近來(lái)有機(jī)會(huì)接觸了一些企業(yè)網(wǎng)絡(luò)準(zhǔn)入的項(xiàng)目，感觸頗深。針對(duì)這個(gè)復(fù)雜的市場(chǎng)有一點(diǎn)自己的心得，沒(méi)有結(jié)論，意在拋磚引玉，為大家的思考和討論鋪路。

本文只關(guān)注企業(yè)用戶，而且是具備一定用戶規(guī)模的國(guó)內(nèi)企業(yè)用戶，不是學(xué)校、不是小區(qū)寬帶；其次，范圍是用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，包括有線、無(wú)線、VPN等等。之所以要這么規(guī)定一下，是為了后面的討論更準(zhǔn)確、更有針對(duì)性，企業(yè)用戶有自己的特點(diǎn)和需求，適合其它環(huán)境的思路在企業(yè)網(wǎng)中很可能玩兒不轉(zhuǎn)，任何一種技術(shù)方案只有在立足的環(huán)境中才存在討論的意義。

一. 緣起

網(wǎng)絡(luò)準(zhǔn)入是一個(gè)由來(lái)已久的話題，但一直以來(lái)并不是IT安全的重點(diǎn)，直到近年來(lái)，才逐漸成為炙手可熱的話題。無(wú)線接入、智能移動(dòng)終端和云計(jì)算的興起共同催生了這一波熱潮。

隨著云計(jì)算的不斷深入，越來(lái)越多的企業(yè)業(yè)務(wù)系統(tǒng)由傳統(tǒng)的C/S架構(gòu)向B/S架構(gòu)遷移，以往訪問(wèn)后臺(tái)數(shù)據(jù)需要安裝專用軟件，IT部門控制客戶端軟件的許可發(fā)放，就能夠大致控制訪問(wèn)用戶的范圍。而在B/S架構(gòu)中，用戶只需要一個(gè)WEB瀏覽器即可登錄系統(tǒng)，加上智能手機(jī)、智能平板和WiFi的流行，以往的限制條件消失了，任何人手中的設(shè)備都成了可能訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)的平臺(tái)，IT部門突然一下子失去了對(duì)局面的控制，因此，對(duì)網(wǎng)絡(luò)的準(zhǔn)入控制被重新提上日程。只有合法的用戶才能夠接入網(wǎng)絡(luò)，通過(guò)對(duì)接入用戶的控制，IT部門開(kāi)始試圖重新奪回對(duì)數(shù)據(jù)訪問(wèn)的控制權(quán)。

二.  幾種思路

控制用戶接入網(wǎng)絡(luò)的技術(shù)伴隨網(wǎng)絡(luò)本身的誕生和發(fā)展已經(jīng)衍生出五花八門的派別，每種方式都有自己的特點(diǎn)和適用場(chǎng)景，很難說(shuō)那種方式在技術(shù)和最終效果上技高一籌取得了絕對(duì)的領(lǐng)先地位。

在新形勢(shì)下，接入技術(shù)本身并沒(méi)有發(fā)生翻天覆地的變化，其演進(jìn)更多地是從滿足需求的前提出發(fā)，將現(xiàn)有的方式進(jìn)行重新的優(yōu)化、組合，從而推出一個(gè)滿足新需求的解決方案。在實(shí)際環(huán)境中常見(jiàn)的認(rèn)證方式包括二層認(rèn)證、三層認(rèn)證和基于客戶端方式的認(rèn)證。

二層認(rèn)證

二層認(rèn)證就是用戶在獲得IP地址之前必須通過(guò)的認(rèn)證，大型企業(yè)往往利用DHCP進(jìn)行IP地址分發(fā)，用戶在接入網(wǎng)絡(luò)之初同網(wǎng)絡(luò)側(cè)通過(guò)二層連接進(jìn)行認(rèn)證數(shù)據(jù)的交互，只有成功通過(guò)認(rèn)證才能向DHCP服務(wù)器申請(qǐng)IP地址，從而收發(fā)數(shù)據(jù)。

