當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)技巧>正文

自己動手打造企業(yè)網(wǎng)絡(luò)訪問控制器

http://www.yibo1263.com　2009/1/15 8:14:07 　來源:東北IT網(wǎng) 　編輯:葉子

　　如果你所在的企業(yè)經(jīng)常有新的計算機終端接入現(xiàn)有的網(wǎng)絡(luò)當(dāng)中，如果作為網(wǎng)絡(luò)管理員的你希望能通過一種方式了解當(dāng)前網(wǎng)絡(luò)有哪些計算機終端存活，以及這些存活的主機目前的安全狀況如何？如果你想阻止安全狀況達不到企業(yè)安全策略要求的計算機終端不能接入或訪問網(wǎng)絡(luò)？那么，你應(yīng)當(dāng)需要一臺網(wǎng)絡(luò)訪問控制服務(wù)器（以下簡稱NAC）。

　　但是在以往，由于你和你的企業(yè)可能只對NAC技術(shù)有一個初步的了解，卻不知道企業(yè)到底需要一臺什么樣的NAC服務(wù)器。而且，你不知道在企業(yè)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)中實施NAC后能不能達到預(yù)期的目的，以及能否取得最佳的成本與收益平衡。因為，在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)中部署NAC，會牽扯到網(wǎng)絡(luò)結(jié)構(gòu)變動，以及安全策略更改等諸多的方面，一輪改造下來，不僅工作繁雜，而且會耗費大量的正常業(yè)務(wù)時間，所有的這些，肯定不是企業(yè)應(yīng)用NAC時所希望年到的。

　　更何況，由于現(xiàn)在專門的硬件型NAC設(shè)備價格還相當(dāng)?shù)母�，企業(yè)不一定同意先購買一臺昂貴的NAC設(shè)備來先做試驗。就是由于存在這么多的不確定因素，讓許多中小企業(yè)如今仍然徘徊在NAC的大門之外觀望。

　　現(xiàn)在，由于開源免費的NAC軟件的出現(xiàn)，已經(jīng)完全可以讓我們丟掉應(yīng)用NAC的諸多顧慮：企業(yè)再要擔(dān)心NAC設(shè)備的價格，免費的NAC軟件加上一臺普通PC的硬件，要不了多少錢；我們也不擔(dān)心得到的NAC軟件不適用，在硬件平臺穩(wěn)定的情況下，我們只需更換不同的NAC軟件就可以得到想要的需求，而不需要花費任何費用；我們也不必?fù)?dān)心自己打造的NAC服務(wù)器過時，因為不僅NAC軟件可以不斷更新，我們還可以更換相應(yīng)的硬件來滿足軟件和應(yīng)用的要求。鑒于NAC軟件給應(yīng)用NAC帶來的諸多好處，那么從現(xiàn)在開始，就和我一起來動手打造一臺滿足自己需求的網(wǎng)絡(luò)訪問控制服務(wù)器吧。

　　一、 NAC軟件的選擇和硬件準(zhǔn)備

　　由于是使用NAC軟件來打造一臺NAC服務(wù)器，那么這臺服務(wù)器所具有的NAC功能就與所使用的軟件密切相關(guān)，因而一開始的首要任務(wù)就是選擇一款合適的NAC軟件。目前市面上真正免費開源的NAC軟件還不是很多，而且，每個 NAC軟件都有它自己獨自的特點和缺點，就如同專門的硬件型NAC設(shè)備一樣，我們應(yīng)當(dāng)根據(jù)NAC軟件提供的功能，以及自己的實際需求來選擇一款合適的NAC軟件。

　　1、NAC軟件的選擇

　　就如我剛才所說，目前真正意義上開源免費的NAC軟件還不是很多，最好的要數(shù)PacketFence zen、FreeNAC和Safe Access Lite 這三款。為了便于大家選擇，我在下面分別對這三款NAC軟件做一個簡短的說明。

