二�����、終端智能識別
一個網(wǎng)絡(luò)完整地實施開放的BYOD����,以下幾個功能必不可少:
注冊:自帶設(shè)備的首次連接和自注冊��;
識別:自帶設(shè)備的識別�����;
認證:能夠針對不同用戶�����、設(shè)備類型采用不同的認證方式�;
授權(quán):基于用戶、設(shè)備類型�����、接入時間�、接入地點、設(shè)備環(huán)境的授權(quán)�;
監(jiān)控:網(wǎng)絡(luò)中所有自帶設(shè)備的狀態(tài)、接入時長等要素的實時監(jiān)控���。
其中�����,對自帶設(shè)備的類型識別�����,是BYOD方案中實施差異化認證方式和授權(quán)的基礎(chǔ)�,也是BYOD方案實施的關(guān)鍵�����。
目前����,終端類型多種多樣��,包括便攜式電腦����、筆記型電腦����、掌上電腦、智能手機�、電子閱讀器、IP電子相機等等����,企業(yè)可以有選擇地允許其中部分類型甚至是一些品牌的設(shè)備進入企業(yè)網(wǎng)絡(luò)。
通過識別終端的設(shè)備類型�����,企業(yè)可以為不同的設(shè)備推送不同的終端軟件�����,設(shè)置不同的認證方式���,或者在Web認證方式下推送適合某種終端類型的頁面��,也可以限制其訪問網(wǎng)絡(luò)中的敏感數(shù)據(jù)�����,或者限制的應(yīng)用類型等等��。
對終端類型的識別���,目前主要通過MAC地址的OUI、DHCP的選項�����、Web訪問請求中的User-agent字段等信息中提取特征字段來進行�。一般采取專門的設(shè)備或軟件系統(tǒng),從而方便整個網(wǎng)絡(luò)實施一致的識別措施���,根據(jù)終端類型采取相應(yīng)的安全策略����,也允許管理員能夠根據(jù)終端的不斷發(fā)展,制定新的終端類型識別方法���。H3C是通過iMC軟件系統(tǒng)�,思科是通過ISE(Identity Services Engine)系統(tǒng)來實現(xiàn)�����。通常���,這種專門設(shè)備或軟件系統(tǒng)還集成了認證功能���,從而為整個網(wǎng)絡(luò)提供集中、統(tǒng)一的認證和授權(quán)���。同時�����,由于網(wǎng)絡(luò)流量的復(fù)雜性�,對終端指紋信息的獲取��,需要在網(wǎng)絡(luò)邊緣的接入層設(shè)備上實施����。因此,這種專門的設(shè)備或軟件系統(tǒng)往往需要與接入層設(shè)備進行配合����,由邊緣的接入層設(shè)備根據(jù)專門識別設(shè)備的控制指令,提取并反饋接入到網(wǎng)絡(luò)中的終端設(shè)備指紋信息���,從而完成整個網(wǎng)絡(luò)對終端設(shè)備的類型識別�。圖1是H3C iMC系統(tǒng)中已定義的智能終端識別模板�����。
三��、應(yīng)用識別
智能終端的發(fā)展催生了其上的應(yīng)用層出不窮�����。企業(yè)不僅需要能夠控制用戶所訪問的目的網(wǎng)絡(luò)���,還需要進一步限制終端所能使用的應(yīng)用類型��。例如��,企業(yè)要求員工如果使用自帶的iPad��,則僅能訪問Internet�����。主要應(yīng)用類型包括:
簡單文本或超文本消息
因特網(wǎng)瀏覽
即時消息
Email
語音呼叫
視頻播放
在線游戲
語音視頻
各種專門的網(wǎng)絡(luò)工具
