文/卢国强

终端准入控制是保证用户受控接入，面向用户授权访问，建设可信、可控、可知的IT信息化网络承载平台的基础，并通过提供业务安全、灵活办公、简化管理等功能特性，提升企业IT信息化建设水平。本文就广域网络环境下终端准入控制部署的特点、需要考虑的主要问题，以及对应的方案，进行分析与阐述。

一、应用背景

终端准入控制已经在政府、金融、大企业、能源、电力、教育等行业取得了广泛的应用，通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动，对接入网络的用户终端按需实施灵活的安全策略，并严格控制终端用户的网络使用行为，极大地加强了用户终端的主动防御能力，为IT管理人员提供了高效、易用的管理工具。

当前终端准入控制的主要部署环境是园区网络，园区网络的接入用户比较集中，易于管理，同时园区网络的规模也相对较小，网络设备比较统一，部署与管理的复杂度不高。通过准入控制客户端与接入交换机或者安全网关之间的联动，实现终端准入控制功能。

随着近几年终端准入控制应用的快速发展，园区网络终端准入控制的部署、运行与维护日趋成熟，企业IT信息化管理水平提高的同时，也积累了一定的用户终端准入、访问策略控制、上网行为管理的经验和标准，并逐渐产生由总部向各地分支机构、由部分用户向全部用户、由局域网络向广域网络延伸的要求，以满足企业IT信息资源集中化的需要。

事实上，对于拥有分支或下属机构的企业，由于存在对分支机构的管理相对松散的状况，从而可能存在各种安全漏洞和网络失控行为。广域网络用户分布松散、数量众多，各地分支的局域网络可信度低，大大增加了用户网络访问权限控制的工作量和复杂度。另外，由于难以有效的控制分支用户终端的安全状态，使得广域网络平台、IT信息资源受到非法攻击和病毒感染的几率成倍增加，甚至会被黑客利用成为攻击内部网络的“帮凶”。因此，如何在广域网络环境下部署终端准入控制，保证分支机构用户的可信接入，控制用户的访问权限，确保用户终端安全，并且降低全网用户管理和维护复杂度，是IT管理员所面对的新挑战。

二、广域网络环境下终端准入控制面临的主要问题

相对于园区网络，广域网络环境要复杂的多。在广域网上部署终端准入控制，主要面临各地网络环境不一致、网络设备不统一，以及全网管理的复杂度较高等问题。具体表现为：

• 网络架构的变动：终端准入控制需要与网络设备进行联动，而广域网络涉及大量的交换机、路由器和安全设备等，终端准入控制的部署需要尽可能小的改变网络架构，充分利用现有网络设备，降低投资。
• 用户部署复杂度：广域网连接的用户数量大、位置分散、IT技术水平不高，对这些用户进行终端准入控制，需要避免复杂的软件安装和操作，降低部署工作量。
• 用户分级管理：广域网由多级架构组成，例如总部、各省、各市网络。不同地区可能有专门的IT管理人员对本地区用户进行管理，并制定特殊的安全访问策略。广域网部署终端准入控制需要满足这种多级架构、分级管理的需求。
• MPLS VPN兼容性：某些广域网部署了MPLS VPN，实现多个部门、多种业务的虚拟专网承载。终端准入控制需要兼容MPLS VPN环境，对不同的VPN用户能够单独实施控制策略。
• 广域网带宽保护：终端准入控制若执行统一的安全策略，会使得某一时间所有的用户都不满足安全策略，需要修复安全状态，升级病毒库、漏洞补丁。由于广域网带宽较低，大量用户同时升级，很容易造成链路拥塞，影响正常业务运行。