　　(1) PacketFence zen PacketFence zen是一個免費和開源的網(wǎng)絡(luò)訪問控制軟件，它使用NESSUS來對終端設(shè)備進行弱點檢測，以發(fā)現(xiàn)終端設(shè)備中存在安全風(fēng)險。例如存在沒有修復(fù)的漏洞、計算機病毒、間諜軟件和木馬等，一旦確定終端存在這些安全風(fēng)險中的一種，此終端就會被禁止訪問目標(biāo)網(wǎng)絡(luò)。PacketFence zen還使用SNORT傳感器來檢測來自網(wǎng)絡(luò)的攻擊活動，并給出相應(yīng)的警告。PacketFence zen支持對許多廠商的可網(wǎng)管交換機進行VLAN 設(shè)置，通過劃分不同VLAN來阻止不安全的終端接入網(wǎng)絡(luò)，這些被支持的交換機包括3COM、思科、DELL及D-LINK等廠商生產(chǎn)的可網(wǎng)管交換機。PacketFence zen通過 FreeRADIUS模塊提供對802.1X無線的支持，F(xiàn)reeRADIUS模塊能為我們的有線和無線網(wǎng)絡(luò)接入提供一種同樣的安全控制方式。PacketFence zen同時提供了對DHCP網(wǎng)絡(luò)設(shè)備和VOIP的支持。而且，我們可以通過WEB和命令行界面來管理它。所有的這些功能，都讓PacketFence zen完全可以滿足目前大部分中小企業(yè)的網(wǎng)絡(luò)訪問控制的需求，甚至大型企業(yè)同樣可以使用它來保護網(wǎng)絡(luò)安全。PacketFence zen可以在大部分Linux系統(tǒng)中運行，我們可以下載它的二進制文件包來安裝，也可以下載它的一體化VMWare虛擬機文件來直接使用，我們可到http://www.packetfence.org/download/releases.html網(wǎng)站下載這些安裝文件。

　　(2) FreeNAC

　　FreeNAC也是一款開源免費的NAC軟件，它同樣提供了對交換機劃分VLAN的功能，并以MAC地址來為計算機終端指定動態(tài)VLAN，以此提供對局域網(wǎng)中各種資源的訪問控制。FreeNAC能夠?qū)钟蚓W(wǎng)中的服務(wù)器、工作站、打印機和IP電話的進行訪問控制。FreeNAC能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存活的各種終端，并提供了對802.1x及思科的VMPS端口安全模塊的支持，同時還提供系統(tǒng)補丁包分發(fā)等功能。不過，F(xiàn)reeNAC雖然提供了對非網(wǎng)管交換機的支持，但使用非網(wǎng)管交換機會讓其NAC功能大打折扣，因此，如果想發(fā)揮它所有的NAC功能，最好使用可網(wǎng)絡(luò)交換機，而且，為了能使用思科的VMPS功能，最好使用思科的支持 VMPS的可網(wǎng)管交換機。FreeNAC可以去 http://freenac.net/?q=en/community/downloads下載，它也有一個用來安裝的二進制包，可以在Ubuntu、Fedora、Redhat和Gentoo系統(tǒng)中安裝，它同樣也存在一個VMWare虛擬機文件，這個文件是基于Ubuntu8.04的，并且其大小超過了1GB。

　　(3) Safe Access Lite

　　Safe Access Lite其實是Safe Access 5的免費版本，但是，它只提供被動監(jiān)控功能。Safe Access Lite支持對 250臺計算機終端的檢測，并且支持三種終端檢測方式。Safe Access Lite對網(wǎng)絡(luò)交換機沒有特別的要求，在普通的交換機環(huán)境中也可以很好地發(fā)揮其作用，這樣，我們使用它打造NAC服務(wù)器就可以直接連接到網(wǎng)絡(luò)中心交換機上的任意端口，在不需要對現(xiàn)有的網(wǎng)絡(luò)做任何修改的情況下，就可以通過它來監(jiān)控整個局域網(wǎng)中的計算機終端，體驗NAC的帶來的好處。Safe Access Lite只支持對運行WINDOWS操作系統(tǒng)的計算機終端有效，不支持其它非計算機終端（例如網(wǎng)絡(luò)打印機或IP電話）。并且，在使用時，所有的計算機終端必需開啟了打印機和文件共享功能，以及開放了139和445端口，這主要是由于Safe Access Lite的終端檢測方式所決定的。Safe Access Lite也提供二種安裝方式，一種是在Linux系統(tǒng)下安裝的二進制文件，另一種為VMware虛擬機文件。這些文件可以到http://www2.stillsecure.com/go/stillsecure/SALite下載。在下載它之前需要我們進行簡單的免費注冊，這樣才能獲得使用它的授權(quán)碼，這個授權(quán)碼是經(jīng)過加密的，我們只需將它復(fù)制后保存到一個文本文件中即可，以便在安裝Safe Access Lite時可以用此授權(quán)碼來完成注冊。

　　2、NAC服務(wù)器的硬件準(zhǔn)備

　　當(dāng)我們選擇好需要的NAC軟件后，就應(yīng)當(dāng)按此軟件的運行需求，以及我們使用NAC服務(wù)器的應(yīng)用目的來準(zhǔn)備相應(yīng)的 PC硬件平臺。我們選擇的硬件不僅要能滿足操作系統(tǒng)的需求，而且要能滿足NAC處理的性能要求。對于上述這三款 NAC軟件來說，如果都是通過它們的VMware虛擬機文件來使用，那么，運行它們所需的基本硬件可以是：CPU頻率在奔騰Ⅳ2.4GHZ及以上，內(nèi)存容量在1G及以上，磁盤剩余空間最少得有20GB及以上，至于以太網(wǎng)網(wǎng)卡的選擇，我們就得依照NAC服務(wù)器將要接入目標(biāo)網(wǎng)絡(luò)的方式再來做決定，對它的需求將在下面描述NAC服務(wù)器的接入方式時一起說明。對NAC服務(wù)器的其它基本硬件沒有特別的要求。

