CN111917700A - 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 - Google Patents
基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 Download PDFInfo
- Publication number
- CN111917700A CN111917700A CN202010206772.6A CN202010206772A CN111917700A CN 111917700 A CN111917700 A CN 111917700A CN 202010206772 A CN202010206772 A CN 202010206772A CN 111917700 A CN111917700 A CN 111917700A
- Authority
- CN
- China
- Prior art keywords
- admission
- technology
- access
- network
- hybrid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明为基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题,将目前主流的准入技术进行优化改进并融合。以达到单套准入系统能够具备同时使用多种准入技术,所涉及的准入技术包括:DHCP准入技术、ARP准入技术、SNMP准入技术、MAB准入技术(MAC Authentication Bypass,MAC旁路认证,属于802.1x准入技术的衍生技术)、SPAN数据镜像准入技术。这几种准入技术均可在对应的场景中单独使用,也可以基于不同的网络环境、不同的准入需求同时启用多种准入技术来满足准入管理的需要,以便解决单一准入技术带来的管控漏洞或与环境兼容性问题。
Description
技术领域
本发明属于信息安全领域,涉及网络准入控制技术,主要涉及到基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题。
背景技术
伴随国家信息化建设水平的不断提高,相关企事业单位及国家职能部门的网络建设也逐步完善,但随之而来的网络安全问题也越来越多,许多单位为保证内部网络环境的接入安全,部署了传统的终端准入控系统,用于防护非法终端在接入网络时可能给网络带来的未知安全问题。
目前市场上主流的准入控制厂家多数依靠的准入控制技术如:802.1x/MAB准入技术、策略路由、SNMP、ARP、DHCP、SPAN等。每种准入技术都对网络环境和准入需求有限制,且准入管理力度和能管控的安全事件也有所限制,无法通过某种单一的准入技术来应对日趋多变的网络环境和安全漏洞。不同的网络环境(如:路由网、交换网、VPN网络、静态IP环境、DHCP环境、无线网络等);不同的接入设备类型(如:电脑、打印设备、监控、网络设备、工控机、门禁、移动设备等);不同级别的准入需求(如:边界级准入、端口级准入、应用级准入等),这些都是实际存在且会限制准入系统部署影响因素。目前市场上主流的各项准入控制技术都有各自的适用环境和安全短板。对于越来越复杂的企业网络结构、多元化的网络结构、多场景的办公环境,只利用某一种或两种准入技术是无法满足用户的准入需求。
要想全面考虑网络环境、设备类型、准入管控方式等问题,就需要将以上提到的各种准入技术全部结合并根据其适用范围重新做调整。为解决上述问题,本发明主要通过一种基于混合准入技术来解决目前单一准入技术带来的管控漏洞与环境兼容性问题。
发明内容
本发明的核心为混合准入技术,将目前主流的准入技术进行优化改进并融合。以达到单套准入系统能够具备同时使用多种准入技术,所涉及的准入技术包括:DHCP准入技术、ARP准入技术、SNMP准入技术、MAB准入技术(MAC Authentication Bypass,MAC旁路认证,属于802.1x准入技术的衍生技术)、SPAN数据镜像准入技术。这几种准入技术均可在对应的场景中单独使用,也可以基于不同的网络环境、不同的准入需求同时启用多种准入技术来满足准入管理的需要。
基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题的实现方法如下:
S1:将具备混合准入技术的准入服务器纯旁路部署在需要做准入管理的网络;
S2:需要在具备混合准入技术的准入系统中添加所有需要管控网段;
S3:根据实际准入要求配置终端准入检查策略;
S4:根据部署的网络环境以及准入策略需求选择启用混合准入技术中相符合的单个或者多种准入技术进行检查;
S5:当混合准入技术检测到有终端不符合S3步骤配置的策略时,通过S4步骤配置好的单个或多个准入技术对其采取阻断措施。
对于网关配置在核心交换机上的vlan网段范围(交换网环境),可应用混合准入技术中的ARP准入技术,将该地址段范围内所有类型终端纳入准入监控范围,如出现非法接入或其他违规行为,针对该范围终端使用ARP准入单一阻断该终端。既能实现边界级准入,同时兼容了HUB及不可网管交换机环境。
在包含DHCP的网络环境中,由于入网终端的IP地址是通过DHCP服务器分配的,因此可将DHCP服务迁移到具有混合准入技术的准入服务器上。启用混合准入技术中的DHCP准入功能,管理员通过在准入服务器管理界面上配置DHCP自动绑定功能以及入网终端合法合规性检查等策略。当非法终端接入或已接入终端违规时,DHCP准入自动为该终端分配隔一个离网IP地址,限制该终端的访问权限。同时可提供portal引导界面要求其完成信息注册、用户认证等,在终端恢复正常后,系统则会为该终端分配合法的的IP地址,以此实现对DHCP环境下的终端准入控制。
