背景技术
虽然安全技术多年来一直在发展且安全技术的实施更是耗资无数,但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。机构每年遭遇的大量安全事故造成***中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
虽然大多数机构都使用身份管理及验证、授权和记帐(Authentication、Authorization、Accounting,AAA)机制来验证用户并为其分配网络访问权限,但这些对验证用户终端设备的安全状况几乎不起任何作用。如果这些终端之一感染了病毒或蠕虫,定位和隔离该***并将其从网络中删除是一个极其耗费时间和资源的过程。
网络接入控制(Network Access Control,NAC)能确保等待接入网络的***符合一定级别的安全标准。它会检测病毒防护软件的升级版本、当前可用补丁、浏览器设置限定,以及有效的个人防火墙。NAC会首先检测***是否符合上述要求,然后决定是否准允其接入网络。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器)接入网络,而不允许其它设备接入。在初始阶段,当端点设备进入网络时,NAC能够帮助路由器实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作***补丁等。
网络准入控制解决方案中,通常包括如下几个概念:
可信终端:终端上安装了安全代理程序,并且通过身份认证的终端;
非可信终端:终端上没有安装安全代理程序,或者安装了安全代理程序但没有通过身份认证的终端;
修复终端:终端上安装了安全代理程序,通过了身份认证,未能通过企业合规性检查的终端;
可信终端互访:可信终端之间在局域网范围内进行的网络通信,如文件共享等;
非可信终端互访:可信终端和非可信终端之间在局域网范围内进行的网络通信;
认证前域:认证前域是一组网络资源,非可信终端能够自由的访问该区域;定义该区域的主要目的是让终端在部署安全代理前能够访问一个区域,下载并且安装安全代理;
认证后域:认证后域是一组网络资源,可信终端能够自由访问该区域。该区域通常是一个工作区,定义了可信终端需要访问的业务资源;认证后域可以定义若干个,认证后域与使用该终端的人员关联,不同的人允许配置不同的认证后域权限;
修复区域:修复区域是一组网络资源,允许修复终端访问这些区域,并且完成合规性修复。其用于实现如下几个部分的功能:
1.阻止非可信终端(没有部署安全代理,或者部署了安全代理但是身份认证失败的终端)访问网络,或者控制非可信终端的网络访问范围,降低企业网络的风险;
2.控制修复终端(终端部署了安全代理,通过身份认证,但是企业安全策略合规性检查不通过的终端)的网络访问范围,使得无法访问认证后域资源,无法正常办公,以此强制终端进行修复以满足企业的安全策略;
3.阻止或者限制可信终端和非可信终端之间的网络访问,降低非可信终端对可信终端实施网络攻击的可能性,以及降低非可信终端传播病毒的可能性;
4.阻止或者限制可信终端和修复终端之间的网络访问,降低修复终端传播病毒的可能性;
5.控制可信终端的网络访问范围,防止低授权用户对机密资源的访问。
有一种现有技术使用802.1X方式实现网络准入控制,但其存在如下几个缺陷:1.基于动态VLAN(虚拟局域网)的802.1X方案,需要对现有的网络结构进行重大的调整,对网络中的大量交换机进行VLAN划分,并且需要在汇聚层的交换机上配置ACL(访问控制列表),控制不同的VLAN之间的隔离和访问权限;2.基于动态VLAN的802.1X方案,对现网网络环境要求比较高,要求接入层的交换机必须支持802.1X,而且支持动态VLAN;这可能要求对网络进行大量的网络设备替换。还有一种现有技术,如图1所示,为现有技术基于接入控制网关的准入控制方案结构示意图,一方面,该方案对客户网络接入层交换机基本上没有特殊的要求,对网络有很好的适应性,能够重复利用客户已有的网络设备,降低成本;另一方面能够在很大程度上降低对客户网络的改造,降低实施的成本。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:但是由于基于接入控制网关的方案,接入控制网关部署的位置比较高,存在如下的缺点:1.由于接入控制点处于交换机之上,对于外来的非可信终端,无法阻止其对同一个交换机之内的其他可信终端的访问,存在信息安全隐患和漏洞;2.对于待修复的终端,基于接入控制网关的方案,无法阻止其对同一个交换机之内的其他可信终端的访问,当待修复终端存在病毒等安全问题的时候,该方案无法阻止病毒在同一个交换机之内进行传播。综上可见,现有技术仍然无法降低局域网终端互访存在的信息安全隐患。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
