您好,欢迎访问三七文档
当前位置:首页 > 建筑/环境 > 工程监理 > 网络准入控制V1.0
网络准入控制(NAC)目录1.网络准入概述..............................................................................................................................12.准入方式......................................................................................................................................12.1.802.1x准入控制...........................................................................................................22.1.1.802.1X的工作过程...........................................................................................22.2.CISCOEOU准入控制...............................................................................................32.3.DHCP准入控制...............................................................................................................32.4.ARP准入控制.................................................................................................................42.5.网关型准入控制.............................................................................................................42.6.H3CPortal准入控制...................................................................................................42.6.1.Portal系统组成...............................................................................................42.6.2.Portal原理.......................................................................................................53.准入技术的比较..........................................................................................................................5网络准入控制(NAC)11.网络准入概述网络准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。借助NAC,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。NAC系统组件:终端安全检查软件;网络接入设备(接入交换机和无线访问点);策略/AAA服务器。NAC系统基本工作原理:当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、VPN等)进行交互通讯。然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后,策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。通过网络准入一般可以实现以下功能:用户身份认证从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全。终端完整性检查通过身份认证的用户还必须通过终端完整性检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。终端安全隔离与修补对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。非法终端网络阻断能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。2.准入方式目前常用的准入控制:802.1x准入控制网络准入控制(NAC)2CISCOEOU准入控制DHCP准入控制ARP准入控制网关型准入控制H3CPortal准入控制2.1.802.1x准入控制802.1x准入控制:802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。802.1x是一个二层协议,需要以太网交换机支持。802.1x的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的EAP根据认证服务器认证过程的结果,控制受控端口的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。802.1x主要采用VLAN动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权客户端。802.1x目前的不足指出在于:由于是二层协议,同时802.1x在交换机上基本是端口插线加电即启动认证,所以在大多场合不支持,如VPN、WLAN、专线等环境,无法穿透三层网络环境。而且在HUB的情况下VLAN无法切换和存在访问控制漏洞。2.1.1.802.1X的工作过程802.1X工作过程:(1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。网络准入控制(NAC)3(2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。(3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。(4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。(5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。2.2.CISCOEOU准入控制EAPOVERUDP,是思科公司私有的准入控制技术;CISCO3550以上设备支持,EOU技术工作在三层,采用UDP封装,客户端开放UDP21862端口,由于是三层所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活。准入控制技术,同时分为二层EOU和三层EOU即:IPL2,IPL3。两者不同的在于:二层EOU是指运行在交换设备上的(三层交换机也包括),二层EOU认证是靠ARP和DHCP触发认证的,所以在客户端和认证网络设备之间AuthenticatorSystem(设备端)之间必须可以让ARP和DHCP包能够通过;三层的EOUL3IP_EOU,是工作在路由器上的,他是靠包转发来触发认证,所以支持各种接入环境。二层EOU和三层EOU除了认证触发和运行设备有区别外其他无区别。如果环境允许推荐使用EOU技术。2.3.DHCP准入控制终端设备接入,分配一个临时IP然后后台检测你的合法性,如果合法则给你重新分配一个合法的IP地址供正常办公。DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。网络准入控制(NAC)42.4.ARP准入控制通过ARP欺骗和干扰技术实现。。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙,ARP准入控制在遇到这种情况下,则不能起作用。2.5.网关型准入控制通过网络限制,网关认证等方式授权客户端访问网络。网关型准入控制只控制了网络的出口,没有控制内网的边界接入。2.6.H3CPortal准入控制未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。2.6.1.Portal系统组成Portal的系统组成,由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。1.认证客户端安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。2.接入设备网络准入控制(NAC)5交换机、路由器等宽带接入设备的统称,主要有三方面的作用:在认证之前,将用户的所有HTTP请求都重定向到Portal服务器。在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。在认证通过后,允许用户访问被管理员授权的互联网资源。3.Portal服务器接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。4.认证/计费服务器与接入设备进行交互,完成对用户的认证和计费。5.安全策略服务器与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。2.6.2.Portal原理Portal原理为:(1)未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。(2)用户在认证
本文标题:网络准入控制V1.0
链接地址:https://www.777doc.com/doc-6359268 .html