工业互联网终端准入控制技术（二）

在上一篇文章中为大家分享了PBR、MVG、802.1x三种主流准入控制技术原理及应用场景，本篇文章继续为大家介绍SPAN、DHCP、ARP三种准入控制技术。

SPAN(Switched Port Analyzer)，即交换机端口镜像技术，核心交换机通过端口镜像技术将需要准入管控的数据流量，复制并发送给网络准入控制系统，网络准入控制系统通过解析镜像的数据流量，完成终端信息、设备类型、指纹库的识别工作。当发现非法终端接入时，网络准入控制系统通过伪装目的地址，持续向非法终端发送TCP reset报文，实现终端流量阻断，并自动将终端访问网页重定向到网络准入控制系统注册页面，等待终端用户注册及管理员审核。

2.1.2 入网流程

图1  SPAN准入控制技术用户入网流程

①交换机将连接终端的接口in方向或业务区域的out方向流量进行镜像复制，并转发给网络准入控制系统，当入网用户终端接入网络时，网络准入控制系统通过监听镜像流量，发现未授权的终端的接入；

②网络准入控制系统持续以伪造入网终端访问的目的地址对入网终端发送TCP reset报文，阻断入网终端的TCP网络连接，阻止其正常访问业务网络，并将入网终端重定向至终端认证页面；

③入网用户按照既定规则选择验证账号，或安装客户端的方式实现身份及终端安全的验证；

④网络准入控制系统确认入网终端满足入网基线要求时，停止对其发送TCP reset报文。此时，入网终端可恢复对目标地址的访问，用户可正常访问业务网络。

SPAN准入控制技术的优势在于对网络改动小，仅需核心交换机配置端口镜像即可完成对终端的监管，但由于其阻断行为依赖TCP reset报文，因此无法阻断基于UDP的流量。

2.1.3 应用场景

【背景介绍】

（1）工控现场用户对于网络的改动比较反感，希望尽可能不对网络进行改动，不影响正常业务网络流向，不改变网络节点跳数；

（2）核心或汇聚交换机为管理型交换机，支持端口镜像功能；

（3）现场主要业务数据传输基于TCP。

【解决方案】

利用SPAN准入控制技术，通过交换机的端口镜像功能，将需控制的终端接入接口或关键业务接口流量进行镜像，并由网络准入控制系统实现入网管控，由于SPAN准入控制技术采用全旁路模式，因此无网络瓶颈，无网络故障风险。

DHCP(Dynamic Host Configuration Protocol)，即动态主机配置协议。IP地址是网络通信的前提，对于通过DHCP自动分配地址的网络环境中，若某一终端未获取IP地址，那么将无法实现网络通信，进而无法形成入网威胁，DHCP准入控制技术正是依托于终端及哑终端通信IP的自动分配，从而实现对入网终端的控制。

在DHCP准入控制技术中，网络准入控制系统充当DHCP服务器的角色，在终端初次入网时，网络准入控制系统分配给入网终端一个临时的IP地址和路由，使得该终端只能访问隔离网络区域，当终端下载agent并通过安全检查之后，会重新获取到一个正式的业务IP，此时才可以正常访问业务网络。

①入网终端采用动态地址方式接入网络时，向网络中广播DHCP Discover报文来寻找DHCP服务器，并申请IP地址；

②交换机收到DHCP Discover报文后，通过DHCP中继将该报文发送给作为DHCP服务器角色的网络准入控制系统；

③网络准入控制系统收到交换机转发的DHCP Discover报文后，会向入网终端下发一个临时的IP地址，该地址仅能与网络准入控制系统进行交互；

④入网终端获取到临时IP地址后，通过安装客户端或网页认证的方式与网络准入控制系统进行身份验证和安全基线核验；

⑤当网络准入控制系统确定入网终端的合法身份后，重新向入网终端下发一个正式业务IP地址；

⑥此时，用户通过业务IP地址与业务区域进行网络通信，正常开展业务。

DHCP准入控制技术的优点是兼容老旧交换机，仅需对网络交换机配置DHCP中继即可。缺点是对于终端私设静态IP的情况无法完成阻断，并且终端分配到正常子网后，再次发送 request 之前，是无法对终端再施加控制，所以需采用客户端的验证方式才能让终端再次受控。

2.2.3 应用场景

【背景介绍】

（1）工控现场用户主要依赖DHCP实现终端地址分配，大部分用户技术水平薄弱，不了解静态地址的配置方式，无法轻易自行配置地址（适用于无线接入场景）；

（2）客户允许将现有的DHCP服务器取缔，由网络准入控制系统来实现DHCP服务器的功能。

【解决方案】

利用DHCP准入控制技术，以网络准入控制系统取代现有的DHCP服务器，在交换机配置DHCP中继，利用IP地址的动态分配实现对终端入网的管控。

ARP(Address Resolution Protocol)，即地址解析协议ARP准入控制技术，该技术是利用ARP欺骗和ARP攻击手段对未授权终端发起ARP攻击，从而实现对未授权终端的阻断。