如图2所示,为本发明实施例一种终端互访的方法流程图,上述方法包括:
步骤201,从服务器获取预置的筛选配置。
可选的,上述筛选配置可以包括IP安全策略筛选参数,以及用于可信终端之间进行IP协议安全协商和验证的口令;从服务器获取上述筛选配置后,将上述IP安全策略筛选参数以及用于可信终端之间进行IP协议安全协商和验证的口令写入上述终端的安全代理的IP安全策略模块,并且使能上述IP安全策略模块。
步骤202,利用上述筛选配置对在局域网范围内的终端进行筛选,生成筛选结果。
可选的,上述利用所述筛选配置对在局域网范围内的终端进行筛选,生成筛选结果包括:利用上述筛选配置对在局域网范围内的终端进行筛选,根据上述终端的类型,将上述终端的分为可信终端、非可信终端、修复终端等,然后生成筛选结果。
步骤203,根据上述筛选结果对上述终端间互访进行控制。
可选的,如果上述筛选配置为可信终端筛选配置,则上述根据上述筛选结果对上述终端间互访进行控制可以包括:对于可信终端之间的通信,利用上述IP安全策略以及用于可信终端之间进行IP协议安全协商和验证的口令,上述可信终端之间认证通过,并建立IP协议安全通道进行安全通信;对于可信终端与非可信终端之间的通信,根据上述IP安全策略,阻止上述可信终端与非可信终端之间进行通信;对于可信终端与修复终端之间的通信,根据上述IP安全策略,阻止上述可信终端与修复终端之间的通信。
可选的,如果上述筛选配置为例外筛选配置,则上述根据上述筛选结果对上述终端间互访进行控制可以包括:对于可信终端与在上述例外筛选配置区域的设备之间的通信,直接进行通信。
可选的,如果上述筛选配置为认证前域筛选配置,则上述根据上述筛选结果对上述终端间互访进行控制可以包括:控制上述终端在身份认证前,只能访问认证前域筛选配置定义的区域。
可选的,如果上述筛选配置为认证后域筛选配置,则上述根据上述筛选结果对上述终端间互访进行控制可以包括:控制上述终端为不同用户提供不同的权限控制。
可选的,如果上述筛选配置为修复区域筛选配置,则上述根据上述筛选结果对上述终端间互访进行控制可以包括:限制修复终端的访问范围。
本发明方法实施例采用从服务器获取预置的筛选配置;利用上述筛选配置对在局域网范围内的终端进行筛选,生成筛选结果;根据上述筛选结果对上述终端间互访进行控制的技术手段,因而降低了信息安全风险。
如图3所示,为本发明实施例一种终端互访的控制装置结构示意图,上述控制装置30包括:
获取单元301,用于从服务器获取预置的筛选配置;
筛选单元302,用于利用上述筛选配置对在局域网范围内的终端进行筛选,生成筛选结果;
控制单元303,用于根据上述筛选结果对上述终端间互访进行控制。
可选的,上述筛选配置可以包括IP安全策略筛选参数,以及用于可信终端之间进行IP协议安全协商和验证的口令;上述获取单元301,进一步用于从服务器获取筛选配置后,将上述IP安全策略筛选参数以及用于可信终端之间进行IP协议安全协商和验证的口令写入上述终端的安全代理的IP安全策略模块,并且使能上述IP安全策略模块。
可选的,所述筛选单元302,进一步用于利用所述筛选配置对在局域网范围内的终端进行筛选,根据所述终端的类型,将所述终端的分为可信终端、非可信终端、修复终端等,然后生成筛选结果。
可选的,如果上述筛选配置为可信终端筛选配置,则上述控制单元303,进一步可以用于:对于可信终端之间的通信,利用上述IP安全策略以及用于可信终端之间进行IP协议安全协商和验证的口令,上述可信终端之间认证通过,并建立IP协议安全通道进行安全通信;对于可信终端与非可信终端之间的通信,根据上述IP安全策略,阻止上述可信终端与非可信终端之间进行通信;对于可信终端与修复终端之间的通信,根据上述IP安全策略,阻止上述可信终端与修复终端之间的通信。
可选的,如果上述筛选配置为例外筛选配置,则上述控制单元303根据所述筛选结果对所述终端间互访进行控制包括:对于可信终端与在上述例外筛选配置区域的设备之间的通信,直接进行通信。
可选的,如果上述筛选配置为认证前域筛选配置,则上述控制单元303根据所述筛选结果对所述终端间互访进行控制包括:控制上述终端在身份认证前,只能访问认证前域筛选配置定义的区域。
可选的,如果上述筛选配置为认证后域筛选配置,则上述控制单元303根据所述筛选结果对所述终端间互访进行控制包括:控制上述终端为不同用户提供不同的权限控制。
可选的,如果上述筛选配置为修复区域筛选配置,则上述控制单元303根据所述筛选结果对所述终端间互访进行控制包括:限制修复终端的访问范围。
本发明装置实施例采用获取单元从服务器获取预置的筛选配置;筛选单元利用上述筛选配置对在局域网范围内的终端进行筛选,生成筛选结果;控制单元根据上述筛选结果对上述终端间互访进行控制的技术手段,因而降低了信息安全风险。
实施例二:
