网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　2008年4月可信计算联盟(TCG)的TNC工作组在interop 2008大会上公布了其最新的可信网络连接协议IF-MAP(Interface for Metadata Access Point)，并宣布其可信网络连接架构从TNC1.2升级到TNC1.3。业内对这个TNC工作组耗费18个月才正式公布的协议给予了高度关注和充分的肯定，认为它将可信网络连接的架构推向了一个新的高度。IF-MAP协议定义了传统的网络安全设备(如防火墙、IDS、流量控制等)与可信网络连接组件之间信息交互与共享的平台，在网络安全状态和安全策略层面实现了信息共享;它实现了网络终端安全状态的多点、分布式检查与监控，网络安全策略的动态调整和统一执行;标志着多个厂商的网络安全设施通过开放的标准协议进行有机整合，进而形成结构化的安全防御体系成为可能。下面对IF-MAP协议在TNC架构中的作用、应用模式和发展现状进行简要描述。

　　2.IF-MAP协议与TNC架构

　　在TNC1.2架构中，主要定义了网络终端设备接入时的准入控制框架、接口和相关协议，实现了在框架协议下不同厂商的准入控制组件和设备能够协同工作，共同完成终端设备的平台完整性认证、安全状态评估、安全策略的制定和执行、不合规端点的隔离与矫正，从而保证整个网络环境的安全可信。其架构如下：

　　图1 TNC 1.2架构示意

　　框架中定义了3种实体(entity)、3个层次(layer)、7个组件(components)，其中3个实体分别为：

　　l 接入请求者(Access Requester-AR)：指运行于接入端点设备上的各种安全组件，用于完成端点设备各种安全状态信息的收集和提交接入认证请求;

　　l 策略执行者(Policy Enforcement Point-PEP)：指完成端点设备接入网络的各种接入设备，包括802.1x的交换机、防火墙、VPN网关等，主要完成接受端点接入请求信息，转发端点安全状态信息给后台策略服务器，并执行策略服务器下发的安全接入策略;

　　l 策略决策者(Policy Decision Point-PDP)：指安全策略服务器，主要完成根据接入请求设备提交的安全状态信息执行平台完整性认证，并根据策略对其进行授权;

　　在TNC1.2的体系结构中整合了端点安全系统、网络接入设备、AAA平台和策略管理平台，初步形成结构化的防御体系。但是，在这个架构中没有整合网络中的安全检测设备(如IDS)和安全控制设备(如内网防火墙、流控)，这使得传统的网络安全防护手段与可信网络连接系统之间无法进行信息交互和共享，形成两种安全防御体系各自为战的局面。正是为了解决这个问题，TNC工作组开发了IF-MAP协议，并升级了TNC架构，如下图所示：

　　图2 TNC 1.3架构示意

　　在TNC1.3框架中，增加了两个实体：

　　l 元数据存取点(Metadata Access Point-MAP)：指独立的元数据服务器，用于统一集中存储网络终端的各种安全状态信息、策略信息，构成网络中安全信息的交换平台;

　　l 网络行为控制和监控点(Flow Controllers Sensors， etc.)：指网络中部署的其他各种安全设备(比如IDS、防火墙、流量控制等)，完成向MAP实时提交端点设备的动态安全信息，并根据MAP中的安全策略信息动态调整对网络访问行为的控制策略。

　　在新的架构中，TNC1.2中的缺点被很好的弥补了，通过IF-MAP协议和MAP服务器在传统网络安全设备与TNC组件之间建立起了信息沟通桥梁和信息共享的平台，系统防御的整体性得到突出，防护效果倍增。下面通过一个实际应用场景分析来简要描述IF-MAP协议是如何完成这个功能。

　　 3.IF-MAP协议的应用场景

　　假设如下的网络环境：

　　图3 IF-MAP协议应用环境

　　1) 用户john通过一台终端(device-x)登录到内部网络

　　l John通过TNC客户端向PEP设备(一台802.1x的交换机)请求接入，并提交device-x的完整性信息(ip地址、mac地址、操作系统版本、防病毒软件版本等等);

　　l PEP向PDP(一台RADIUS服务器)转发客户端信息，PDP通过了用户身份和平台完整性验证，并以finance manager的角色给john授权，通知PEP可以接入;

　　l PDP通过IF-MAP协议向MAP服务器发布device-x的状态信息、用户信息和授权信息;

　　2) John需要访问内部的finance server