对于安全要求较高,或者必须采用802.1x类准入技术来实现准入控制的网络环境,可启用混合准入技术中的SNMP准入来进行管控。如果需要采用国际标准的准入技术,则可启用混合准入技术中的802.1x(MAB)准入来管控。此时准入服务器将会充当一台Radius认证服务器,通过在交换机上配置MAB认证命令,并将认证服务器IP指定位准入服务器的IP。之后所有接入该交换机上的终端都需要准入服务器对其合规状态进行判断,混合准入技术会基于判断结果确定该终端是否可以接入网络,如果终端不符合接入条件,则混合准入技术会通过radius认证向交换机返回认证失败的值,从而阻断终端。
要实现端口级的准入控制还可以选择混合准入技术中的SNMP准入方式。该方式是通过混合准入技术中的SNMP准入功能与网络中已经配置了SNMP协议的的交换机进行联动,在准入服务器里获取到每台交换机的端口状态、级联关系以及接入终端的相关信息。当发现非法接入或违规终端时,混合准入技术会调用SNMP协议将交换机上接入该终端的端口关闭,从物理链路上断开终端的网络连接,从而实现端口级的准入效果。
对于跨区域的路由网络结构,且为静态IP地址环境,无法使DHCP和ARP准入技术。对于该类情况,可启用混合准入技术中的SPAN数据镜像准入技术和SNMP准入技术来共同实现该区域网络的准入管控。通过SPAN准入技术添加需要管理的IP地址段,并利用SNMP准入技术联动网内所有网络交换机的SNMP协议。当出现非法终端或未知终端新接入网时,混合准入技术可调用SNMP来关闭该终端的接入端口,防止其持续接入网络,达到端口级准入管控的目的。当已经入网但未完成其他安全要求的终端出现轻度违规(如:病毒库未及时更新、IP绑定错误、未登陆用户等),则可以利用SPAN数据镜像来阻断电脑与web服务或互联网的访问。通过流量重定向功能,引导该终端进行问题修复,当修复完成后,SAPN即可解除对该电脑的访问拦截。
另外,该混合准入技术还支持对于不同的准入安全事件采取不同安全级别的准入技术来进行阻断。而不是像传统的准入技术,对于任何准入问题都采取同一种手段来阻断。如此做法的好处是,既能基于安全等级来采取不同力度的准入技术进行防护,也考虑了使用者的实际使用体验,混合准入技术支持检查的准入安全问题覆盖面也更广。
附图:
图1为本发明基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题的部署示意图;
图2为本发明基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题的准入事件配置一览表;
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
图1为本发明涉及到的混合准入技术在常见的一种网络环境中的应用部署示意图。用于解决单一准入技术在环境兼容性上存在的问题。具体配置步骤如下:
S101:将具备混合准入技术的准入服务器纯旁路部署在需要做准入管理的网络中的核心交换上,配置Trunk接入,将应用服务器区域和网络出口节点的数据流量通过配置数据镜像(SPAN),将其发送到准入服务器上;
S102:需要在具备混合准入技术的准入系统中添加所有需要管控范围内的vlan/IP地址段;
S103:根据实际准入要求配置终端准入检查策略;
S104:根据部署的网络环境以及准入策略需求选择启用混合准入技术中相符合的单个或者多种准入技术进行检查;
S105:当混合准入技术检测到有终端不符合S103步骤配置的策略时,通过S104步骤配置好的单个或多个准入技术对其采取阻断措施。
如图2所示,为本发明对于不同的准入安全事件采取不同安全级别的准入技术来进行检查或者阻断,目的为解决单一准入技术对于不同安全事件的的管控存在安全漏洞问题。使用者对于每种准入事件,只需根据管理需要开启或关闭对应的检查或者阻断开关即可。部分事件由于底层技术原理限制,无法进行配置。
以上所述,为本发明较佳的实施案例,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所披露的技术范围内,可轻易的想到的修改、等同替换、改进等,均应涵盖在本发明保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题的实现方法如下:
S1:将具备混合准入技术的准入服务器纯旁路部署在需要做准入管理的网络;
S2:需要在具备混合准入技术的准入系统中添加所有需要管控范围的网段;
S3:根据实际准入要求配置终端准入检查策略;
S4:根据部署的网络环境以及准入策略需求选择启用混合准入技术中相符合的单个或者多种准入技术进行检查;
S5:当混合准入技术检测到有终端不符合S3步骤配置的策略时,通过S4步骤配置好的单个或多个准入技术对其采取阻断措施。
2.如权利要求1所述的基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题,其特征在于,所述步骤S1中,接入方式为纯旁路接入,不对网络造成影响。
3.混合准入技术是将目前广泛应用的多种单一准入技术进行融合,再结合每个单一准入技术的适用环境进行区分应用,其特征在于:
ARP准入技术,应用于三层交换网络,针对性单一阻断违规终端,兼容存在HUB及不可网管交换机的网络环境,能达到边界级阻断效果;
DHCP准入技术,应用于三层交换网络和跨路由网络环境,通过DHCP技术对合规/违规终端分配正常网/隔离网的IP地址来控制终端的可访问资源;
可针对单一违规终端进行阻断,能达到边界级阻断效果;
SNMP准入技术,不受网络环境限制,通过SNMP协议与网络交换机或路由器设备进行联动,通过控制终端接入的交换机端口开关状态来实现准入;
