企业网络安全管理.doc

企业网络平安管理
摘要：网络准入控制〔NetworkAccessControl，NAC〕是一种新型的平安防御技术，通过对终端施行平安防护，有效解决因不平安终端接入网络而引起的平安威胁，保护网络的平安。本文针对某电力企企业网络平安管理
摘要：网络准入控制〔NetworkAccessControl，NAC〕是一种新型的平安防御技术，通过对终端施行平安防护，有效解决因不平安终端接入网络而引起的平安威胁，保护网络的平安。本文针对某电力企业部署的网络准入控制系统进展研究，分析其技术背景、解决方案、施行效果等，以便进步企业网络平安管理程度。
关键词：准入控制；策略路由；网络平安
如何加强内网终端的平安管理，防范是该企业急需解决的平安问题。为了确保企业内部网络的平安、高效运转，该企业通过调研与比照，最终决定采用国内某公司的网络准入控制系统对内网接入设备进展控制和管理。
一、网络准入控制技术的简介
网络准入控制是指对网络的边界进展保护，对接入网络的终端和终端的使用人进展合规性检查，其宗旨是防止病毒和蠕虫等新兴***对企业平安造成危害。网络准入控制主要思路：终端接入网络之前根据预定平安策略对其进展检查，只允许符合平安策略的终端接入网络，不平安的终端将被隔离于网络之外，自动回绝不平安的终端接入保护网络，直到这些终端符合网络内的平安策略为止。网络准入控制技术在多年的开展中，经历了三代技术框架的变迁。第三代NAC产品本身是一个网络设备，对网络环境要求很低，一般需要接入层交换机以Trunk方式接入会聚层即可，主要通过网络层的检测来实现终端接入网络的控制，具有代表性的有虚拟网关、网关、策略路由等技术。
二、网络准入控制的施行
〔一〕基于策略路由的准入方案
该公司的网络交换机品牌以H3C为主，各层交换机之间兼容性好。此次部署的网络准入控制系统基于第三代准入控制技术，是软硬件集成的终端平安管理平台。根据公司的网络现状况与需求，采用基于策略路由的形式，物理旁路方式连接核心交换机。在核心交换机对所管控的网段配置策略路由，需要管控的地址段在相应的VLAN下启用。此形式不需改动网络的拓扑构造，支持的逃活力制简单。基于策略路由的准入方案，通过在核心交换机上利用ACL捕获所有访问核心业务效劳器的数据流量，并通过策略路由将捕获的流量发送至已经配置好的下一跳地址。被管控设备的所有上行流量都将经过准入设备并承受平安准入管理，合规终端放行。其上行数据路由为：核心网关→准入设备→核心网关→目的资源。所有访问核心效劳器的设备都会被准入设备所控制，从而到达保护核心资源，对入网设备进展准入控制的平安目的。策略路由部署方式只对终端上行流量做重定向，对数据量影响较小。
〔二〕网络准入设备的端口设置与接线
网络准入设备的三个端口ETH0、ETH1、ETH3，分别通过3条网线与核心交换机相连。ETH0口是重定向接口，终端流量从此接口重定向，连接至核心交换机上的G1/1/0/6，ETH1口是准入管理口，用作管理、终端认证地址，连接至核心交换机上的G1/1/0/5，ETH3口为trunk口，用作终端自动发现，辅助准入设备发现接入网内的终端，连