三、广域网络环境下终端准入控制的方案设计

http://www.h3c.com.cn/res/201002/22/20100222_928319_image001_663844_30008_0.jpg

图1 广域网终端准入控制方案示意图

如图1所示，广域网终端准入控制方案设计主要包括：

• 分支出口路由器作为网络控制点（认证网关），用户访问广域网络资源的时候需要进行安全认证和检查，保护核心数据、控制用户访问权限。用户局域网内访问可不作安全认证；
• 可对认证接入用户进行灵活的策略控制，下发ACL安全控制策略、QoS保证策略等；
• 认证服务器、补丁服务器等可集中部署、统一管理，便于执行全网一致的安全策略、降低分支维护管理的复杂度。同时还可支持服务器分布部署、分权管理、分级管理等应用方案。

 广域网终端准入控制方案设计的要点主要包括：

• 网络控制点的选择

网络控制点是对用户终端进行准入控制的入口设备，其与终端准入控制客户端组件进行联动，对需要通过该设备访问网络资源的用户发起认证，并对通过认证的用户授予访问权限。网络控制点的位置靠近终端用户，控制权限可以更精细化，但控制点的数量会成倍增加；网络控制点的位置远离终端用户，控制点的数量更集中，管理工作量更小，但控制点的并发用户数量会成倍增加，设备压力较大。

在局域网终端准入控制方案中，网络控制点一般是接入交换机（如图2所示），精细化控制每个用户的网络接入权限和访问控制策略。在进行广域网终端准入控制方案部署时，网络控制点一般不能选择局域网的交换机，这是因为广域网络包括各级网络的各地分支机构，每个分支的局域网络结构、交换机型号并不统一，并且全网的交换机数量庞大，管理维护工作量非常大，网络管理员一般也很难管理到每个分支的局域网内部。

http://www.h3c.com.cn/res/201002/22/20100222_928320_image002_663844_30008_0.jpg
图2 局域网交换机作为认证控制点

为了屏蔽各分支局域网的设备差异，部分用户会选择采用统一的认证网关设备作为网络控制点，如图3所示。但认证网关设备需要改变网络结构，增加网络投资，并会增加网络故障点；此外认证网关支持的协议有限，也会增加了与现有网络环境的兼容性问题（如路由协议、可靠性协议、MPLS VPN环境等）。

http://www.h3c.com.cn/res/201002/22/20100222_928321_image003_663844_30008_0.jpg图3 增加网关设备作为网络控制点          

http://www.h3c.com.cn/res/201002/22/20100222_928322_image004_663844_30008_0.jpg图4 路由器作为网络控制点

因此，广域网终端准入控制的最佳网络控制点是各级路由器设备，如图4所示。通过路由器设备集成认证网关功能，对通过路由器进入到广域网的用户进行身份识别和集中控制，保障广域网络和集中化IT资源中心的信息安全。广域网路由器设备的集中化建设、统一管理，也很大程度上降低了广域网终端准入控制部署的复杂度。

将路由器作为控制点，可以依托于路由器的相关特性，在用户通过认证后，根据用户身份下发相应的ACL访问策略、QoS控制策略，从而实现网络的灵活控制。同时，通过支持多实例认证，可以与路由器上的MPLS VPN部署良好兼容，实现MPLS VPN环境下针对不同VPN的用户认证、动态VPN归属，以及访问权限控制。

将路由器作为网络控制点，当用户在局域网内部访问时不进行控制，只有通过路由器进入广域网访问相关资源时，才会发起认证，进行准入控制，从而重点保障广域网络的安全性，特别适用于总部管理和监控较为严格，分支机构内部访问比较松散，同时不愿意、不方便改动分支机构网络设备的场合。

• 准入认证协议的选择

由于路由器是三层设备，不能基于传统局域网交换机的802.1X协议进行用户认证，需要采用Portal协议进行用户的认证和授权。

Portal认证又称为强制WEB认证，其主要工作原理是：未认证用户首先获取IP地址，可以直接访问为用户免费开放的资源，当用户需要访问某些特定资源时（如某些IP地址段），认证控制点会将用户的HTTP请求重定向到认证服务器，用户只有认证通过后才可以访问这些资源。