SPAN准入技术,适用于交换网以及常见路由网,通过对全网关键节点数据流量进行监控,通过拦截违规终端的HTTP访问流量来实现应用层准入;
MAB准入技术,属于国际标准的802.1x准入技术,不受网络环境限制,与交换机建立radius认证连接后,通过准入系统判断终端的合规状态来给交换机返回认证信息,实现端口级准入。
4.如权利要求3所述的混合准入技术,其特征在于,可以将各个单一准入技术整合应用于单套准入系统中,可根据安全规范和管理需求,可在一个环境中同时启用多种相符合的准入技术,可对不同的准入策略或事件采用不同的准入技术来实现阻断效果。
5.如权利要求4所述的混合准入技术,其特征在于,在交换网环境中可以同时启用权利要求3所述的任意一种、多种或所有单一准入技术,在路由网环境中,可同时启用权利要求3所述的除ARP准入技术以外的任意一种、多种或所有单一准入技术。
6.如权利要求5所述的混合准入技术,其特征在于,使用者可在具有混合准入技术的准入服务器上对于匹配到各项检查策略的终端,可配置混合准入技术中的一种或多种单一准入技术进行合规性检查。
7.如权利要求6所述的混合准入技术,其特征在于,通过不同单一准入技术检测出的违规终端,可采用与检测技术相同或不同的单一准入技术进行阻断,并且支持同时启用混合准入技术中的多种单一准入技术进行阻断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010206772.6A CN111917700A (zh) | 2020-03-24 | 2020-03-24 | 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010206772.6A CN111917700A (zh) | 2020-03-24 | 2020-03-24 | 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111917700A true CN111917700A (zh) | 2020-11-10 |
Family
ID=73237376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010206772.6A Pending CN111917700A (zh) | 2020-03-24 | 2020-03-24 | 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111917700A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783724A (zh) * | 2021-08-27 | 2021-12-10 | 国网江苏省电力有限公司南通供电分公司 | 一种终端准入监控预警平台 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411673A (zh) * | 2016-11-08 | 2017-02-15 | 西安云雀软件有限公司 | 一种网络准入控制管理平台及管理方法 |
| CN106686003A (zh) * | 2017-02-28 | 2017-05-17 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN109067937A (zh) * | 2018-09-30 | 2018-12-21 | 锐捷网络股份有限公司 | 终端准入控制方法、装置、设备、系统及存储介质 |
| US10218712B2 (en) * | 2017-01-25 | 2019-02-26 | International Business Machines Corporation | Access control using information on devices and access locations |
| CN109842913A (zh) * | 2019-03-28 | 2019-06-04 | 杭州迪普科技股份有限公司 | 终端准入控制方法、装置、电子设备 |
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
-
2020
- 2020-03-24 CN CN202010206772.6A patent/CN111917700A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411673A (zh) * | 2016-11-08 | 2017-02-15 | 西安云雀软件有限公司 | 一种网络准入控制管理平台及管理方法 |
| US10218712B2 (en) * | 2017-01-25 | 2019-02-26 | International Business Machines Corporation | Access control using information on devices and access locations |
| CN106686003A (zh) * | 2017-02-28 | 2017-05-17 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN109067937A (zh) * | 2018-09-30 | 2018-12-21 | 锐捷网络股份有限公司 | 终端准入控制方法、装置、设备、系统及存储介质 |
| CN109842913A (zh) * | 2019-03-28 | 2019-06-04 | 杭州迪普科技股份有限公司 | 终端准入控制方法、装置、电子设备 |
