基于VPN互聯(lián)的網(wǎng)絡準入控制關鍵技術研究.pdf

1、如今無線網(wǎng)絡接入、移動便攜設備以及基于VPN的遠程接入在傳統(tǒng)企業(yè)內網(wǎng)中得到了廣泛的應用，原本僅限于內網(wǎng)中使用的，受各類內網(wǎng)安全設備保護的主機有了更多暴露在外部無防護的網(wǎng)絡中的機會，這使得攻擊者可以通過感染遠程接入或移動辦公中主機作為跳板，進一步入侵整個企業(yè)內網(wǎng)。網(wǎng)絡準入控制技術通過評估所有接入企業(yè)內網(wǎng)的主機的安全防護狀態(tài)，確保只有防護措施較為完善的——即被攻擊者感染、操縱的可能性較低的主機才能訪問整個企業(yè)內網(wǎng)，限制防護措施不完善的主機對

2、網(wǎng)絡的訪問能力，從而降低了潛在的安全風險，尤其對于存在VPN互聯(lián)應用的分布式企業(yè)網(wǎng)絡，能夠鑒別使用VPN通過Internet遠程接入的主機的潛在風險，從而保護整個企業(yè)內部網(wǎng)絡。本文針對VPN互聯(lián)的網(wǎng)絡環(huán)境，研究設計了三層結構的狀態(tài)評估協(xié)議，分別是狀態(tài)屬性層，狀態(tài)信息匯聚層和狀態(tài)信息傳輸層，為其設計了對應的網(wǎng)絡準入控制體系框架，實現(xiàn)了這樣一種評估流程：客戶端各個狀態(tài)屬性層收集各項主機信息，利用匯聚層組裝信息，通過狀態(tài)信息傳輸層提交給評估服

3、務器，評估服務器分解匯聚信息，并根據(jù)得到的各項信息進行評判，從而決定授予主機的訪問權限。本文在該系統(tǒng)的基礎上針對一般VPN互聯(lián)的網(wǎng)絡環(huán)境，對于網(wǎng)絡中的主機，通過動態(tài)VLAN劃分的方式隔離不合格的主機；對于VPN接入的主機，通過動態(tài)配置VPN接入服務器的訪問控制策略，隔離不合格的VPN接入主機。通過協(xié)議與系統(tǒng)設計的研究，本文總結了準入控制評估協(xié)議設計要點，針對評估過程中各個對象信任關系模型和用戶隱私保護兩方面需要注意的內容提出了一些建議。