内网安全技术之如何防止非法接入

任何技术都存在现实的两面性,ARP欺骗阻断对于内网安全产品而言,需要科学合理运用才能发挥最大的功效。国内信息安全领军企业启明星辰公司在内网安全管理产品的诸多底层技术方面开展了积极的实践探索,并提出了新的防止非法接入的手段和思路。
ARP(Address Resolution Protocol是地址解析协议),是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)。简单说,IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
ARP欺骗阻断:在同一个IP子网内,数据包根据目标机器的MAC地址进行寻址,而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每台主机(包括网关)都有一个ARP缓存表,在正常情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP请求应答的机制中存在一些不完善的地方,容易造成ARP欺骗的情况发生。
由于ARP欺骗的阻断方式技术实现较简单,就被国内大部分厂商所采用,特别是针对未注册阻断、非法访问的阻断等,往往都采用ARP欺骗的阻断方式。
二、ARP欺骗阻断的不足
首先,采用ARP欺骗阻断方式对网络的负荷影响很大。
ARP工作时,首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。在ARP欺骗阻断的实现中,一个ARP请求可能会收到数十个、设置数百个ARP应答,有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗,因此,在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的,可能导致网络设备性能下降,影响用户正常的业务。
其次,ARP欺骗阻断方式准入效果不可靠。
ARP欺骗并不能100%保证有效,比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者,请求者是否被欺骗还存在一定的机率,或者客户端安装了防ARP欺骗的软件,如果采用ARP欺骗包来实现终端设备的准入控制,效果就可想而知,其自身的缺陷,使得准入的可靠性大为降低。
最后,ARP欺骗阻断和真正的ARP欺骗难以区分。
在一个网络内如果启用了ARP欺骗阻断,当真的发生ARP欺骗时,后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗,将给用户的故障排除带来极大的困难,严重影响用户业务。另一方面,在大多数的ARP欺骗阻断实现中,往往是子网内的所有电脑同时对目标电脑进行欺骗,如果目标电脑无需受欺骗后,要求所有电脑停止对其进行欺骗,而此时如果个别电脑没有收到停止欺骗的指令,将导致目标电脑持续不能正常访问网络,导致用户运维事故。
三、内网安全产品的新型阻断方式
综上所述,ARP欺骗的阻断方式存在很多问题,因此内网安全产品应该辨证地使用这一方式,启明星辰在其天珣内网安全风险管理与审计系统中提出了不同的思路。
1. 避免单一,采用多种阻断方式
天珣内网安全风险管理与审计系统在终端接入边界交换机,可以通过网络准入控制手段阻断不合法的终端接入内网,同时,在后台重要服务器中,通过应用准入控制,实现阻断不合法的终端访问重要服务器和服务资源。也就是说,从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。在不支持网络准入和应用准入两项条件的环境下,天珣产品虽然也使用了ARP欺骗的阻断方式,但是,这种阻断方式被大大规范和限制,特别是在个人防火墙只要拦截到ARP欺骗的攻击,就会立即制止客户端向其他客户端发送欺骗包,从而彻底改变了ARP欺骗的不利局面。除此之外,启明星辰天珣内网安全系统与天清汉马USG一体化安全网关(UTM)形成UTM平方统一安全套件,提供外网边界准入控制,可以实现阻断不合法的终端访问internet。
2. 主动防御ARP欺骗
启明星辰天珣内网安全系统通过检查IP数据包包头,可确保数据包欺骗不能发生。通过监控网络行为的发起进程,防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包,自动绑定网关MAC,拒绝延迟的ARP应答包等方式,防止内网ARP欺骗侵害。内置强大的企业级主机防火墙系统,采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段,实现了针对计算机终端的威胁主动防御和网络行为控制,从而保证计算机终端双向访问安全、行为受控,有效防护疑似攻击和未知病毒对企业内网造成的危害。
3. 基于终端网络行为模式的威胁主动防御
启明星辰天珣内网安全系统具备基于终端网络行为模式的威胁主动防御机制,通过集中控制每台计算机终端的网络行为,限定网络行为的主体、目标及服务,并结合计算机终端的安全状态控制网络访问,可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线,弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数,减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为,限制异常进程的网络访问。
启明星辰天珣内网安全系统紧密围绕“合规”,内含企业级主机防火墙系统,通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理,全面提升内网安全防护能力和合规管理水平。天珣内网安全系统引领了内网安全管理模式的新变革,在行使终端安全管理职能的同时,更与天清汉马USG一体化安全网关(UTM)组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件,协同构建多层次纵深防御体系,改变了“被动的、以事件驱动为特征”的传统内网安全管理模式,开创了“主动防御、合规管理”为目标的内网安全管理新时代。启明星辰天珣“五维内网合规管理模型”

