收藏
下载资源

网络准入控制V10

上传人:博****1 文档编号:548102599 上传时间:2023-12-04 格式:DOCX 页数:7 大小:23.28KB
返回 下载 相关 举报
网络准入控制V10_第1页
第1页 / 共7页
网络准入控制V10_第2页
第2页 / 共7页
网络准入控制V10_第3页
第3页 / 共7页
网络准入控制V10_第4页
第4页 / 共7页
网络准入控制V10_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《网络准入控制V10》由会员分享,可在线阅读,更多相关《网络准入控制V10(7页珍藏版)》请在金锄头文库上搜索。

1、网络准入控制(NAC)网络准入控制(NAC)目录1.网络准入概述12.准入方式12.1. 802.1x准入控制22.1.1. 802.1X的工作过程22.2. CISCOEOU准入控制32.3. DHCP准入控制32.4. ARP准入控制42.5. 网关型准入控制42.6. H3C Portal准入控制42.6.1. Portal系统组成42.6.2. Portal原理53.准入技术的比较51. 网络准入概述网络准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。借助NAC,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。NAC系统组件:终端

2、安全检查软件;网络接入设备(接入交换机和无线访问点);策略/AAA服务器。NAC系统基本工作原理:当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、VPN等)进行交互通讯。然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后, 策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。通过网络准入一般可以实现以下功能: u 用户身份认证从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全。u 终端完整性检查通过身份认证的用户还必须通过终端完

3、整性检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。u 终端安全隔离与修补对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。u 非法终端网络阻断能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。2. 准入方式目前常用的准入控制: 802.1x准入控制 CISCOEOU准入控制 DHCP准入控制 ARP准入控制 网关型准入控制 H3C Portal准入控制2.1. 802.1x准入控制802.1x准入控制:802.1x协

4、议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。802.1x是一个二层协议,需要以太网交换机支持。802.1x的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。其中,不受控端口始终处于双向联通状态,主要用于传输认

5、证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的EAP根据认证服务器认证过程的结果,控制受控端口的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。802.1x主要采用VLAN 动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权客户端。802.1x目前的不足指出在于:由于是二层协议,同时802.1x在交换机上基本是端口插线加电即启动认证,所以在大多场合不支持,如VPN、WLAN、专线等环境,无法穿透三层网络环境。而且在HUB的情况下VLAN无

6、法切换和存在访问控制漏洞。2.1.1. 802.1X的工作过程802.1X工作过程:(1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。(2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。(3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。(4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,

7、用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。(5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。2.2. CISCOEOU准入控制EAP OVER UDP ,是思科公

8、司私有的准入控制技术;CISCO 3550 以上设备支持, EOU技术工作在三层,采用UDP封装,客户端开放UDP 21862 端口,由于是三层所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活。 CISCO EOU 准入控制技术 ,同时分为二层EOU 和 三层EOU 即:IPL2,IPL3。两者不同的在于:二层EOU是指运行在交换设备上的(三层交换机也包括),二层EOU认证是靠ARP 和DHCP触发认证的,所以在客户端和认证网络设备之间Authenticator System(设备端)之间必须可以让ARP 和 DHCP包能够通过;三层的EOUL3IP_EOU,是工

9、作在路由器上的,他是靠包转发来触发认证,所以支持各种接入环境。二层EOU和三层EOU除了认证触发和运行设备有区别外其他无区别。如果环境允许推荐使用EOU技术。2.3. DHCP准入控制终端设备接入,分配一个临时IP然后后台检测你的合法性,如果合法则给你重新分配一个合法的IP地址供正常办公。 DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。2.4. ARP准入控制通过ARP欺骗和干扰技术实现。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙,ARP准入控制在遇到这种情况下,则不能起作用。2.5. 网关型准入控制通过网络限制,

10、网关认证等方式授权客户端访问网络。网关型准入控制只控制了网络的出口,没有控制内网的边界接入。2.6. H3C Portal准入控制未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:l 在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;l 用户通过身份认

11、证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。2.6.1. Portal系统组成Portal的系统组成,由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。1.认证客户端安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。2.接入设备交换机、路由器等宽带接入设备的统称,主要有三方面的作用:u 在认证之前,将用户的所

12、有HTTP请求都重定向到Portal服务器。u 在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。u 在认证通过后,允许用户访问被管理员授权的互联网资源。3.Portal服务器接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。4.认证/计费服务器与接入设备进行交互,完成对用户的认证和计费。5.安全策略服务器与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。2.6.2. Portal原理Portal原理为:(1)未认证用户访问网络时

13、,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。(2)用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;(3)然后接入设备再与认证/计费服务器通信进行认证和计费;(4)认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问

14、非受限资源。3. 准入技术的比较对比802.1xCisco EOUDHCPARP干扰网关型H3C Portal技术特点非授权终端不能访问任何网络资源,不能对网络产生任何破坏性影响非授权终端不能访问任何网络资源,不能对网络产生任何破坏性影响终端可以通过自行IP等手段,绕开DHCP准入控制终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制非授权终端不能访问受网关保护的网络资源。但终端之间可以直接相互访问未认证用户强制登录到特定站点,可以免费访问其中的服务。认证通过后才可以使用互联网资源部署要求无须调整网络结构;要求网络设备支持802.1x思科公司私有的准入控制技术;CISCO 3550

15、 以上设备支持无需调整网络结构;需在每个网段部署专用DHCP服务器无需调整网络结构;需要在每个网段设置ARP干扰器需要调整网络结构;需要专门的网关H3C私有,至少需要认证客户端、接入设备、Portal服务器(、认证/计费服务器和安全策略服务器)。性能影响不会降低网络的可靠性、性能不会降低网络的可靠性、性能不会降低网络的可靠性、性能过多的ARP广播包会给网络带来诸多性能、故障问题会给网络带来可靠性、性能问题不会降低网络的可靠性、性能适合对象所有规模的网络用户所有规模的网络用户中小网络小网络不适合大规模组网所有规模的网络用户标准化国际标准主流技术国际标准非标准非标准主流技术支持厂商Cisco/huawei/Leagsoft/H3C等CiscoMicrosoft/ACK等软件厂商ACK/Landesk等厂商以防火墙厂商为主H3C1

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 幼儿/小学教育 > 幼儿教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号