网络准入控制技术在内网安全产品中的应用研究

摘要

计算机及网络给人们的工作生活带来便利的同时也带来了信息安全的巨大挑战。有效保护内部网络信息资源的安全性和完整性,建立可信可控的内部网络,是现代化企业需要考虑和解决的问题。
　　内网安全产品应运而生,其功能大致可分为:网络接入控制、网络运维管理、终端安全体检、终端桌面运维、网络准入控制。其中网络接入控制是网络安全的第一道防线,合法的计算机允许接入网络;网络准入控制是第二道防线,合法计算机接入网络后需要接受健康体检,检查合格后才允许访问内网资源。
　　网络接入以及准入控制的各项技术也不断演化和进步。本文介绍并分析了几种常见的技术,结合我们开发的内网安全产品eCop宝信网络巡警,详细介绍了两个较优秀的解决方案:基于客户端扫描和交换机阻断的网络接入控制方案、基于客户端阻断和隔离的网络准入控制方案。客户端扫描是基于ARP扫描原理,扫描信息更实时更全面、部署快捷方便、可全网覆盖,交换机阻断基于SNMP协议直接关闭交换机端口,阻断效果更为彻底。网络准入控制方案基于客户端软件完成,客户端软件可以对计算机进行实时检测,发现隐患及时通过客户端自身实现网卡级阻断和驱动级隔离。客户端阻断调用Windows的API和COM端口,客户端隔离则基于TDIHOOK驱动过滤技术。
　　因为客户端接受度低以及部署维护难度高,人们需要一种无客户端模式的网络准入控制方案。经过技术预研,本文又提出了基于URL重定向+ActiveX控件检测与修复+802.1x网络强制技术的解决方案,并详细介绍了方案的架构、组件、实现流程、相关技术,并对方案做了评价。
　　经过实际应用检验,基于客户端扫描和交换机阻断的网络接入控制方案、基于客户端阻断和隔离的网络准入控制方案能有效帮助各企事业单位、研究所达成其网络准入安全控制的需求,而无客户端模式的网络准入控制方案以其人性化管理和先进技术预期将达到更广泛的应用。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪 论

1.1 研究背景

1.2 国内外安全产品概况

1.3 研究目的和意义

1.4 研究目标和内容

1.5 论文结构

2 网络访问控制技术综述

2.1 网络接入控制技术

2.2 网络准入控制技术

2.3 本章小结

3 内网安全产品总体设计

3.1 系统组成

3.2 系统典型部署

3.3 产品功能架构

3.4 本章小结

4 基于客户端扫描与交换机阻断的网络接入控制方案

4.1 网络接入控制需求

4.2 解决方案概述

4.3 方案总体设计

4.4 客户端扫描与节点判断

4.5 交换机管理与阻断

4.6 应用效果

4.7 本章小结

5 基于客户端阻断与隔离的网络准入控制方案

5.1 网络准入控制需求

5.2 解决方案概述

5.3 方案总体设计

5.4 阻断设计与实现

5.5 隔离设计与实现

5.6 本章小结

6 无客户端方式的网络准入控制研究

6.1 无客户端方式的需求

6.2 无客户端网络准入方案

6.3 关键技术的研究与设计

6.4 预期效果

6.5 本章小结

7 总结与展望

7.1 总结

7.2 展望

参考文献

致谢

攻读学位期间发表的学术论文