㈡ 准入控制系统都有哪些准入管控方式

管控方式比较好也比较全的 还是推荐使用 金盾软件旗下的 镁盾准入控制吧

准入管控方式有下面几种:

  1. 细粒度网络准入控制:(1) 杜绝非法入网、(2) 入网权限设置等等

  2. 拓扑图自动警告

  3. 身份认证:终端入网强制身份认证,未经授权禁止接入网络,确保只有合法终端才能入网

  4. 安全测评:终端安全技术测评,安全隐患项目隔离修复,确保入网终端始终处于安全状态

  5. 违规报警:终端安全状态动态保护,存在危险异常项目及时处理并报警通知,防止安全隐患

  6. 行为规范:终端安全规范,严控各类外设使用,明确网络访问细则权限,确保用户拥有网络使用的“最小授权”

  7. 报表统计:全网安全事件图表化分析汇总,既可提供针对特定行为的分析报告,也可对全网安全趋势分析

希望可以帮助到您吧

㈢ 如何在外网访问内网时保证内网的安全

您好,你这个问题,可以试试通过IP-guard的网络准入控制模块来解决

IP-guard网络准入控制系统是一套专业的硬件系统,对访问指定网络的计算机进行严格的审核,防范非法计算机侵入窃取机密。

IP-guard网络准入控制系统能实现以下功能:
1、阻断外来计算机非法访问
只有合规的计算机才能连入指定网络,内网、服务器等,非法访问完全阻断并引导至预先设置隔离区修复
2、防止内部PC脱离监管
与其它IP-guard模块联合应用,避免内网PC脱离管控

你可以跟售前服务人员明确下需求,这样能更好的了解你的需求,给你一个更好的解决方案,之后可以给你试用一段时间的,试用满意了再考虑购买。

㈣ 什么是“网络准入系统”

不知道你用的是什么控制系统,我们这使用的是金盾NACP系统是金盾软件结合公安部信息专安全等级保护、保密局属涉密网络分级保护政策要求,以及各级政府、企事业单位自身网络安全管理需求,秉承“违规不入网,入网必合规”的网络安全管理目标打造的一款全新一代内网安全管理系统,说白了就是为了解决“网络接入不可知、非法外联不可控、违规行为不可管”的问题

㈤ 现在国家对网络安全,和网络准入有硬性要求吗

网络安全法出台后,对企业提高了准入门槛和运行安全能力要求,互联网企业对于内部终端的网络准入要有要求了,同时对与内部的终端的安全性也要有必要的检查和违规的控制,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害,为企业建设一套网络安全体系。

网络准入控制,企业网络安全管控第一步,面对访客安全接入的问题,在结合企业中具体的应用场景进行分析之后,不少企业都选择了网络准入控制技术作为企业自身的安全管控方案。主要是对于每个员工包括访客等接入终端进行控制,只有合法身份和满足安全要求的客户机才允许接入网络。

只有安全终端才能接入内网,新形势下,需要对于接入网络的终端进行安全检查,可以对终端进行安全检查,只允许合规的终端接入对应权限的网络,拒绝不符合安全要求的终端接入,同时还可以在网络上对该电脑隔离,并指引其进行安全修复。

应对这样的新形势,上讯信息的ETS对网络准入的建设有很好的解决方案,通过ETS构建起企业的准入门槛,有效解决新形势下的网络准入要求。同时ETS提供对于终端安全性的检查,帮助管理员构建起企业内部网络的准入控制“门”并且对于终端能够进行有效的安全性控制。

总的来说,网络安全法将提高互联网企业的网络准入门槛,对发展运行也提出了更高的要求。

mein4006868531

㈥ 网络准入的功能

1.用户身份认证
从接入层对访问的用户进行最小授权控制,根据用户身份严回格控制用户对内答部网络访问范围,确保企业内网资源安全。
2.终端完整性检查
通过身份认证的用户还必须通过终端完整性检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。
3.终端安全隔离与修补
对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。
4.非法终端网络阻断
能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。
5.接入强制技术
支持几乎所有的网络接入强制技术,如: 802.1X、DNS代理、防火墙、CISCO EOU、H3C Portal、VPN等,实现从网络层到系统层接入的全面、深度控制,有效拒绝未知设备接入。