时间:2024-09-03
◆郭占鹏 陈杨
虚拟专网安全准入控制技术的有效性探究
◆郭占鹏 陈杨
(32753部队 湖北 430000)
随着各种网络技术逐渐增多,并被广泛应用到日常工作和生活中,信息跨越有线、无线网络,既给人们带来了便利,同时也带来了一些安全隐患。为此虚拟专网应运而生,在此基础上运用丰富的措施保证网络安全。本文首先详细说明虚拟专网安全准入控制技术的类型,然后概述虚拟专网安全准入控制系统框架,最后阐述虚拟专网安全准入控制技术的设计方案。
虚拟专网;安全准入;控制技术
随着国民经济和社会信息化的日益推进,网络和信息系统在现代社会中扮演着越来越重要的作用,政府、企业的应用层次不断深入,用户的网络应用也逐步增多,为了保证在低密级公网上传输高密级数据,虚拟专网(VPN)应运而生,科技研究者在此基础上,全面分析网络安全漏洞,综合运用隧道加密、用户认证、访问控制等技术,满足特定集团用户在安全、权限管控等方面的用网需求,维护虚拟专网的安全。虚拟专网安全准入控制系统可以起到防御的作用,保证使用者安全,为使用者营造安全的网络环境。
思科网络接入控制技术是指某一网络终端还未被接入至虚拟专网时,按照本地网络的安全策略运行。若一些不满足安全策略要求的网络终端想进入虚拟专网,该技术可以有效地阻止,并采用建立网络访问隔离区的方法,有效地隔离和控制那些网络终端,这类网络终端想进入和访问安全网络时,访问隔离区可以充分发挥出自身的隔离和控制作用[1]。
虚拟专网接入控制技术可以起到检查网络终端的作用,若客户终端想进入虚拟专网,首先要经过网络接入技术的检查,挑选那些不安全、具有危险性的客户终端,并对这类客户终端进行防御和限制。在虚拟专网安全准入控制技术体系中,经常会采用几种方法进行安全检查,如在互联网终端上安装一些正规的操作系统,这些系统需要经过官方授权;安装正规的杀毒软件,并且保证软件的正常运行等。如果使用者运用接入控制技术,那么访问网络需要具有一定的安全性,一旦访问的网络具有危险性,那么接入控制技术可以及时对该网络进行限制和控制。
图1 NAC over 802.1x方式认证流程
图2 NAC over L2-IP认证流程图
微软公司开发的网络访问保护技术的安全策略,这种技术具有较高的强制性,首先检查和测定系统状态是否符合安全标准要求,若符合安全标准要求,方可放行进入至下一步操作中,若不符合安全标准,则会拒绝它的进入。虚拟专网安全接入保护技术旨在检测自动补救等方面的内容。微软公司曾开发了一些操作系统的组件,虚拟专网安全接入保护技术可以保证各种插件和系统的正常使用,如NAP客户端插件等,NAP平台可以为用户出具一套有效的检验方法,该方法可以检验出某个系统或者插件是否安全,以此判断客户终端符不符合安全标准,具不具备相应的安全性,以及是否满足安全策略的要求等,最终判断该客户终端的访问等级。
可信计算组织开发了针对虚拟专网安全准入控制的可信网络接入技术,并把该技术当作网络技术控制的标准框架。该框架依托可信组织开发的可信网络计算技术,达成可信主机控制客户终端的目的。可信网络接入技术框架十分常用和多见,可以和目前使用的各种网络设备和网络技术同时工作,控制网络的接入。
可信网络接入技术框架的工作原理是授权第三方进行工作,并在授权第三方的基础上研究出各种网络准入控制协议,使可信网络接入技术框架在多元化的网络环境下使用,提供各种各样的网络安全服务,比如访问政策等内容[2]。
以可信网络接入技术框架为基础建立的各种网络系统,都是运用预置平台配置等方法,评估那些尝试连接虚拟专网的客户终端。一旦客户终端无法满足安全策略的要求,就及时制止并拒绝它们访问虚拟专网。大多情况下,会对客户终端采取各种技术手段进行评估,而评估的目的大抵相同,主要是为了保证接入虚拟专网的客户终端的安全性,其中主要包括几个方面的内容,如管理补丁、控制设备等。但是上述的虚拟专网安全准入控制技术更加适合用在一般网络条件下,并不是特别适合用在虚拟专网条件下,因此,现阶段只能广泛使用普通的安全准入控制技术,缺少根据虚拟专网特点创造的安全准入控制技术[3]。
图3 系统框架
