工业互联网终端准入控制技术（二）

2.1.3 应用场景

【背景介绍】

（1）工控现场用户对于网络的改动比较反感，希望尽可能不对网络进行改动，不影响正常业务网络流向，不改变网络节点跳数；

（2）核心或汇聚交换机为管理型交换机，支持端口镜像功能；

（3）现场主要业务数据传输基于TCP。

【解决方案】

利用SPAN准入控制技术，通过交换机的端口镜像功能，将需控制的终端接入接口或关键业务接口流量进行镜像，并由网络准入控制系统实现入网管控，由于SPAN准入控制技术采用全旁路模式，因此无网络瓶颈，无网络故障风险。

2.2

DHCP准入控制技术

2.2.1 技术概述

DHCP(Dynamic Host Configuration Protocol)，即动态主机配置协议。IP地址是网络通信的前提，对于通过DHCP自动分配地址的网络环境中，若某一终端未获取IP地址，那么将无法实现网络通信，进而无法形成入网威胁，DHCP准入控制技术正是依托于终端及哑终端通信IP的自动分配，从而实现对入网终端的控制。

在DHCP准入控制技术中，网络准入控制系统充当DHCP服务器的角色，在终端初次入网时，网络准入控制系统分配给入网终端一个临时的IP地址和路由，使得该终端只能访问隔离网络区域，当终端下载agent并通过安全检查之后，会重新获取到一个正式的业务IP，此时才可以正常访问业务网络。

2.2.2 入网流程

图2 DHCP准入控制技术用户入网流程

①入网终端采用动态地址方式接入网络时，向网络中广播DHCP Discover报文来寻找DHCP服务器，并申请IP地址；

②交换机收到DHCP Discover报文后，通过DHCP中继将该报文发送给作为DHCP服务器角色的网络准入控制系统；

③网络准入控制系统收到交换机转发的DHCP Discover报文后，会向入网终端下发一个临时的IP地址，该地址仅能与网络准入控制系统进行交互；

④入网终端获取到临时IP地址后，通过安装客户端或网页认证的方式与网络准入控制系统进行身份验证和安全基线核验；

⑤当网络准入控制系统确定入网终端的合法身份后，重新向入网终端下发一个正式业务IP地址；

⑥此时，用户通过业务IP地址与业务区域进行网络通信，正常开展业务。

DHCP准入控制技术的优点是兼容老旧交换机，仅需对网络交换机配置DHCP中继即可。缺点是对于终端私设静态IP的情况无法完成阻断，并且终端分配到正常子网后，再次发送 request 之前，是无法对终端再施加控制，所以需采用客户端的验证方式才能让终端再次受控。

2.2.3 应用场景

【背景介绍】

（1）工控现场用户主要依赖DHCP实现终端地址分配，大部分用户技术水平薄弱，不了解静态地址的配置方式，无法轻易自行配置地址（适用于无线接入场景）；

（2）客户允许将现有的DHCP服务器取缔，由网络准入控制系统来实现DHCP服务器的功能。

【解决方案】

利用DHCP准入控制技术，以网络准入控制系统取代现有的DHCP服务器，在交换机配置DHCP中继，利用IP地址的动态分配实现对终端入网的管控。

2.3

ARP准入控制技术

2.3.1 技术概述

ARP(Address Resolution Protocol)，即地址解析协议ARP准入控制技术，该技术是利用ARP欺骗和ARP攻击手段对未授权终端发起ARP攻击，从而实现对未授权终端的阻断。

在ARP准入控制技术的应用场景下，核心交换机仅需增加一条到网络准入控制系统的Trunk链路，并透传所有需管控的VLAN。当出现未授权终端入网并尝试与其他终端通信时，网络准入控制系统同时向未授权终端与目标通讯终端同时发送ARP欺骗报文，干扰未授权终端与目标通讯终端获取对方真实ARP信息，在阻断未授权入网的同时，诱导未授权终端访问网络准入控制系统的入网注册页面，当入网终端完成入网验证后，网络准入控制系统停止ARP攻击，恢复终端入网。

2.3.2 入网流程

图3 ARP准入控制技术用户入网流程

①用户终端入网后，会发送ARP广播报文来获取网关或目标通讯终端的MAC地址，以实现网络通信，网络准入控制系统在收到入网终端发送的ARP广播报文后，即感知到未授权终端的存在；