二層認(rèn)證的代表實(shí)現(xiàn)方式就是802.1X。802.1X是IEEE 802.1協(xié)議集的一部分，定義了EAP在以太網(wǎng)環(huán)境中的實(shí)現(xiàn)方式，而EAP是IETF在RFC3748中制定的在數(shù)據(jù)鏈路層中進(jìn)行認(rèn)證行為的一種機(jī)制，以滿足在不同的二層環(huán)境下進(jìn)行統(tǒng)一、一致的認(rèn)證的需求。這個(gè)邏輯連起來(lái)就是，IETF首先制定了在數(shù)據(jù)鏈路層也就是二層上進(jìn)行驗(yàn)證的EAP機(jī)制，然后IEEE給出了EAP在以太網(wǎng)環(huán)境中的運(yùn)行方式，這個(gè)方式就是大家熟知的802.1X。現(xiàn)在，我們可以回答兩個(gè)常常被混淆的問(wèn)題：

1）802.1X是802.11的子集嗎？

No，802.1X不但可以工作在無(wú)線環(huán)境中，同樣能夠工作在有線環(huán)境中，并且在WiFi被大規(guī)模部署之前，802.1X就已經(jīng)是有線網(wǎng)絡(luò)中一種重要的認(rèn)證方式。

2）EAP是802.1X專用的認(rèn)證方式嗎？

No，理論上EAP可以被運(yùn)用在任何一種數(shù)據(jù)鏈路層之上，例如PPP或以太。

基于802.1X的二層認(rèn)證基本工作方式如下圖所示：

上圖中的三個(gè)元素，分別是客戶端（Supplicant）、認(rèn)證方（Authenticator）和認(rèn)證服務(wù)器（Authentication Server）。客戶端就是支持802.1X功能的終端設(shè)備，如筆記本、智能手機(jī)；認(rèn)證方是將客戶端接入網(wǎng)絡(luò)的接入設(shè)備，在有線網(wǎng)絡(luò)中是接入交換機(jī)，無(wú)線網(wǎng)絡(luò)中是無(wú)線AP和控制器，在VPN連接中，認(rèn)證方則是VPN服務(wù)器，認(rèn)證方負(fù)責(zé)接受客戶端的認(rèn)證請(qǐng)求，但本身并沒(méi)有處理這些請(qǐng)求的能力，它會(huì)將獲得的信息轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器，由認(rèn)證服務(wù)器辨別客戶端的合法性；認(rèn)證服務(wù)器通常是集中部署在網(wǎng)絡(luò)內(nèi)的一臺(tái)安全設(shè)備，當(dāng)收到轉(zhuǎn)發(fā)來(lái)的用戶請(qǐng)求后，認(rèn)證服務(wù)器將請(qǐng)求信息同已有的用戶資料做比對(duì)，并將結(jié)果返還給認(rèn)證方，如用戶合法，認(rèn)證方便會(huì)將客戶端接入網(wǎng)絡(luò)，否則予以屏蔽，或放入特殊VLAN，至此，一個(gè)標(biāo)準(zhǔn)的二層認(rèn)證流程才結(jié)束。

在這個(gè)過(guò)程中，認(rèn)證方和認(rèn)證服務(wù)器之間通過(guò)特定的協(xié)議通信，目前采用最普遍的兩個(gè)協(xié)議是RADIUS和TACACS+，總體說(shuō)來(lái)，TACACS+的穩(wěn)定性、安全性和靈活性更高，但TACACS+是思科私有協(xié)議，因此，在一般的用戶接入場(chǎng)合，RADIUS更加常見(jiàn)。

通過(guò)多年的發(fā)展，802.1X+RADIUS的實(shí)現(xiàn)方式已經(jīng)發(fā)展成為一個(gè)功能非常強(qiáng)大的準(zhǔn)入方案，RADIUS豐富的字段使得認(rèn)證可以不僅僅針對(duì)用戶名與密碼，還可以根據(jù)接入設(shè)備的MAC地址、IP地址、交換機(jī)端口等信息來(lái)進(jìn)行認(rèn)證。

之所以解釋這么多二層認(rèn)證的細(xì)節(jié)，是想說(shuō)明基于802.1X的二層接入是一個(gè)非常成熟的方案，市場(chǎng)接受程度很高，不管認(rèn)證方還是認(rèn)證服務(wù)器，都不難找到多家廠商的產(chǎn)品，客戶端的支持方面也不是問(wèn)題，主流的桌面操作系統(tǒng)和智能手機(jī)終端大都支持802.1X。用戶的接受與市場(chǎng)的成熟，對(duì)于安全策略的長(zhǎng)期部署是非常重要的，802.1X在這方面的優(yōu)勢(shì)異常明顯，其他方案不一定有這么幸運(yùn)。