上述实施例一不但可以应用于接入控制网关的准入控制方案,在没有准入控制网关的情况下,同样适用,下面针对现有技术基于接入控制网关方案存在的缺陷,本发明实施例二用于降低局域网终端互访存在的信息安全隐患,具体来说,可以解决基于接入控制网关准入控制方案的如下问题:1)在局域网范围内,阻止非可信终端对可信终端和修复终端的访问,降低信息安全风险;2)在局域网范围内,阻止修复终端对可信终端的访问,防止修复终端的安全缺陷在局域网范围内扩散。本发明实施例包括:在策略服务器上定义多个IP安全策略的筛选器;安全代理从策略服务器上获取IP安全策略筛选器参数,以及用于可信终端之间身份验证的方法;安全代理把获取的筛选器参数以及验证方法写入IP安全策略模块,并且使能IP安全策略;使用IPSEC(IP协议安全)安全策略保护可信终端之间的通信;使用IPSEC安全策略阻断可信终端与非可信终端之间的通信。
本发明实施例使用主机的IP安全策略实现终端互访控制功能,使用认证服务器(或者策略服务器)主机的IP安全策略,实现终端互访控制的逻辑结构如图4应用实例所示:其基本原理如下:1)在认证服务器上定义实施终端准入控制的IP安全策略规则,并且通过认证流程下发到终端的安全代理;2)终端的安全代理利用Windows IP安全策略的配置接口,写入IP安全策略规则,以及可信终端之间的验证方法和参数(例如IPSEC的预共享密钥),并且EnableIP安全策略规则;3)局域网内的终端之间的通信,使用IP安全策略规则进行保护,也就是使用IPSEC保护可信终端之间的通信,并且组织可信终端与非可信终端/修复终端之间的通信。
如图5所示,为本发明应用实例另一种终端互访的方法流程图,具体实现流程如下:
步骤501.定义IP安全策略的筛选器:
1)筛选器一:可信终端筛选器
目的:使得可信终端访问受信区域的终端的时候,能够使用IPSEC保护,防止与未受信的终端的通信;
筛选器的地址定义:源IP=ANY(任意地址),目的IP=配置的受信终端地址段,协议=ANY(任意地址);
筛选器操作:需要安全(必须使用IPSEC通信)
2)筛选器二:例外筛选器
目的:使得可信终端访问一些无法安装安全代理的设备的时候,能够直接访问,而不使用IPSEC进行保护;例如无法安装安全代理的业务服务器,打印机等设备;
筛选器的地址定义:源IP=自身IP地址,目的IP=例外的IP地址和地址段,协议=ANY(任意地址);
筛选器操作:许可(表示允许不需要IP安全的数据包通过)
步骤502.安全代理从认证服务器获取筛选器配置,以及获取用户可信终端之间进行IPSEC协商和验证的口令;
步骤503.安全代理利用Windows提供的接口,更新本地IP安全策略参数,并且Enable(使能)本地IP安全策略;
步骤504.当本地终端与筛选器一(即可信终端筛选器)范围内的终端通信的时候,根据筛选器的策略,强制使用IPSEC进行通信保护,通信报文将触发IPSEC协商:对于可信终端,由于双方具有相同的IP安全策略规则以及可信的验证口令,可信终端之间能够正常建立IPSEC安全通道,进行安全通信;对于可信终端与非可信终端之间的通信,由于非可信终端无法从认证服务器上获取建立IPSEC通信必须的IP安全策略规则,以及验证口令,因此无法进行正常的通信;对于可信终端与修复终端之间的通信,可以根据安全策略进行决定,通常使用与非可信终端类似的办法,阻止可信终端与修复终端之间的通信;
步骤505.对于可信终端与在例外筛选器区域的设备通信的时候,根据IP安全策略的筛选器定义,将匹配例外筛选器,对这部分的通信,不会触发IPSEC协商,直接进行没有IPSEC保护的通信,这保证了该方案不会阻止与无法部署安全代理的设备之间的通信;
本发明上述实施例除了上述的两个筛选器外,还可以根据需要,定义多个筛选器,实现不同的控制功能,例如定义一个认证前域筛选器,控制终端在身份认证前,只能访问认证前域筛选器定义的区域;定义一个/多个认证后域筛选器,以实现不同用户提供不同的权限控制功能;定一个修复区域筛选器,限制修复终端的访问范围等。
本发明实施例技术方案在接入控制网关的准入控制方案下,使用该技术方案,能够解决单纯接入控制网关方案的缺陷:1)在局域网范围内,通过IPSEC筛选器的配置,能够阻止非可信终端对可信终端的访问,降低信息安全风险;2)在局域网范围内,通过IPSEC筛选器的配置,能够阻止修复终端对可信终端的访问,防止修复终端的安全缺陷在局域网范围内扩散。
在没有准入控制网关的情况下,本发明实施例也能够提供一定的准入控制功能:1)对于已经部署了安全代理的终端,能够阻止没有通过身份认证的终端对业务资源的访问;2)能够阻止没有通过安全策略合规性检查的终端对业务资源的访问,强制实施安全修复;3)能够阻止非可信终端对可信终端/修复终端的访问,以及能够阻止修复终端对可信终端的访问。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括上述全部或部分步骤,所述的存储介质,如:ROM/RAM、磁盘、光盘等。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。