通常情况下,为避免网络终端被各种危险因素破坏,都会采用一些措施来保护,如安装防毒系统、安装系统防火墙等。安全风险管理方案可以解决安全问题,它负责检测可能会导致安全隐患的条件,如扫描安全漏洞和安全隐患等。其中,为了防止数据泄露,研究出数据防泄露新型技术,不仅可以帮助安全技术阻挡客户终端和网络带来的安全隐患,还可以保护系统内部的各种数据,保证核心信息的安全,终端安全问题值得关注。
主机完整性控制的建立主要是为了检测硬件的状态、软件的配置等内容,可以依据各种条件进行检测,按照结果为系统防火墙制定相关的安全策略,进而更好的处理安全隐患问题。
分布式防火墙技术可以运用进程路径,阻断非法程序和危险因素,避免在管理过程中,修改完标识非法程序就可以进入。分布式防火墙技术可以根据各种通信端口的信息,筛选、过滤信息和数据,可以做到单向访问,并且可以以时间等内容为基础,制定与之相符的访问策略[4]。
当客户终端收到网关发送的信息和指令后,按照程序设计内容将信息传输到相应的程序上,完成解译工作。此过程中,规则解析、网络访问控制等模块也要协助工作,从而将虚拟专网和客户终端连接到一起。
规则解析模块是按照一定的标准将规则进行分类,在分类的过程中,全面了解和说明安全规则中的各个内容。分类工作难度较低,只需要按照传递信息中的特殊标志整理好各种信息后,将这些信息和文本进行匹配,将符合匹配标准的信息传送到具备破译功能的程序中,最终完成解译工作[5]。
网络防控控制模块是按照文本类型解译接受上个程序传递的信息,完成解译后,存储到固定的信息储存系统中。如果已经完成上述这两个环节的操作,就可以控制有需求的网络程序。
配置控制模块是接受一些解析模块传送的信息,此类信息大部分都是配置控制规则。按照文本形式将信息储存到提前准备好的数据结构中,并按照收到的配置控制规则对客户终端采用的处理器进行管理。
利用NAC准入控制系统,将接入交换机基于端口的802.1x认证方式与之相结合,设计出一套能够有效解决虚拟专网安全防护的实施方案。
控制应用程序实际上是在控制应用程序的同时控制网络的访问和登录。每种应用程序都有不同的功能和特点,为此在访问网络时,网关需要充分利用现有的安全策略,判断各个申请访问应用程序的安全性,采取相应的动作,如阻止访问等。这样可以提高应用程序的安全性,避免有危险性的应用程序进入到虚拟专网,保证虚拟专网的安全性[6]。
控制IP规则就是在控制信息,根据相关的协议规定和网卡等内容,将所有的网络数据和各个控制模块进行过滤。为控制模块提供相应的接口,保证控制模块和应用层的沟通,进而将各个IP地址加入应用层的操作规则中。
在准入控制系统中,最关键的就是接入控制规则。通常情况下,按照每条规则中的内容进行操作,如果无法匹配这条规则,就要查找下个可以匹配的规则。这种方式可以判别准入控制系统是否安全,以及哪些地方不安全[7]。
接入交换机是整个系统关口,只需对网络的准入进行控制和把关。此外还需将接入交换机配置802.1x认证,同时与准入控制服务器进行全部用户的802.1x认证。
近些年,网络的安全性不断降低,人们逐渐将自己的关注点放在网络安全上,为了提高虚拟专网的安全性,相关工作人员做了很多研究,通过控制应用程序、IP规则等,保证虚拟专网的安全性,减少网络中隐藏的安全隐患,保证人们使用网络时的安全。
[1]孙阳. 网络安全准入控制技术在企业的应用[J]. 信息系统工程,2018(3):83-83.
[2]刘进京. 使用准入控制实现终端安全接入[J]. 网络安全和信息化,2018(4):125-129.
[3]杭成宝. 浅析企业网络安全管理授权准入控制的应用[J]. 神华科技,2018,16(9):10-13+16.
[4]张皓然. 公安网终端计算机准入控制安全管理技术研究[J]. 科学与财富,2018(24):34-34.
[5]洪小龙,陈崇平. 视频网终端安全准入系统的设计与实现[J]. 广东公安科技,2018,26(4):9-11.
[6]杨阳,尹琴,冯磊,等. 准入控制技术在网络安全设备中的应用[J]. 现代信息科技,2019,3(3):156-157.
[7]赵志平. 网络准入控制技术在企业中的应用分析[J]. 科技创新与应用,2018(35):185-186.
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!