總體說(shuō)來(lái)，802.1X的二層模式具備了以下三個(gè)特點(diǎn)：

1）完全公開(kāi)的架構(gòu)，每一個(gè)部分都有相應(yīng)的國(guó)際標(biāo)準(zhǔn)，便于企業(yè)客戶自由選擇軟硬件、搭建一個(gè)靈活的安全架構(gòu)，不會(huì)受制于特定廠家；

2）成熟的技術(shù)標(biāo)準(zhǔn)，802.1X已經(jīng)部署在全球成千上萬(wàn)的園區(qū)網(wǎng)，本身是一個(gè)非常成熟的技術(shù)，實(shí)施風(fēng)險(xiǎn)和成本低；

3）包含完善的認(rèn)證和授權(quán)機(jī)制，能夠滿足企業(yè)用戶的大部分需求。

如果仔細(xì)揣摩這三點(diǎn)，你會(huì)發(fā)現(xiàn)802.1X同以太網(wǎng)非常相似–公開(kāi)、成熟、實(shí)用，這其實(shí)就是企業(yè)客戶的核心需求，企業(yè)的IT部門在做任何選擇時(shí)首先考慮的都是技術(shù)的可延續(xù)性以及成熟性，如果某項(xiàng)技術(shù)大家都在用，本身功能又實(shí)現(xiàn)得七七八八，這個(gè)方案就是最優(yōu)方案，華而不實(shí)的新鮮玩意反而難以得到企業(yè)用戶的垂青。#p#

三層認(rèn)證

說(shuō)了這么多，傳統(tǒng)的二層方案是個(gè)完美的方案了？如果放在五年前，也許是這樣，但隨著網(wǎng)絡(luò)的發(fā)展，接入環(huán)境越來(lái)越復(fù)雜，802.1X在某些方面漸漸顯得力不從心了。例如，某些企業(yè)需要為訪客提供無(wú)線網(wǎng)絡(luò)接入，但不可能每次有來(lái)訪人員時(shí)臨時(shí)在筆記本電腦上配置802.1X策略，這就需要一個(gè)快捷的辦法將沒(méi)有經(jīng)過(guò)認(rèn)證的第三方設(shè)備接到網(wǎng)絡(luò)中。

三層認(rèn)證就在這種背景下應(yīng)運(yùn)而生了。

三層認(rèn)證又被稱為WEB認(rèn)證，顧名思義，認(rèn)證過(guò)程是通過(guò)一個(gè)WEB頁(yè)面完成的。當(dāng)有新的設(shè)備需要接入時(shí)，網(wǎng)絡(luò)設(shè)備不會(huì)默認(rèn)屏蔽它，而僅僅為其提供一些基本數(shù)據(jù)的轉(zhuǎn)發(fā)能力，如DHCP、DNS等，客戶端可以通過(guò)DHCP拿到地址，但他還沒(méi)有辦法獲得完全的網(wǎng)絡(luò)權(quán)限，比如上個(gè)QQ啥的；此時(shí)，用戶需要發(fā)起一個(gè)HTTP請(qǐng)求(在瀏覽器中訪問(wèn)任意一個(gè)WEB頁(yè)面)，交換機(jī)或者無(wú)線控制器從中截取到用戶的這個(gè)HTTP請(qǐng)求，并將用戶重定向到一個(gè)預(yù)先寫好的認(rèn)證頁(yè)面上（這個(gè)頁(yè)面可以存放在任意一個(gè)IP可達(dá)的WEB服務(wù)器上），用戶在在這個(gè)頁(yè)面使用用戶名/密碼完成認(rèn)證，從而獲得全面的網(wǎng)絡(luò)訪問(wèn)權(quán)限。

