如今,有70%以上的安全威胁来自于企业内部,那种认为购买了防火墙就等于买到了网络安全的想法早已过时,网络攻击和病毒常常发源于企业网内部的“可信任”主机。内网安全迫切需要大家投入比以往更多的关注。Alcatel及时推出了基于网络的多层开放安全体系,《网络世界》评测实验室对其进行了详细的评估。经测试,一个全面、细粒度、易部署的内网主动防御方案直观地展现在我们面前,与常见的被动防御不同,它动态地将那些具有安全隐患或试图进行攻击的主机与网络隔离开来,真正做到防患于未然或将攻击扼杀在“襁褓”中。
在Alcatel方案中,包含了交换机(测试中我们使用了三层交换机OS6648和无线交换机OAW4308)、主机完整性检查客户端/服务器、AQM(阿尔卡特隔离管理器)等诸多元素。并与网络中已有的IDS/IPS以及认证服务器相配合,实现安全评估与认证和交换机行为的联动,用户接入的第一站—交换机成为企业安全策略的具体执行者。 Alcatel方案不仅保护了用户现有投资,还最大化了每种设备的潜力,取得了“1+1>2”的结果。
遍历新的信任模型
企业网中,那些通过身份认证的主机往往有意无意地充当着攻击源,使得管理员防不胜防。新的信任模型里,除了合法身份认证外,还应该包括主机完整性检测和非法攻击识别等内容。那些没有及时更新病毒库或是正在进行网络攻击的主机都应该被重新审视其可信度并与正常的网络访问隔离开来。Alcatel方案很好地契合了新的信任模型,使得每一台接入主机必须一如既往地符合企业的安全策略,否则交换机会立即接到通知,并限制其访问网络。
基于Web的用户身份认证
它仍是信任某个用户的最基本方式。Alcatel方案通过将用户帐号与授权资源(某个特定VLAN)的绑定,控制用户所能访问的网络资源。而且用户无需安装专门的客户端,可以使用Web或Telnet方式进行。
主机完整性检测
主机完整性检测涉及主机系统补丁、防病毒软件数据库更新及防火墙设置等内容,它最大化降低上网用户携带病毒的可能性,是Alcatel方案主动防御的突出体现。
我们在OS6648中配置了基于802.1x的认证,以及工作VLAN和隔离VLAN。在SMS(Sygate Management Server)上设定主机完整性检测规则,并在笔记本上安装了Sygate客户端软件,它从SMS上下载主机检测规则。检验用户完整性信息的Sygate LAN Enforcer充当RADIUS认证代理,它会解析出客户认证请求中的主机完整性信息,并设有与检测结果相对应的授权VLAN。
如图1所示,在测试中,我们的笔记本由于没有运行某种规定的杀毒软件,违反了SMS预设的主机完整性检测规则,因而被放到了隔离VLAN中。当从补丁服务器上自动下载了该杀毒软件并运行后,笔记本上的Sygate客户端会检测到并将新的主机完整性信息和802.1x认证信息一起重新发到Enforcer。在通过主机完整性和802.1x认证后,笔记本从隔离VLAN中脱离出来,被放到了相应的工作VLAN。
测试时我们发现,全部过程只需遵循配置向导点击几次鼠标即可完成。
