https://gooxion.com/technicalBlog/tags/%E7%BB%88%E7%AB%AF%E5%87%86%E5%85%A5/ Recent content in 终端准入 on 技术快讯 Hugo zh Sat, 09 May 2026 13:00:00 +0800 https://gooxion.com/technicalBlog/posts/shebeisaommiaofa/ Sat, 09 May 2026 13:00:00 +0800 https://gooxion.com/technicalBlog/posts/shebeisaommiaofa/ <h2 id="一引言">一、引言</h2> <p>在零信任架构逐步落地的今天，&ldquo;看不见&quot;的终端已成为企业网络安全最大的盲区。据Gartner统计，超过30%的数据泄露事件源于未被纳入管理的&quot;影子设备&rdquo;——那些私自接入网络却未被IT部门识别的终端。终端准入控制（Network Access Control, NAC）的第一道防线，正是对网络中所有设备的精准发现与识别。固信终端准入系统的设备扫描发现功能，以主动扫描与被动网络数据协议分析双技术并行为核心，实现了大规模网络环境下的高效设备发现与服务识别，为后续准入策略的下发奠定了坚实的数据基础。</p> <hr> <h2 id="二双引擎架构主动探测与被动感知的协同设计">二、双引擎架构：主动探测与被动感知的协同设计</h2> <p>固信终端准入系统的设备发现机制采用&quot;主动+被动&quot;双引擎架构，两种技术路线互为补充、交叉验证，构建了覆盖全网、无盲区、低扰动的设备感知能力。</p> <p>主动扫描引擎基于网络层协议栈进行定向探测。系统通过向目标网段发送ICMP Echo Request、ARP Probe、TCP SYN等探测报文，依据响应时延、TTL特征、端口开放状态等指纹信息，快速勾勒网络设备的在线状态与基础网络属性。主动扫描的优势在于发现效率高、可控性强，能够在短时间内完成全网设备的&quot;人口普查&quot;。固信系统针对此进行了深度优化：通过自适应并发控制算法动态调整探测频率，避免对网络带宽及目标设备造成过大负载；同时引入随机化扫描时序与报文间隔，规避传统扫描行为易被入侵检测系统（IDS）标记为异常流量的风险。</p> <p>被动网络数据协议分析引擎则在网络关键节点（如核心交换机镜像端口、网络TAP分光器）进行流量旁路监听，深度解析DHCP、DNS、mDNS、LLMNR、NetBIOS、SSDP等网络层与应用层协议报文。被动感知的价值在于&quot;无感&quot;——不向目标设备发送任何探测流量，仅通过设备主动发出的广播/组播报文或正常通信流量中的协议指纹，即可提取设备主机名、操作系统类型、MAC地址、IP地址、所属域等关键身份信息。对于拒绝响应主动探测的&quot;隐身&quot;设备（如配置防火墙丢弃ICMP的终端），被动分析成为不可或缺的发现手段。</p> <p>双引擎的数据在后台进行关联融合：主动扫描发现的IP在线列表与被动分析提取的设备身份指纹交叉比对，生成统一的设备资产台账，既保证了发现的完整性，又通过多源验证提升了设备身份识别的准确性。</p> <hr> <h2 id="三万级规模扫描性能时间复杂度与资源占用的工程突破">三、万级规模扫描性能：时间复杂度与资源占用的工程突破</h2> <p>企业网络规模的扩张对NAC系统的扫描性能提出了严苛挑战。固信终端准入系统通过三项关键技术，实现了10000台设备扫描时间不超过15分钟的性能指标。</p> <p>第一，分布式扫描节点架构。 在大型网络中部署多个轻量级扫描代理（Scan Agent），各代理负责就近网段的探测任务，扫描结果实时汇聚至中央管理平台。该设计将O(n)级别的单点扫描负载拆解为多个O(n/m)的并行任务（m为代理节点数），从根本上突破了单节点性能瓶颈。</p> <p>第二，智能扫描队列调度。 系统内置基于网络拓扑感知的优先级队列算法，优先扫描历史活跃IP段、DHCP租约池、VLAN网关等高密度设备区域，对长期离线或已标记为哑终端的IP段采用低频轮询策略，避免无效探测消耗计算资源。</p> <p>第三，协议级快速握手优化。 针对TCP SYN探测，系统采用TCP Fast Open与TCP SYN Cookie技术减少半开连接的资源占用；针对SNMP、WMI等管理协议探测，通过预置社区字符串字典与凭据缓存机制，缩短认证协商时间。经实测，在千兆网络环境下，单扫描节点对C类网段（254个IP）的完整探测耗时可控制在8秒以内。</p> <hr> <h2 id="四多维度网络服务识别从设备发现到风险评估的能力跃迁">四、多维度网络服务识别：从设备发现到风险评估的能力跃迁</h2> <p>发现设备仅是第一步，识别设备所承载的网络服务（Service）是评估其安全风险、匹配准入策略的关键。固信系统支持50种以上常见网络服务的自动识别，涵盖HTTP/HTTPS、SSH、RDP、SMB、FTP、Telnet、SMTP、POP3、IMAP、DNS、LDAP、NTP、SNMP、MySQL、PostgreSQL、Redis、MongoDB、Elasticsearch、Docker API、Kubernetes API等。</p> <p>服务识别的技术实现基于多层指纹匹配机制：</p> <p>端口-协议关联层：通过探测目标端口的开放状态，结合IANA标准端口映射表进行初筛。 应用层Banner抓取层：对开放端口进行应用层握手，抓取服务返回的Banner信息（如SSH版本号、Web Server类型、数据库版本字符串），与内置指纹库进行正则匹配。</p> <p>协议行为特征层：针对加密或模糊Banner的服务，通过分析协议握手序列的时序特征、报文长度分布、TLS指纹（JA3/JA3S）等行为特征，推断服务类型与版本。</p> <p>识别结果直接关联风险评分模型：例如，发现内网中存在开放的Telnet服务或存在已知CVE漏洞的旧版本Redis实例，系统将自动标记该设备为高风险，并在准入策略中触发隔离或修复流程，实现&quot;发现即评估、评估即管控&quot;的闭环。</p> <hr> <h2 id="五工程实践中的部署考量">五、工程实践中的部署考量</h2> <p>在实际部署中，建议将主动扫描引擎部署于网络管理VLAN，通过ACL限制其仅能与目标网段进行协议级交互；被动分析引擎则需确保镜像端口覆盖东西向与南北向关键流量路径。对于工控网络或医疗影像网络等对流量敏感性极高的场景，可关闭主动扫描，仅启用被动分析模式，以绝对零扰动完成设备发现。</p> <hr> <h2 id="六结语">六、结语</h2> <p>终端准入控制的本质，是对网络边界的精细化治理。固信终端准入系统以主动扫描与被动协议分析双引擎为技术底座，以万级规模分钟级发现的性能突破为支撑，以50余种服务识别的深度感知为延伸，将&quot;看不见&quot;的网络资产转化为&quot;可度量、可评估、可管控&quot;的数字实体。在零信任&quot;永不信任、持续验证&quot;的理念下，这种全量、实时、无盲区的设备发现能力，正是企业构建现代终端安全体系不可或缺的基础设施。</p> <hr>