广域网终端准入控制的Portal认证部署主要有两种方式：

• 基本Portal方式：用户不需要安装准入控制客户端，依靠WEB页面实现认证过程。当需要通过路由器（网络控制点）访问广域网资源时，由路由器向用户推送WEB认证页面，要求用户输入认证信息，进行用户身份认证和准入控制。由于不需要安装实体客户端，部署相对简单，但只能对终端的安全状态进行简单的检查，例如杀毒软件及病毒库版本、操作系统补丁检测等，但不能实现桌面资产管理等功能。该种方案适合用于移动办公较多的场合，也适用于广域网分支的访客接入。
• 增强Portal方式：用户安装专有准入控制客户端，通过客户端实现认证过程。在准入控制客户端上建立Portal认证连接，当需要访问广域网资源时，用户主动发起认证，并对终端安全状态进行检查。该种方式需要安装客户端，客户端可由Portal认证页面推送或管理员手动分发，需要用户自行安装，可对终端进行全面的安全状态检查和丰富桌面资产管理。

• 用户管理方式的选择

广域网环境包括总部和各级分支机构，根据网络规模大小、管理方式不同，可以选择采用集中式管理或分级管理方式：

• 集中式管理：全网采用一套策略服务器，所有用户均集中到总部管理中心进行认证。各分支机构管理员可具备分权管理能力，即分支机构的管理员可登录总部的管理中心，对于其分支机构的接入用户、接入设备和安全策略进行维护管理，而无权访问其它机构的安全策略信息；
• 分级管理：采用总部-分支多级管理策略，各级分别负责本地区的用户管理。总部统一定制策略、各分支机构用户可以漫游认证。如图5所示。

http://www.h3c.com.cn/res/201002/22/20100222_928323_image005_663844_30008_0.jpg
图5 广域网终端准入控制分级管理示意图

分级管理的主要策略是：

• 由总部管理中心统一制定服务及基础安全策略，并以SOAP报文形式下发给下级管理中心
• 下级管理中心遵从上级管理中心的基础安全策略，衍生本地安全策略，并可以增加新的检查项
• 下级管理中心定时向上级管理中心上报本级用户的汇总信息（如违规信息等）
• 用户可在各级管理中心漫游

• 准入认证协议的选择

广域网链路资源有限，采用集中式管理时，由于所有机构用户均集中访问企业总部进行安全策略认证，从而会造成在每日工作开始的时间段内，大量用户认证上网进行操作系统补丁检查与修复、杀毒软件升级等工作，多用户并发流量将占用大量的广域网带宽，影响广域网上的其它应用。此外补丁服务器和杀毒软件服务器同时为多用户服务，其负载过重，性能将会下降。

为避免补丁和病毒库的集中升级影响正常业务的使用，需要从效率及成本出发，根据实际网络环境进行优化部署：

• 小于50人、且广域带宽比较小的分支，采用分批升级方案。通过策略管理中心控制，根据用户上线的顺序将各分支机构的接入用户分成N组，每天控制1/N的用户进行补丁升级，从而减少广域网带宽占用，减轻补丁服务器负载压力。此外，用户通过认证后，在分支出口路由器上针对每个用户下发QoS控制策略，分配最低带宽，控制升级流量对带宽的占用，从整体上保障广域网带宽的合理使用；
• 大于50人的分支，采用分级WSUS方案。大型分支内分别部署WSUS服务器，在线路闲时自动与中心WSUS服务器同步，完成用户本地补丁自动升级。同时该服务器兼作病毒库分流服务器，通过FTP同步等方式自动从总部病毒库服务器上获取最新的病毒库版本。当分支机构用户认证上网时，其补丁检查、升级，病毒库版本升级将通过本地WSUS服务器进行。

四、总结

相对于园区网络环境，广域网络环境由于其具有的复杂性和特殊性，在部署终端准入控制方案时，需要全面、细致的分析网络环境，针对实际需求进行方案设计，才能最大程度降低部署和管理维护的复杂度，实现对广域网络核心业务的准入和访问控制，构建安全、灵活、智能的IT信息化广域网承载平台。