　　至于自己打造的NAC服務(wù)器操作系統(tǒng)的選擇，由于我國現(xiàn)在大多數(shù)中小企業(yè)的PC使用的都是Windows XP操作系統(tǒng)，而且這三款軟件都有可以在此系統(tǒng)下使用的VMware虛擬機文件，因此，我們可以選擇Windows XP操作系統(tǒng)來作為NAC服務(wù)器的操作系統(tǒng)平臺。但是要注意的是，為了能滿足安全性的需求，我們應(yīng)當(dāng)對NAC所依賴的系統(tǒng)進行相應(yīng) 的安全加固，例如只在此系統(tǒng)上運行NAC軟件，將其它不必要的服務(wù)和應(yīng)用程序全部刪除或禁用，我們不能在使用一種新的安全防范設(shè)備的同時又帶來新的安全威脅。在本文的說明NAC軟件安裝和配置階段，我選擇的平臺也是Windows XP操作系統(tǒng)。

　　二、NAC服務(wù)器接入網(wǎng)絡(luò)的方式

　　NAC 軟件和運行的硬件平臺準(zhǔn)備好以后，接下來的工作就是考慮NAC服務(wù)器將以何種方式接入目標(biāo)網(wǎng)絡(luò)的問題。通常，NAC服務(wù)器有兩種主要工作方式，它們是被動工作方式和在線工作方式，我們也就可以按這兩種工作方式來決定NAC服務(wù)器接入網(wǎng)絡(luò)的方式。1、被動工作方式時的接入方式被動工作方式就是指NAC服務(wù)器將以旁路的方式接入到目標(biāo)網(wǎng)絡(luò)中，如圖1所示。此時，NAC服務(wù)器最少需要一塊 100/1000Mbps的以太網(wǎng)網(wǎng)卡，如果在監(jiān)控的同時還必需提供對交換機的管理，那么，也可以在NAC服務(wù)器中安裝另一塊以太網(wǎng)網(wǎng)卡來分別處理各自原任務(wù)。對于大多數(shù)NAC服務(wù)器來說，不論是自己打造的還是單獨購買的，如果交換機有SPAN端口，最好將網(wǎng)卡連接到此端口上。通過這種方式接入目標(biāo)網(wǎng)絡(luò)，是不需要改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)的，但是，這種接入方式將不能保證NAC服務(wù)器能監(jiān)控到整個局域網(wǎng)中的所有終端，也不能保證其提供完整的網(wǎng)絡(luò)訪問控制功能。這種NAC服務(wù)器連入目標(biāo)網(wǎng)絡(luò) 的方式也是本文所舉例子使用的接入方式。

　　

　　圖1

　　2、在線工作方式時的接入方式

　　在線工作方式是指NAC服務(wù)器將直接連接到網(wǎng)絡(luò)的數(shù)據(jù)鏈路當(dāng)中，如圖1.2 所示，此時的NAC服務(wù)器最少需要二塊 100/1000Mbps以太網(wǎng)網(wǎng)卡。在線工作方式的NAC服務(wù)器不僅承擔(dān)對整個內(nèi)部局域網(wǎng)中所有終端進行監(jiān)控的任務(wù)，還得控制它們對連接在它后面的網(wǎng)絡(luò)服務(wù)器的訪問。

　　此時，如果硬件及網(wǎng)絡(luò)條件滿足NAC服務(wù)器的要求，那么它將會提供其完整的NAC功能。但是，在線工作方式的NAC需要更高的數(shù)據(jù)處理性能和硬件穩(wěn)定性，而且還存在單點失敗的問題。因此，我們必需通過提高PC硬件性能來提高NAC服務(wù)器的處理速度，通過同時運行兩臺相同的NAC虛擬機來提供冗余，還可以為PC提供雙CPU，雙電源，以及RAID功能來保證NAC服務(wù)器的穩(wěn)定性和業(yè)務(wù)的可持續(xù)性。但此時不能再使用免費的VMware軟件來運行這些NAC虛擬機了，因為免費的VMware Player軟件并不提供冗余功能。另外，這種方式會對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)做出相應(yīng)的調(diào)整，如果不是有此必要，可以優(yōu)先考慮使用被動接入方式，畢竟改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)所要承擔(dān)的風(fēng)險和造成的業(yè)務(wù)影響要比被動接入方式大得多。這也是我們使用軟件NAC來打造網(wǎng)絡(luò)訪問控制服務(wù)器的初衷。

　　

　　圖2

本新聞共3頁,當(dāng)前在第1頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费