傳統(tǒng)網(wǎng)絡(luò)利用ACL五元組來實現(xiàn)對接入用戶訪問范圍的授權(quán)����。然而,要實現(xiàn)基于應(yīng)用的授權(quán)����,ACL這種方式在一些情況下不能更為細致的區(qū)分各種應(yīng)用,也不能跟蹤動態(tài)產(chǎn)生的連接���。例如��,F(xiàn)TP服務(wù)中數(shù)據(jù)通道的端口是由服務(wù)器動態(tài)分配的�;H.323中的RTP數(shù)據(jù)通道是雙方動態(tài)協(xié)商的����。對于這些應(yīng)用,必須跟蹤整個會話過程��,才能跟蹤其動態(tài)產(chǎn)生的數(shù)據(jù)通道,采取相應(yīng)的策略��。
BYOD方案中對應(yīng)用的識別也不同于一般的狀態(tài)防火墻��,它需要配合授權(quán)產(chǎn)生效果����。正如前文所寫�����,BYOD授權(quán)需要基于用戶���、設(shè)備類型�、接入時間��、接入地點�、設(shè)備環(huán)境等因素。因此��,應(yīng)用識別也需要針對用戶�、設(shè)備類型來進行,即需要跟蹤每個用戶在每個設(shè)備上各種會話狀態(tài)����。目前�,H3C�����、Aruba都提供了基于用戶的狀態(tài)防火墻���,能夠識別每個用戶在每個設(shè)備上各種會話狀態(tài)�。
應(yīng)用識別后采取的策略可以是允許或限制其數(shù)據(jù)流����,也可以是限制該應(yīng)用的網(wǎng)絡(luò)帶寬,或是修改該應(yīng)用的QoS流標識��,使之滿足在整個網(wǎng)絡(luò)的QoS策略�。例如,部分員工需要優(yōu)先保障VoIP服務(wù)�����,而另一部分員工則需要優(yōu)先使用RFID定位服務(wù)�����,那么可以將這兩種用戶的這些應(yīng)用識別出來,檢查并修改這些業(yè)務(wù)流的802.1p�、DSCP、WMM(Wi-Fi MultiMedia)優(yōu)先級���,使之符合整個網(wǎng)絡(luò)的QoS策略��,并形成端到端的部署��。圖2顯示對Voice應(yīng)用的識別并調(diào)整其QoS策略的過程。
應(yīng)用識別后采取的策略也包括日志記錄�。企業(yè)在實施BYOD帶來效益提高的同時,也需要將網(wǎng)絡(luò)行為更加詳細地進行記錄�����,以滿足網(wǎng)絡(luò)安全和審查需要���。既能夠針對每用戶�����、每設(shè)備的應(yīng)用識別和跟蹤記錄��,也可以監(jiān)控某些關(guān)鍵業(yè)務(wù)的性能��。例如����,對VoIP業(yè)務(wù),需要監(jiān)控其流量大小�����、呼叫時長��、異常失敗等情況使整個網(wǎng)絡(luò)更為可見���。
四����、結(jié)束語
隨著智能終端的發(fā)展��,BYOD成為不可阻擋的趨勢�,企業(yè)網(wǎng)絡(luò)必須適時應(yīng)變,考慮如何融合BYOD����。在融合BYOD的過程中,傳統(tǒng)網(wǎng)絡(luò)中基于用戶角色的認證和授權(quán)已經(jīng)不能滿足網(wǎng)絡(luò)安全的需要��,需要實現(xiàn)基于用戶、設(shè)備類型�、接入時間、接入地點����、設(shè)備環(huán)境的認證和授權(quán)�����,從而使得設(shè)備類型識別成為網(wǎng)絡(luò)必不可少的功能部件之一�����。同樣�����,對每用戶�、每設(shè)備的應(yīng)用識別����,讓每個用戶的網(wǎng)絡(luò)活動處于被授權(quán)、記錄之下��,是BYOD方案更為詳盡的安全需求,也是實施更為細致的QoS策略�,更詳盡地監(jiān)控網(wǎng)絡(luò)性能的需要。以BYOD為契機����,推動網(wǎng)絡(luò)業(yè)務(wù)更為豐富化,更詳細的應(yīng)用識別或環(huán)境識別將成為企業(yè)網(wǎng)絡(luò)的下一步需求�。
果.jpg)
