据包来阻止非法终端对网络资源的访问。下面以非法终端接入网络为例,正常情况下网络中所有通信终端记录的ARP信息都是准确的。如下图:

当违规终端接入网络后,接入控制设备会在正常终端和违规终端之间进行隔离,将他们两个集合中的通信切断。一种方式是发送虚假MAC地址,另一种是发送接入控制设备MAC地址进行欺骗从而将流量引导到接入控制设备上来。如下图所示:

DHCPv4/DHCPv6

上面介绍的802.1X、MAC-Auth等技术可以依靠动态切换交换机端口VLAN的方式进行接入控制。这里面最大的问题是切换VLAN的执行单元必须是接入层交换机,切换过程必须由接入控制系统跟交换机共同完成。由于接入层交换机的量比较大,而且不同厂商不同型号的切换可能还不尽相同,从而造成了VLAN切换技术的复杂性。

针对于VLAN切换的问题,一些接入控制厂商提出了基于IP切换的接入控制技术(后面称之为DHCP接入控制)。其主要是利用DHCP协议的特性来控制终端的IP地址变化,实现终端接入区域的切换从而实现接入控制规范的检查和认证。IP切换的优点在于无需交换机参与,入网终端与接入控制设备交互即可完成切换动作。

DHCP接入控制与802.1X/MAC-Auth接入控制的最大区别在于其与网络设备无关,它工作在OSI(Open System Interconnect)七层网络模型的第三层(也就是IP层)。其利用一个VLAN承载多个子网的原理,在每一个VLAN原有办公子网NNet(Normal Subnet)基础上虚拟出1个隔离子网QNet(Quarantine Subnet)和一个访客网GNet(Guest Subnet)。如下图所示:

添加了接入控制设备后,如下图:

其中QNet主要用于隔离未检测终端,当终端还没有经过规范检查和认证的时候,接入控制系统会自动将终端分配进入隔离缓冲网。处于这个区域的终端默认情况下只能访问接入控制服务器和补丁服务器等,当经过检查和认证以后系统会自动将终端切换到正常办公网络。

四、网络接入控制系统技术先进性厂商分析

目前市场上网络接入控制系统厂商大致分为三类:

第一类:传统桌面终端管理厂商、杀毒软件厂商内嵌的接入控制网关。此类产品特点是侧重于传统Windows系统的PC桌面管控或杀毒,在非PC的接入控制上功能偏弱,尤其是必须安装客户端软件才可以实现接入控制。且偏重于应用层接入控制,即非法设备已经可以进入网络,仅在经过接入控制系统时进行拦截。

第二类:交换机厂商自带的接入控制模块。此类技术特点是严重依赖交换机,需要在交换机配置大量的命令支撑,部署工作量大、运维繁琐,且需要持续人工投入。例如新增交换机、更换交换机都需要基于交换机端口进行配置命令,久而久之,交换机端口配置遗漏,引起网络接入控制部分失效。另外从安全角度来说,可以实现端口级控制,更为严格一些,但无法管控到HUB环境,对非PC的接入控制仅限设备MAC地址的认证管控。

第三类:专业的网络接入控制产品厂商,如北京融汇画方科技有限公司(简称画方科技)。此类产品侧重于从网络层实现网络链路层的接入控制,尤其侧重于非PC的各类泛终端、端口直连等接入控制。且不需要安装客户端软件,可做到边界级接入控制,能够管理到HUB,对HUB下的非法设备阻断,不影响HUB下的其他合法设备入网。该类厂商与上述技术先进性描述契合度高,具备较高的技术先进性能力。

以画方科技为例,其网络接入控制系统有以下技术特点:

覆盖全类型

传统的准入产品管理的对象仅是办公计算机,忽略了网内存在的各种类型的哑终端设备,例如交换机、HUB、打印机、IP电话、摄像头等,此类设备无人值守易被仿冒利用,由此产生的安全事件将防不上防。对此,先进的网络准入管理系统在设计时,应全类型覆盖,自动发现所有联网的设备,作为内部局域网网络边界节点的重要组成部分,非法设备可以通过交换机端口、HUB端口、无线小路由、无线AP、哑终端、办公计算机等节点突破接入网内,因此,真正发挥准入的作用,应该是将所有联网设备共同组成的网络边界进行管控。

智能识别技术

传统网络接入控制系统仅依赖安装客户端的手段归类计算机,采用加白的人工登记方式归类网络打印机、IP电话、摄像头等哑终端类型,缺乏智能识别与归类,先进的网络接入控制系统应做到智能识别设备类型、智能识别操作系统,并自动归类。通过对设备的硬件特征、软件特征等进行分析,生成设备指纹,实现对设备的唯一识别。设备指纹识别可以有效防止设备冒用和伪造,提高设备识别的准确性。准确识别接入设备的操作系统类型和版本,为制定安全策略提供依据。

非客户端模式

现如今终端安全层次不穷,终端主机安装的防护客户端越来越多样,侵占主机性能,影响业务正常办公。越来越多的用户提出无客户端准入控制,不基于主机软件实现准入控制,而是采用流量分析、API接口联动等方式,实现主机合规检查,完成强制访问控制,落实安全策略,强制用户和设备遵守安全规定,提高网络的安全性。

平衡阻断效果与部署成本

截至目前,市场上依然存在两种极端,一种是追求极致安全,忽略便捷性与易用性。一种是极致追求便捷,忽略了应有的安全性。理想情况应该是兼顾阻断效果和部署成本,实现两者有机平衡。

市场上的接入控制技术的阻断效果大致分为三类,应用级阻断、端口级阻断、边界级阻断:

应用级阻断:即非法设备接入访问网络产生的流量流经接入控制系统时阻断拦截,实际已然接入网络,可以与同网段、同HUB下的合法设备进行通信,无法防止病毒的传播、恶意的攻击,甚至可以通过可访问的合法设备作为跳板突破到业务区;代表的接入控制技术为:策略路由、数据镜像、透明网桥。

端口级阻断:即非法设备接入被接入控制系统阻断后,无法访问跨交换机端口下的合法设备,但可以与同一端口下的合法设备通信;代表技术有802.1X、MAB、SNMP、TELNET/SSH等接入控制技术。

边界级阻断:即非法设备被接入控制系统阻断后,无法访问同网段、同一端口下的合法设备。代表技术有DHCP、ARP、AGENT。

图-市场准入技术实现效果剖析图

画方科技自主研发的网络接入控制系统应做到单套系统支持多种准入技术,在愈加复杂的网络环境中,可并行启用多种技术,追求极致安全,即构建网络链路层准入控制效果,违规终端从哪里接入,就从哪里阻断。

五、结论

网络接入控制系统作为网络安全防护的重要组成部分,在中国市场具有广阔的发展前景。通过对国内网络接入控制系统的技术先进性进行调研分析,可以看出,目前中国网络接入控制系统在全类型覆盖、智能识别技术、非客户端模式、严格的接入控制效果等方面已经有专业的厂商具备了较高的技术水平。在选择网络接入控制系统时,企业和组织应根据自身的网络安全需求和实际情况,综合考虑产品的技术性能、稳定性、可扩展性、易用性等因素,选择适合自己的网络接入控制系统。

北京融汇画方科技有限公司(简称画方科技)自主研发的画方网络准入管理系统在技术先进性方面表现突出,连续10年在中国政府市场占有率保持第一,连续7年在中国高端行业用户市场占有率第一名。