准入PPT

网络准入概述网络准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。借助NAC，客户可以只允许合法的、值得信任的终端设备接入网络，而不允许其它设备接入。NAC系统组件：终端安全检查软件；网络接入设备（接入交换机和无线访问点）；策略/AAA服务器。当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。终端安全检查软件1网络接入设备然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。2当终端及使用者符合策略/AAA服务器上定义的策略后，策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。策略/AAA服务器3网络准入实现的功能功能对通过身份认证但不满足安全检查的终端不予以网络接入，并强制引导移至隔离修复区，提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。终端安全隔离与修补从接入层对访问的用户进行最小授权控制，根据用户身份严格控制用户对内部网络访问范围，确保企业内网资源安全。用户身份认证通过身份认证的用户还必须通过终端完整性检查，查看连入系统的补丁、防病毒等功能是否已及时升级，是否具有潜在安全隐患。终端完整性检查能及时发现并阻止未授权终端对内网资源的访问，降低非法终端对内网进行攻击、窃密等安全威胁，从而确保内部网络的安全。非法终端网络阻断网络准入控制(NAC)的准入方式802.1x准入控制CISCOEOU准入控制ARP准入控制NACH3CPortal准入控制DHCP准入控制网关型准入控制802.1x准入控制802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802.1x是一个二层协议，需要以太网交换机支持。802.1x的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到不受控和受控端口。不受控端口受控端口始终处于双向联通状态，主要用于传输认证信息。受控端口的联通或断开是由该端口的授权状态决定的。认证者的EAP根据认证服务器认证过程的结果，控制受控端口的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。802.1X准入控制802.1x主要采用VLAN动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL方式授权客户端。802.1x目前的不足指出在于：由于是二层协议，同时802.1x在交换机上基本是端口插线加电即启动认证，所以在大多场合不支持，如VPN、WLAN、专线等环境,无法穿透三层网络环境。而且在HUB的情况下VLAN无法切换和存在访问控制漏洞。当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。1交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。2客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。3认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。4客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。5认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口为不受控端口。6802.1X的工作过程只有认证通过后网络才开通，确认用户入网身份。用户上网后，其账号与主机IP、MAC、上网的物理位置相对应，管理员能快速定位主机上网位置和用户身份认证客户端程序的控制功能，使账号不能被多机共享使用账号与上网端口、主机MAC等信息自动绑定，账号不能被借用、盗用用户上网日志详细明了，便于管理员查找用户上网日志、故障日志。通过日志查询，了解用户认证失败的原因，便于远程故障诊断802.1x准入控制的优点增加了管理工作量：如账号绑定功能，使账号绑定与用户上网点变动发生矛盾，需要管理员手工解除账号绑定。用户端需要安装专用的认证软件，此外，软件的分发、软件的使用故障等问题都增加了用户的上网难度计费方式比较单一：计时或包月。对用户上网的上传下传流量难以控制，在出口增加了流量控制设备，控制BT等点到点应用需要二层接入交换机支持802.1X协议，不同厂家设备的802.1X扩展功能不一样，缺乏通用性。在VPN、WLAN、专线等环境,无法穿透三层网络；而且在HUB的情况下VLAN无法切换和存在访问控制漏洞。802.1x准入控制的缺点H3CPortal准入控制Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力。在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等用户通过身份认证后仅仅获得访问部分互联网资源的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。Portal的扩展功能:Portal的系统组成1.认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。2.接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。在认证通过后，允许用户访问被管理员授权的互联网资源。3.Portal服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。4.认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。5.安全策略服务器与Portal客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。4321Portal原理未认证用户访问网络时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；若需要使用Portal的扩展认证功能，则用户必须使用Portal客户端。用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备；然后接入设备再与认证/计费服务器通信进行认证和计费；认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。CISCOEOU准入控制EAPOVERUDP,是思科公司私有的准入控制技术；CISCO3550以上设备支持，EOU技术工作在三层，采用UDP封装，客户端开放UDP21862端口，由于是三层所以在很多地方比二层协议更灵活，如在灾备，设备例外，认证放行等特性上都较为灵活。CISCOEOU准入控制技术，同时分为二层EOU和三层EOU即：IPL2，IPL3。两者不同的在于：二层EOU是指运行在交换设备上的（三层交换机也包括），二层EOU认证是靠ARP和DHCP触发认证的，所以在客户端和认证网络设备之间AuthenticatorSystem（设备端）之间必须可以让ARP和DHCP包能够通过；三层的EOUL3IP_EOU，是工作在路由器上的，他是靠包转发来触发认证，所以支持各种接入环境。二层EOU和三层EOU除了认证触发和运行设备有区别外其他无区别。DHCP准入控制终端设备接入，分配一个临时IP然后后台检测接入终端的信息，如果信息合法则给予分配一个合法的IP地址供正常接入到网络中，否则将拒绝分配IP，防止非法设备接入到网络中。DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强，而且存在无法防御那些可修改MAC地址信息或修改为静态IP的终端的缺陷，除非安装相关产品控件。ARP准入控制通过ARP欺骗和干扰技术实现对网络接入终端在线信息收集以及对非法终端的防卫，通过ARP协议收集网络内在线终端IP/MAC信息，检测其是否合法，对于非法接入到网络的终端则采取ARP欺骗以及干扰。由于越来越多的终端安装的ARP防火墙，ARP准入控制在遇到这种情况下，则不能起作用。网关型准入控制通过网络限制，网关认证等方式授权客户端访问网络。网关型准入控制只控制了网络的出口，没有控制内网的边界接入，通过检查网络出口的数据包得到在线用户的信息，从而根据制定的上网策略加以控制。准入技术的对比对比802.1xCiscoEOUDHCPARP干扰网关型H3CPortal技术特点非授权终端不能访问任何网络资源，不能对网络产生任何破坏性影响非授权终端不能访问任何网络资源，不能对网络产生任何破坏性影响终端可以通过自行IP等手段，绕开DHCP准入控制终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制非授权终端不能访问受网关保护的网络资源。但终端之间可以直接相互访问未认证用户强制登录到特定站点，可以免费访问其中的服务。认证通过后才可以使用互联网资源部署要求无须调整网络结构；要求网络设备支持802.1x思科公司私有的准入控制技术；CISCO3550以上设备支持无需调整网络结构；需在每个网段部署专用DHCP服务器无需调整网络结构；需要在每个网段设置ARP干扰器需要调整网络结构；需要专门的网关H3C私有，至少需要认证客户端、接入设备、Portal服务器（、认证/计费服务器和安全策略服务器）。性能影响不会降低网络的可靠性、性能不会降低网络的可靠性、性能不会降低网络的可靠性、性能过多的ARP广播包会给网络带来诸多性能、故障问题会给网络带来可靠性、性能问题不会降低网络的可靠性、性能适合对象所有规模的网络用户所有规模的网络用户中小网络小网络不适合大规模组网所有规模的网络用户标准化国际标准主流技术国际标准非标准非标准主流技术