同傳統(tǒng)的二層認(rèn)證比較，WEB最大區(qū)別就是去除了對(duì)客戶端的要求，用戶端設(shè)備無(wú)需進(jìn)行配置，只要有一個(gè)瀏覽器就OK了，而這個(gè)條件基本上所有的個(gè)人設(shè)備都能夠滿足。因此，近年來(lái)WEB認(rèn)證的發(fā)展非常快，特別是在無(wú)線、大型園區(qū)等環(huán)境中得到了大規(guī)模的部署，而主流網(wǎng)絡(luò)廠家也紛紛將WEB認(rèn)證作為無(wú)線控制器和接入交換機(jī)的一項(xiàng)默認(rèn)內(nèi)置功能。

三層認(rèn)證憑借其自身的特點(diǎn)獲得了市場(chǎng)的認(rèn)可，但在現(xiàn)階段畢竟還是一個(gè)補(bǔ)充方案，難以作為企業(yè)環(huán)境的主力認(rèn)證方式。首先，每次上網(wǎng)通過(guò)WEB頁(yè)面登錄的方式對(duì)大多數(shù)企業(yè)用戶來(lái)說(shuō)都“土”了一點(diǎn)兒，而且WEB認(rèn)證檢查的內(nèi)容也比較簡(jiǎn)單，大部分時(shí)候僅有用戶名和密碼，在高安全級(jí)別的環(huán)境中仍顯單薄。

客戶端方式

除了三層認(rèn)證和二層認(rèn)證，還有一種很有意思的思路，即通過(guò)客戶端對(duì)接入用戶進(jìn)行認(rèn)證。這里所說(shuō)的客戶端是指安裝在用戶設(shè)備的上的軟件，其表現(xiàn)形式五花八門，以殺毒軟件起家的廠商會(huì)做成殺軟的功能子集、以桌面控制立足的廠家會(huì)做成控制軟件的一部分、而傳統(tǒng)的網(wǎng)絡(luò)設(shè)備廠家則會(huì)將這部分功能集成到VPN\無(wú)線接入的用戶端軟件中。不管是什么路子，這類軟件一般只干兩件事情：1）從操作系統(tǒng)接手802.1X的認(rèn)證流程；2）對(duì)操作系統(tǒng)的健康狀況做檢查，如是否安裝了最新版補(bǔ)丁、殺毒軟件是否更新到最新病毒庫(kù)等等，若操作系統(tǒng)處于可靠的狀態(tài)則允許接入網(wǎng)絡(luò)，否則拒絕。

這種方式有一點(diǎn)像一個(gè)加強(qiáng)版的360軟件，它不但幫你檢查身體，還基于你的身體狀況決定你是否能獲得一張游泳證。由于健康狀態(tài)的檢查內(nèi)容包含了系統(tǒng)的補(bǔ)丁安裝、應(yīng)用軟件安裝、殺毒軟件更新等情況，因此，必須在客戶的設(shè)備上安裝一個(gè)系統(tǒng)權(quán)限非常高的客戶端軟件才能完成所有的檢查工作。

很明顯，客戶端方式完全是從企業(yè)IT部門的視角出發(fā)，對(duì)最終用戶采取更多的限制。通常，這種方式都會(huì)和廠家進(jìn)行緊密的綁定，通過(guò)在每臺(tái)終端設(shè)備上安裝客戶端，用戶的IT流程和安全規(guī)范也緊密地同廠家能夠提供的功能選項(xiàng)結(jié)合在一起。#p#

三種方式的對(duì)比表格

三.  延伸思考

用戶需要什么樣的方案？

企業(yè)網(wǎng)的準(zhǔn)入是一項(xiàng)非常特殊的技術(shù)，最終用戶的體驗(yàn)是決定一個(gè)項(xiàng)目成敗的關(guān)鍵。有的方案從技術(shù)上評(píng)估非常完美，但實(shí)施之后發(fā)現(xiàn)最終用戶根本接受不了，過(guò)多挑戰(zhàn)用戶的使用習(xí)慣，最終被行政層面廢掉。

