收藏
下载资源

端口安全技术介绍

上传人:kms****20 文档编号:45731057 上传时间:2018-06-18 格式:PDF 页数:6 大小:147.42KB
返回 下载 相关 举报
端口安全技术介绍_第1页
第1页 / 共6页
端口安全技术介绍_第2页
第2页 / 共6页
端口安全技术介绍_第3页
第3页 / 共6页
端口安全技术介绍_第4页
第4页 / 共6页
端口安全技术介绍_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《端口安全技术介绍》由会员分享,可在线阅读,更多相关《端口安全技术介绍(6页珍藏版)》请在金锄头文库上搜索。

1、技术介绍 安全和 VPN 业务 目 录i 目 录 端口安全.1 端口安全简介 . 1 概述 . 1 端口安全的特性. 1 端口安全模式. 1 端口安全对WLAN的支持. 3 端口安全对Guest VLAN和Auth-Fail VLAN的支持. 5 技术介绍 安全和 VPN 业务 端口安全1 端口安全端口安全 端口安全简介 概述 端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的802.1X 认证和 MAC 地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC 地址来控制非授权设备对网络的访问, 通过检测从端口发出的数据帧中的目的MAC 地址来控制对非授权设备的访问

2、。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指: ? 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; ? 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源MAC 地址为未知 MAC 的报文; ? 未通过认证的用户发送的报文。 端口安全的特性 1. NeedToKnow 特性 NeedToKnow 特性通过检测从端口发出的数据帧的目的

3、MAC 地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。 2. 入侵检测(IntrusionProtection)特性 入侵检测特性指通过检测从端口收到的数据帧的源 MAC 地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或 MAC 地址被过滤(默认 3 分钟,不可配),以保证端口的安全性。 3. Trap 特性 Trap 特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送 Trap 信息,便于网络管理员对这些特殊的行为进行监控。 端口安全模式 对于端口安全模式的具体描述,请参见 表 1。 技术

4、介绍 安全和 VPN 业务 端口安全2 表1 端口安全模式描述表 安全模式类型 描述 特性说明 noRestrictions 表示端口的安全功能关闭,端口处于无限制状态此时 NeedToKnow 特性和入侵检测特 性无效 autoLearn 此模式下,端口通过配置或学习到的安全 MAC 地址被保存在安全 MAC 地址表项中; 当端口下的安全 MAC 地址数超过端口允许学习 的最大安全 MAC 地址数后,端口模式会自动转 变为 secure 模式。之后,该端口停止添加新的安 全 MAC,只有源 MAC 地址为安全 MAC 地址、 已配置的静态 MAC 地址的报文,才能通过该端 口 secure

5、禁止端口学习 MAC 地址, 只有源 MAC 地址为端 口上的安全 MAC 地址、 已配置的静态 MAC 地址 的报文,才能通过该端口 在这两种模式下, 当 设备发现非法报文 后,将触发 NeedToKnow 特性 和入侵检测特性 autoLearn 模式下, 禁止学习动态 MAC 地址 userLogin 对接入用户采用基于端口的 802.1X 认证 此模式下,端口允许多个 802.1X 认证用户接入, 但只有一个用户在线 此模式下 NeedToKnow 特性 和入侵检测特性不 会被触发 userLoginSecure 端口必须通过 802.1X 认证才能开启, 且只允许认 证成功的用户报文

6、通过; 此模式下, 端口最多只允许一个 802.1X 认证用户 接入 userLoginWithOUI 与 userLoginSecure 模式类似,端口最多只允许 一个 802.1X 认证用户接入 ? 在用户接入方式为有线的情况下, 端口还允许 一个指定 OUI 的源 MAC 地址的报文认证通 过; ? 在用户接入方式为无线的情况下, 端口首先对 报文进行 OUI 检查,OUI 检查失败后再进行 802.1X 认证 macAddressWithR adius 对接入用户采用 MAC 地址认证 macAddressOrUse rLoginSecure 端口同时处于 userLoginSecur

7、e 模式和 macAddressWithRadius 模式, 但 802.1X 认证优 先级大于 MAC 地址认证 ? 在用户接入方式为有线的情况下,对于非 802.1X 报文直接进行 MAC 地址认证。对于 802.1X 报文直接进行 802.1X 认证; ? 在用户接入方式为无线的情况下, 报文首先进 行 802.1X 认证,如果 802.1X 认证失败再进 行 MAC 地址认证 在左侧列出的模式 下, 当设备发现非法 报文后,将触发 NeedToKnow 特性 和入侵检测特性 技术介绍 安全和 VPN 业务 端口安全3 安全模式类型 描述 特性说明 macAddressElseU ser