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 网络游侠: "画方网络准入管理系统", 《URL:HTTP://WWW.YOUXIA.ORG/2015/02/14104.HTML》 * |
| 龚纯鹏: "网络准入控制系统的研究与实现", 《万方硕士学位论文数据库》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783724A (zh) * | 2021-08-27 | 2021-12-10 | 国网江苏省电力有限公司南通供电分公司 | 一种终端准入监控预警平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Liu et al. | Leveraging software-defined networking for security policy enforcement | |
| US8132233B2 (en) | Dynamic network access control method and apparatus | |
| US7760622B2 (en) | Redundant router set up | |
| US7590733B2 (en) | Dynamic address assignment for access control on DHCP networks | |
| US20130125112A1 (en) | Dynamic policy based interface configuration for virtualized environments | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| Sasaki et al. | Control-plane isolation and recovery for a secure SDN architecture | |
| Pradana et al. | The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack | |
| CN101917414B (zh) | Bgp分类网关设备及利用该设备实现网关功能的方法 | |
| CN111917700A (zh) | 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 | |
| de Jesus et al. | Analysis of SDN contributions for cloud computing security | |
| Hadi et al. | A simple security policy enforcement system for an institution using SDN controller | |
| US10944665B1 (en) | Auto-discovery and provisioning of IP fabric underlay networks for data centers | |
| EP2014018B1 (en) | Configurable resolution policy for data switch feature failures | |
| CN104717316A (zh) | 一种跨nat环境下客户端接入方法和系统 | |
| US20010037384A1 (en) | System and method for implementing a virtual backbone on a common network infrastructure | |
| US20200351196A1 (en) | Failover system | |
| Ramdhania et al. | Network infrastructure design in connectivity using Inter-VLAN concept in bandung district government | |
| CN116170389B (zh) | 业务容器引流方法、系统及计算机集群 | |
| Vadivelu et al. | Design and performance analysis of complex switching networks through VLAN, HSRP and link aggregation | |
| KR102246290B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램 | |
| CN111385113B (zh) | 一种vpn服务器集群的差异化接入方法及系统 | |
| Hemanth et al. | IMPLEMENTATION OF DYNAMIC INTERNETWORKING IN THE REAL WORLD IT DOMAIN | |
| SITTI | Mitigating DDoS Attack through Shortest Path Bridging: IEEE 802.1 aq | |
| Yu et al. | mMLSnet: Multilevel Security Network with Mobility |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201110 |
|
| RJ01 | Rejection of invention patent application after publication |