有的客戶在被廠家忽悠過(guò)后決定在整個(gè)公司范圍內(nèi)推廣嚴(yán)格的網(wǎng)絡(luò)準(zhǔn)入控制，在所有PC終端上安裝安全客戶端軟件。結(jié)果，客戶端裝上后頻頻告警，因?yàn)椴簧偃嗽谧约旱碾娔X上安裝的下載軟件強(qiáng)行修改了系統(tǒng)的下載線程限制，還有的員工干脆卸載了原有殺毒軟件，自己重新安裝了互聯(lián)網(wǎng)上的免費(fèi)殺軟。這些被折騰過(guò)的電腦，在安全客戶端內(nèi)置的嚴(yán)格的策略規(guī)則前統(tǒng)統(tǒng)被亮了紅燈，上線測(cè)試第一周就有不少員工無(wú)法正常接入網(wǎng)絡(luò)。結(jié)果IT部門啥都顧不上，成天到各處救火，最后這個(gè)系統(tǒng)被大領(lǐng)導(dǎo)一句話下了馬。

即使是最通行的802.1X方式，也不一定適應(yīng)每個(gè)地方的水土。當(dāng)一臺(tái)配置了802.1X接入的PC機(jī)剛開(kāi)機(jī)時(shí)需要一定時(shí)間同網(wǎng)絡(luò)側(cè)交互認(rèn)證信息，如果用戶接受程度不高，很可能會(huì)認(rèn)為網(wǎng)絡(luò)接入效率低，從而投訴，給IT部門造成很大壓力。

因此，對(duì)于最用用戶來(lái)說(shuō)，最好的方案就是用戶體驗(yàn)最友好的方案，只有對(duì)原有使用流程影響最小的技術(shù)方案才能得到上下一致的支持，從而推動(dòng)最終的全面部署。另一方面，業(yè)務(wù)部門對(duì)準(zhǔn)入的支持也至關(guān)重要。

IT部門需要什么樣的方案

對(duì)于IT部門來(lái)說(shuō)，網(wǎng)絡(luò)準(zhǔn)入是一個(gè)非?；\統(tǒng)、模糊的概念，什么樣的用戶能夠接入網(wǎng)絡(luò)？什么樣的安全檢查才是足夠安全？同企業(yè)的其他安全策略該如何整合？這些問(wèn)題在業(yè)界都沒(méi)有統(tǒng)一的結(jié)論，而且安全防護(hù)是一場(chǎng)沒(méi)有終點(diǎn)的拉鋸戰(zhàn)，IT部門不可能無(wú)限制地投入資源去追求極致的安全級(jí)別。

準(zhǔn)入控制的實(shí)施過(guò)程是非常復(fù)雜的，是一個(gè)驚動(dòng)全局的工程，因此，IT部門在上馬準(zhǔn)入時(shí)無(wú)不希望是一個(gè)循序漸進(jìn)的過(guò)程，先從最基本的二層準(zhǔn)入或三層準(zhǔn)入開(kāi)始，逐漸推進(jìn)到設(shè)備健康狀態(tài)檢查等復(fù)雜的機(jī)制，這在準(zhǔn)入項(xiàng)目的實(shí)施過(guò)程中尤其重要。

其次，準(zhǔn)入控制的最終對(duì)象是企業(yè)內(nèi)部的人員，而大部分企業(yè)往往已經(jīng)具備了用戶數(shù)據(jù)庫(kù)，且用戶的合法性以此數(shù)據(jù)庫(kù)的實(shí)時(shí)數(shù)據(jù)為準(zhǔn)，比如供人力部門使用的微軟Active Directory。新的準(zhǔn)入系統(tǒng)要能夠方便地與原有數(shù)據(jù)庫(kù)集成，特別是將準(zhǔn)入系統(tǒng)內(nèi)復(fù)雜的策略直接綁定到已有的用戶帳號(hào)上。例如有的用戶希望對(duì)PC機(jī)的MAC地址進(jìn)行認(rèn)證，而在原有的Active Directory內(nèi)是沒(méi)有MAC地址這一個(gè)字段的，且這個(gè)數(shù)據(jù)庫(kù)的管理權(quán)不一定在IT部門手里，那么新添加的MAC地址信息如何同原有的用戶帳號(hào)綁定，并實(shí)現(xiàn)帳號(hào)信息的定期自動(dòng)更新就是一個(gè)挑戰(zhàn)。