8、LoginSecure 端口同时处于 macAddressWithRadius 模式和 userLoginSecure 模式, 但 MAC 地址认证优先级 大于 802.1X 认证; 对于非 802.1X 报文直接进行 MAC 地址认证。对 于 802.1X报文先进行 MAC地址认证, 如果 MAC 地址认证失败进行 802.1X 认证 userLoginSecureE xt 对接入用户采用基于 MAC 的 802.1X 认证,且允 许端口下有多个 802.1X 用户 macAddressOrUse rLoginSecureExt 与 macAddressOrUserLoginSecure 类

9、似,但允 许端口下有多个 802.1X 和 MAC 地址认证用户 macAddressElseU serLoginSecureExt 与 macAddressElseUserLoginSecure 类似,但 允许端口下有多个802.1X和 MAC地址认证用户 ? 说明: ? 目前端口安全特性对用户的认证主要有两种方式: MAC地址认证和802.1X认证, 不同的安全模式对应不同的认证方式或认证方式组合。 ? 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式, 取最大安全 MAC 地址数与相应模式下允许认证用户数的最小值。例如, userLoginSecureExt 模式下,

10、端口下所允许的最大用户为配置的最大安全 MAC 地址数与 802.1X 认证所允许的最大用户数的最小值。 由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则 理解: ? “userLogin”表示基于端口的 802.1X 认证; ? “macAddress”表示 MAC 地址认证; ? “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是 否转为“Else”之后的认证方式。 ? “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型 决定认证方式,但无线接入的用户先采用 802.1X 认证方式; ? 携带“Secure”的 user

11、Login 表示基于 MAC 地址的 802.1X 认证。 ? 携带“Ext”表示可允许多个 802.1X 用户认证成功,不携带则表示仅允许一个 802.1X 用户认证成功。 端口安全对 WLAN 的支持 端口安全针对 WLAN(Wireless Local Area Network,无线局域网)类型的接口,在 原 有 安 全 模 式 的 基 础 上 增 加psk 、 macAddressAndPsk 、技术介绍 安全和 VPN 业务 端口安全4 userlLoginSecureExtOrPsk和WAPI ( WLAN Authentication and Privacy Infrastruc

12、ture,无线局域网鉴别与保密基础结构)四种安全模式,实现了访问无线接入设备的链路层安全机制。其中 WAPI 模式主要是对未通过 WAPI 鉴别的无线用户进行访问限制: ? 当用户鉴别失败后,不允许该用户访问任何网络资源; ? 当用户鉴别成功后,开启该用户访问网络资源的权限。 表2 端口安全支持 WLAN 模式描述表 安全模式类型 描述 特性说明 psk 接入用户必须使用设备上预先配置的静态密钥,即 PSK(Pre-Shared Key,预共享密钥)与设备进行协 商,协商成功后可访问端口 macAddressAnd Psk 接入用户必须先进行 MAC 地址认证,通过认证后使 用预先配置的预共享

13、密钥与设备协商,协商成功后可 访问端口 userLoginSecure ExtOrPsk 接入用户与设备进行交互,选择进行基于 MAC (macbased) 的 802.1X 认证或者仅进行预共享密钥 协商 当设备发现非法 报文后,将触发 NeedToKnow 特 性和入侵检测特 性 WAPI 对接入用户采用 WAPI 认证 NeedToKnow 特 性和入侵检测特 性在此类型下无 效 ? 说明: ? 新增的模式目前只适用于无线产品接口类型。 ? PSK 用户是指通过 psk 安全模式认证上线的用户。系统最大 PSK 用户数由无线 接口可支持的最大用户数决定。 ? 对于 psk 模式,用户总数

14、不能超过系统最大 PSK 用户数;单个端口上的用户数 不能超过每端口最大 PSK 用户数。如果设置了每端口最大安全 MAC 地址数,单 个端口上的用户数也不能超过该限制。 ? 对于 macAddressAndPsk 模式, 用户总数及单个端口上的用户数受到 MAC 地址 认证的限制。如果设置了每端口最大安全 MAC 地址数,单个端口上的用户数也 不能超过该限制。 ? 对于 userLoginSecureExtOrPsk 模式,允许的 PSK 协商用户总数不能超过系统 最大 PSK 用户数,单个端口上允许的 PSK 用户数不能超过每端口最大 PSK 用 户数; 允许的 802.1X 认证用户总数及单个端口上的用户

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号