在CERNET走过的12年中，很多高校具有了超过10年的校园网管理经验。从管理和技术两个维度推进网络安全工作的同时，学校网管更关注如何通过技术手段，实现主动式网络安全管理。毕竟，“未雨绸缪”比“亡羊补牢”更令人踏实。

　　准入控制是传统访问控制理论发展到一定阶段的必然结果。传统的访问控制技术曾在网络环境中成功实施，然而，随着互联网技术的发展，传统上对单台主机的威胁已经发展为对网络基础设施的攻击，原有的访问管理控制技术无法适应这种网络安全特点的新变化，在这种情况下，准入控制技术顺势而生。

　　准入控制原理

　　准入控制的核心概念是从网络接入端点的安全控制入手，结合认证服务器，安全策略服务器和网络设备，以及第三方软件系统（病毒和系统补丁服务器），完成对接入终端用户的强制认证和安全策略应用，从而保障网络安全。准入控制系统的设计有两个基本的理论前提：第一，网络安全状态的非稳定性。安全状态属于非稳定状态，意味着系统会随着时间迁移、变迁到非安全状态。因而，及时做好系统更新，将系统状态重新调整回安全状态，能够有效减少受攻击的可能；第二，网络安全状态的可控性。在校园网环境中收集的网络及用户主机的状态信息越多，越能够准确地判断出网络所面临的风险，并及时给出应对措施，控制网络安全状态。

　　准入控制系统设计原则包括以下三个方面。

　　1.接入限制。要求用户主机在享受网络服务前达到一定的安全要求，尽量避免单个用户的网络安全隐患对整个网络构成威胁。

　　2.主动控制。主动侦测用户和系统的网络安全状态，发现非安全状态时，触发控制反馈来调整用户和系统状态，从而保障整个网络的安全运行。

　　3.动态调整。通过对整个校园网网络设备的安全状态分析，应用一定的策略，动态智能地为其他安全设备调整规则提供依据。

　　网络的安全威胁很大程度上来源于使用者本身。传统的校园网安全措施无法识别用户接入时用户主机的状态，所以，整个校园网的安全状态是不明晰的。

　　准入控制系统将自动更新、安全状态审核、准入控制等思想集中在一起，为整个校园网安全管理和安全审核应用提供了可扩展平台，实现了基于网络准入控制的校园网安全防御体系。

　　清华大学准入控制系统旨在提供一个基础框架，为在校园网环境中实现基于准入控制模式的各种各样的安全应用扩展提供支持。系统的核心组成部分包括信任代理（安全客户端Client）、认证服务器（AAA Server）、策略服务器（Policy Server）、控制反馈机制（Control）以及其他安全服务服务器（比如应用补丁更新及安全公告分发服务器）。

　　该系统是对传统访问控制矩阵的改进，它使用多因素授权判决，并能够动态反馈。同时，考虑到授权的连续性问题，允许访问的决策不仅在访问之前，也在访问的过程中及之后进行。

　　1.首先，用户启动信任代理（安全客户端），客户端会依据本地当前安全策略检查本地安全状态（其中包含了所有指定的服务信任代理收集的状态，如补丁更新、病毒库等）、收集信息并编码安全状态信息，封装在802.1x_EAPOL协议报文中，向接入设备NAS发送EAPOL报文，开始802.1x认证过程。

　　2.接入设备NAS收到请求后，进行Radius协议封装，转发用户认证信息到认证服务器。

　　3.认证策略服务器收到用户接入请求信息后，首先对报文中的信息进行分离。对于用户身份认证信息（用户名、口令）进行传统的身份认证。对于用户安全状态信息，进行安全准入控制策略认证，如表1所示。

　　4.策略认证服务器综合两种认证产生的结果，生成认证结果，并触发相应的控制反馈机制。

　　5.接入设备转发认证结果，通知安全客户端。

　　6.客户端得知用户被划入隔离VLAN之后会自动（也可由用户手动）的与相应的安全服务器进行同步，如下载需要的安全补丁、更新反病毒软件病毒库等等，使有安全隐患的用户能够解决自身的安全问题，达到系统要求的安全状态。

　　7. 用户在更新完毕后，通知策略认证服务器，申请重新认证。

　　8. 策略认证服务器触发控制反馈机制，将申请用户端口初始化为802．1x端口，并划归初始默认VLAN。

　　9. 重复步骤1，发起认证。

　　10. 重复步骤2，进行身份认证和策略认证。

　　11. 认证成功，系统打开1x端口，允许用户接入，提供正常的网络服务。

　　12. 用户接入安全VLAN，系统保证VLAN内的所有用户都达到系统设置的安全要求。

　　另外，对于已接入用户，如果发生安全状态变迁，变为非安全状态，系统会依据策略触发控制反馈机制将用户连接断开，并重复步骤4。

　　准入控制发展方向

　　准入控制发展很快，并且各种方案呈整合趋势。一方面，各主要厂商在突出自己方案的同时，加大了相互之间的合作力度。例如，思科和微软都承诺支持对方的准入控制计划，并开放自己的API；另一方面，准入控制标准化的努力也在加快步伐。不管是基于802.1x，还是DHCP、网关的方案，都需要标准化工作支持互操作的要求。

　　可信计算组织TCG（Trusted Computing Group）在2004年5月成立了可信网络连接TNC（Trusted Network Connect）分组，TNC计划为端点准入强制策略开发一个对所有开发商开放的架构规范，从而保证各个开发商端点准入产品的可互操作性。TNC的成立促进了标准化的发展，许多重要的网络和安全公司如Foundry、Sygate、Juniper、Trend Micro、Symantec和Zone Labs等都参加了TNC。TNC希望通过构建框架和规范保证互操作性，这些规范将利用现有的工业标准，并在需要的时候开发新的标准和协议，包括端点的安全构建、端点主机和网络设备以及网络设备之间的软件接口和通信协议。

（本文选自：《中国教育网络》）