②网络准入控制系统向未授权终端访问的目标终端发送包含未授权终端IP地址和网络准入控制系统MAC地址的ARP报文，使得目标终端获取到关于未授权终端的错误ARP信息；

③网络准入控制系统向未授权终端发送包含网络准入控制系统MAC地址及目标终端IP地址的ARP报文，从而阻止未授权终端与目标终端的网络连接，并将未授权终端重定向至网络准入控制系统，推送终端注册页面；

④用户完成终端注册后，由管理员进行审批；

⑤审批完成后，网络准入控制系统停止对未授权终端以及目标终端的ARP欺骗，至此通信双方可以正确获取到对方的ARP信息，用户即可正常完成业务访问。

ARP准入控制技术的优势在于其兼容性极佳，无需对用户网络进行任何改动。但ARP欺骗和ARP攻击对装有ARP防火墙的终端没有作用。另外，由于ARP列表会定期刷新，因此网络准入控制系统会以5-10秒的频率持续向网段内广播ARP欺骗报文，以保持对终端阻断效果，因此会影响网络性能，造成网络拥塞，所以不适用于大型网络。

2.3.3 应用场景

【背景介绍】

（1）工控网络规模较小，终端数量少，为二层网络环境；

（2）网络中未配置ARP攻击防护策略；

（3）用户能容忍网络波动，不苛求网络质量。

【解决方案】

采用ARP准入控制技术，仅对交换机配置Trunk接口连接至网络准入控制系统，并对每个受控VLAN预留一个管理IP，其余无需任何网络改动即可完成基本的网络准入功能。

3、准入控制技术对比

在此，对于PBR、MVG、802.1x、SPAN、DHCP、ARP六种准入技术进行对比。

表1 准入控制技术对比表

4、威努特网络准入控制系统

威努特网络准入控制系统，是在总结了大量的内网安全案例以及用户需求的基础上，秉承“无需改变网络、终端部署灵活”的特性，研制的新一代入网规范管理系统，改变了业界传统的将网络准入系统作为一个单独功能产品的做法，率先提出准入平台的概念。广泛结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等资产，践行“入网-在网-出网”的整体化流程。达到“违规不入网、入网必合规”的管理规范。

图4 威努特网络准入控制系统管理维度

系统主要从终端、网络、人员、管理4个维度，对网络使用、网络安全、网络管理中的各种元素进行全面的管控。

⟡ 对网络中的终端进行授权管理，及时发现伪造或非法终端，同时确保终端符合安全要求，并持续进行监视和管控；

⟡ 基于网络层面对接入网络的各种设备进行设备定位透视、网络拓扑结构透视，实现网络结构的可视化；

⟡ 提供各种灵活的人员认证机制，对不同人员采用不同级别和强度的认证，并且进行权限管理和审计追溯；

⟡ 结合私接检测、违规外联探测和运行报表，为管理员持续进行网络健康状况管理和检测提供了高效的手段。

终端准入

随着网络规模的扩大，如何对海量的入网终端进行规范性检查也是令管理员日常头疼的一件事，即使入网终端按照流程进行入网连接，但终端自身存在脆弱性，也极易被黑客利用，入侵后作为跳板机对网络中其他终端造成威胁。

威努特网络准入控制系统具备终端规范性检查的功能，可按照管理员设置的用户入网要求，对不符合终端安全基线要求的入网终端加以阻断，并实现基线、补丁的自动修复。

图5 硬件变动审计

网络可视

在大型网络中，问题终端的定位对运维人员提出了挑战，但威努特网络准入控制系统具备资产可视化管理功能，在资产管理方面同时结合了CMDB数据库、资产雷达、IP管理平台等多类资产管理系统的功能，实现资产的可视化管理。

图6 IP地址管理

人员管控

图7 来宾入网认证

运维管理

员工违规外联、私接路由等行为可使黑客轻易绕过戒备森严的网络边界防护壁垒，其威胁远超外部网络入侵。

威努特网络准入控制系统可对私接路由、违规外联等行为进行检测、记录与告警，同时结合自身资产管控优势定位异常终端，帮助管理员提高网络的边界管控能力。

图8 边界网络设备管控

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

稿件合作 微信:shushu12121返回搜狐，查看更多