在ARP准入控制技术的应用场景下，核心交换机仅需增加一条到网络准入控制系统的Trunk链路，并透传所有需管控的VLAN。当出现未授权终端入网并尝试与其他终端通信时，网络准入控制系统同时向未授权终端与目标通讯终端同时发送ARP欺骗报文，干扰未授权终端与目标通讯终端获取对方真实ARP信息，在阻断未授权入网的同时，诱导未授权终端访问网络准入控制系统的入网注册页面，当入网终端完成入网验证后，网络准入控制系统停止ARP攻击，恢复终端入网。

图3  ARP准入控制技术用户入网流程

①用户终端入网后，会发送ARP广播报文来获取网关或目标通讯终端的MAC地址，以实现网络通信，网络准入控制系统在收到入网终端发送的ARP广播报文后，即感知到未授权终端的存在；

②网络准入控制系统向未授权终端访问的目标终端发送包含未授权终端IP地址和网络准入控制系统MAC地址的ARP报文，使得目标终端获取到关于未授权终端的错误ARP信息；

③网络准入控制系统向未授权终端发送包含网络准入控制系统MAC地址及目标终端IP地址的ARP报文，从而阻止未授权终端与目标终端的网络连接，并将未授权终端重定向至网络准入控制系统，推送终端注册页面；

④用户完成终端注册后，由管理员进行审批；

⑤审批完成后，网络准入控制系统停止对未授权终端以及目标终端的ARP欺骗，至此通信双方可以正确获取到对方的ARP信息，用户即可正常完成业务访问。

ARP准入控制技术的优势在于其兼容性极佳，无需对用户网络进行任何改动。但ARP欺骗和ARP攻击对装有ARP防火墙的终端没有作用。另外，由于ARP列表会定期刷新，因此网络准入控制系统会以5-10秒的频率持续向网段内广播ARP欺骗报文，以保持对终端阻断效果，因此会影响网络性能，造成网络拥塞，所以不适用于大型网络。

2.3.3 应用场景

【背景介绍】

（1）工控网络规模较小，终端数量少，为二层网络环境；

（2）网络中未配置ARP攻击防护策略；

（3）用户能容忍网络波动，不苛求网络质量。

【解决方案】

采用ARP准入控制技术，仅对交换机配置Trunk接口连接至网络准入控制系统，并对每个受控VLAN预留一个管理IP，其余无需任何网络改动即可完成基本的网络准入功能。

表1 准入控制技术对比表

⟡ 对网络中的终端进行授权管理，及时发现伪造或非法终端，同时确保终端符合安全要求，并持续进行监视和管控；

⟡ 基于网络层面对接入网络的各种设备进行设备定位透视、网络拓扑结构透视，实现网络结构的可视化；

⟡ 提供各种灵活的人员认证机制，对不同人员采用不同级别和强度的认证，并且进行权限管理和审计追溯；

⟡ 结合私接检测、违规外联探测和运行报表，为管理员持续进行网络健康状况管理和检测提供了高效的手段。

随着网络规模的扩大，如何对海量的入网终端进行规范性检查也是令管理员日常头疼的一件事，即使入网终端按照流程进行入网连接，但终端自身存在脆弱性，也极易被黑客利用，入侵后作为跳板机对网络中其他终端造成威胁。

威努特网络准入控制系统具备终端规范性检查的功能，可按照管理员设置的用户入网要求，对不符合终端安全基线要求的入网终端加以阻断，并实现基线、补丁的自动修复。

图5  硬件变动审计

图6  IP地址管理

在企业中存在内部人员和外部人员，不同人员之间的业务场景不同，最佳的验证方式也不尽相同。威努特网络准入控制系统可提供广泛的身份认证功能，基于人员角色进行权限控制，从而在识别、授权、审计等多个角度对内网边界设立人员管理的第一道防线，结合密码、email、Radius、LDAP、AD域等不同认证方式，方便管理员对特定人员的精细化管控。

图7  来宾入网认证

员工违规外联、私接路由等行为可使黑客轻易绕过戒备森严的网络边界防护壁垒，其威胁远超外部网络入侵。

威努特网络准入控制系统可对私接路由、违规外联等行为进行检测、记录与告警，同时结合自身资产管控优势定位异常终端，帮助管理员提高网络的边界管控能力。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121