网络准入控制系统概述

addison_lin

BingRiver网络准入控制系统

一、BingRiver网络准入控制系统概述
BingRiver网络准入控制系统可以保护整个企业内部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。利用BingRiver网络准入控制系统企业能够强制提升网络终端安全的能力，保证企业网络保护机制不被间断，配置正确无误，以防御网络安全威胁。与此同时基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
目前大多数内网安全产品在防止非法接入时主要使用ARP欺骗的阻断方式，但ARP欺骗阻断存在很多不足，BingRiver网络准入控制系统对此提出了新的思路，本系统采用多种阻断方式实现主动防御、合规管理。
随着内网安全管理产品在市场上的热销，各种理念的产品层出不穷，但产品同质化趋势明显，尤其是针对终端非法接入内网的阻断方面，手段普遍单一，主要采用ARP欺骗的阻断方式。任何技术都存在现实的两面性，ARP欺骗阻断对于内网安全产品而言，需要科学合理运用才能发挥最大的功效。BingRiver网络准入控制系统的诸多底层技术方面开展了积极的实践探索，并提出了新的防止非法接入的手段和思路。

二、BingRiver网络准入控制系统技术特点
1） ARP欺骗阻断原理分析
1、什么是ARP欺骗阻断
ARP(AddressResolutionProtocol是地址解析协议)，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层(IP层，也就是相当于OSI的第三层)地址解析为数据连接层(MAC层，也就是相当于OSI的第二层)。简单说，IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。
ARP欺骗阻断：在同一个IP子网内，数据包根据目标机器的MAC地址进行寻址，而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每台主机(包括网关)都有一个ARP缓存表，在正常情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP请求应答的机制中存在一些不完善的地方，容易造成ARP欺骗的情况发生。
由于ARP欺骗的阻断方式技术实现较简单，就被国内大部分厂商所采用，特别是针对未注册阻断、非法访问的阻断等，往往都采用ARP欺骗的阻断方式。
2、ARP欺骗阻断分析
首先，采用ARP欺骗阻断方式对网络的负荷影响很大。
ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。在ARP欺骗阻断的实现中，一个ARP请求可能会收到数十个、设置数百个ARP应答，有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗，因此，在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的，可能导致网络设备性能下降，影响用户正常的业务。
其次，ARP欺骗阻断方式准入效果不可靠。
ARP欺骗并不能100%保证有效，比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者，请求者是否被欺骗还存在一定的机率，或者客户端安装了防ARP欺骗的软件，如果采用ARP欺骗包来实现终端设备的准入控制，效果就可想而知，其自身的缺陷，使得准入的可靠性大为降低。
最后，ARP欺骗阻断和真正的ARP欺骗难以区分。
在一个网络内如果启用了ARP欺骗阻断，当真的发生ARP欺骗时，后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗，将给用户的故障排除带来极大的困难，严重影响用户业务。另一方面，在大多数的ARP欺骗阻断实现中，往往是子网内的所有电脑同时对目标电脑进行欺骗，如果目标电脑无需受欺骗后，要求所有电脑停止对其进行欺骗，而此时如果个别电脑没有收到停止欺骗的指令，将导致目标电脑持续不能正常访问网络，导致用户运维事故。
2） BingRiver网络准入控制系统采用的阻断方式
综上所述，ARP欺骗的阻断方式存在很多问题，因此内网安全产品应该辨证地使用这一方式，BingRiver网络准入控制系统提出了不同的思路。
1、 BingRiver网络准入控制系统采取多种阻断方式
BingRiver网络准入控制系统在终端接入边界交换机，可以通过网络准入控制手段阻断不合法的终端接入内网，同时，在后台重要服务器中，通过应用准入控制，实现阻断不合法的终端访问重要服务器和服务资源。也就是说，从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。在不支持网络准入和应用准入两项条件的环境下，BingRiver产品虽然也使用了ARP欺骗的阻断方式，但是，这种阻断方式被大大规范和限制，特别是在个人防火墙只要拦截到ARP欺骗的攻击，就会立即制止客户端向其他客户端发送欺骗包，从而彻底改变了ARP欺骗的不利局面。
2、 BingRiver网络准入控制系统的先进阻断方式
BingRiver网络准入控制系统通过检查IP数据包包头，可确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。内置强大的企业级主机防火墙系统，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控，有效防护疑似攻击和未知病毒对企业内网造成的危害。
3、 基于终端网络行为模式的威胁主动防御
BingRiver网络准入控制系统具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每台计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全状态控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。
　　BingRiver网络准入控制系统紧密围绕“合规”，内含企业级主机防火墙系统，通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理，全面提升内网安全防护能力和合规管理水平。