最后，準(zhǔn)入控制系統(tǒng)一定要有一個(gè)清晰、簡(jiǎn)潔的管理流程和界面。

什么是完美的產(chǎn)品？

綜上所述，一個(gè)優(yōu)秀的準(zhǔn)入控制技術(shù)方案需要具備以下特點(diǎn)：

1）可延續(xù)性

所謂可延續(xù)性是指采用的技術(shù)方案要具有長(zhǎng)期的發(fā)展路線和支持力度，或者是被廣泛應(yīng)用的公開(kāi)標(biāo)準(zhǔn)，或者是強(qiáng)大廠商的主流產(chǎn)品。準(zhǔn)入機(jī)制一旦部署將延伸到網(wǎng)絡(luò)的各個(gè)角落，并同企業(yè)今后的安全策略緊密結(jié)合起來(lái)，如果基礎(chǔ)平臺(tái)不穩(wěn)定，后期變更將是遷一發(fā)動(dòng)全局的麻煩事；

2）可用性

準(zhǔn)入策略的順利實(shí)施一定是以最終用戶的接受為基礎(chǔ)，因此，準(zhǔn)入系統(tǒng)對(duì)最終用戶的使用流程不能有太大的影響，要提供一個(gè)足夠友好的用戶體驗(yàn)；

3）靈活性

準(zhǔn)入策略的內(nèi)涵非常廣泛，企業(yè)IT部門在實(shí)施時(shí)一定是一個(gè)逐漸完善的過(guò)程，為了應(yīng)對(duì)這種需求，準(zhǔn)入系統(tǒng)要具備一定靈活性，各個(gè)功能模塊的實(shí)現(xiàn)不能有沖突；

4）整合性

準(zhǔn)入系統(tǒng)要能夠方便地同主流的企業(yè)數(shù)據(jù)庫(kù)系統(tǒng)整合，并將安全策略綁定到相應(yīng)的用戶帳號(hào)之上，實(shí)現(xiàn)自動(dòng)化的用戶數(shù)據(jù)更新。

虛擬桌面的機(jī)會(huì)

網(wǎng)絡(luò)環(huán)境的變化，帶來(lái)的是訪問(wèn)方式的變化。一方面，網(wǎng)絡(luò)準(zhǔn)入技術(shù)開(kāi)始快速發(fā)展，另一方面，很多人開(kāi)始詢問(wèn)“是否一定需要在網(wǎng)絡(luò)邊界做這么嚴(yán)格的控制，還有沒(méi)有其他方法？”。

也許是有的。

虛擬桌面在企業(yè)內(nèi)部的應(yīng)用開(kāi)始逐漸鋪開(kāi)，員工對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)全部通過(guò)虛擬桌面完成，而硬件本身可能是一個(gè)簡(jiǎn)單的瘦客戶端，不具備復(fù)雜的功能。在企業(yè)網(wǎng)絡(luò)內(nèi)部對(duì)虛擬桌面流量設(shè)置高優(yōu)先級(jí)QoS策略，對(duì)其余流量以及網(wǎng)絡(luò)接入采取從簡(jiǎn)的思路，在未來(lái)，這并非不會(huì)是一種解決方案。

總之，隨著云計(jì)算、智能手機(jī)、WiFi等新應(yīng)用的快速發(fā)展，傳統(tǒng)的企業(yè)網(wǎng)絡(luò)不得不開(kāi)始主動(dòng)變化，這種變化將如何發(fā)生，往哪里去，得出怎樣的結(jié)果，現(xiàn)在都還不明晰，但有一點(diǎn)是明確的，那就是有意企業(yè)數(shù)據(jù)網(wǎng)絡(luò)和安全的廠家現(xiàn)在就必須開(kāi)始重視這股潮流，未雨綢繆，才能從容應(yīng)對(duì)未來(lái)的新一代企業(yè)網(wǎng)絡(luò)的發(fā)展。

【編輯推薦】

1. 網(wǎng)絡(luò)和存儲(chǔ)協(xié)議的選擇
2. 上海電信建成全市最大的無(wú)線寬帶接入網(wǎng)絡(luò)
3. 2012網(wǎng)絡(luò)技術(shù)趨勢(shì)：WLAN的自帶設(shè)備
4. 誰(shuí)來(lái)緩解春運(yùn)網(wǎng)絡(luò)購(gòu)票“不能承受之輕”
5. 軟件定義網(wǎng)絡(luò)架構(gòu)的應(yīng)用層