准入复习进程.ppt

《准入复习进程.ppt》由会员分享，可在线阅读，更多相关《准入复习进程.ppt（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、准入PPT网络准入概述 网络准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。借助NAC，客户可以只允许合法的、值得信任的终端设备接入网络，而不允许其它设备接入。NAC系统组件：终端安全检查软件；网络接入设备（接入交换机和无线访问点）；策略/AAA服务器。当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。终端安全检查软件011网络接入设备然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。2当终端及使用者符合策略/AAA服务器上定义的策略后，策略/AAA服务器会通知网络接入设备，对终端进行授

2、权和访问控制。策略/AAA服务器3802.1x准入控制802.1x主要采用VLAN动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL方式授权客户端。802.1x目前的不足指出在于：由于是二层协议，同时802.1x在交换机上基本是端口插线加电即启动认证，所以在大多场合不支持，如VPN、WLAN、专线等环境,无法穿透三层网络环境。而且在HUB的情况下VLAN无法切换和存在访问控制漏洞。当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。1交换机收到请求认证的数据帧后，将发出一

3、个请求帧要求用户的客户端程序将输入的用户名送上来。2客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。3认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。4客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。5认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，

4、如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口为不受控端口。6802.1X的工作过程只有认证通过后网络才开通，确认用户入网身份。用户上网后，其账号与主机IP、MAC、上网的物理位置相对应，管理员能快速定位主机上网位置和用户身份认证客户端程序的控制功能，使账号不能被多机共享使用账号与上网端口、主机MAC等信息自动绑定，账号不能被借用、盗用用户上网日志详细明了，便于管理员查找用户上网日志、故障日志。通过日志查询，了解用户认证失败的原因，便于远程故障诊断802.1x准入控制的优点增加了管

5、理工作量：如账号绑定功能，使账号绑定与用户上网点变动发生矛盾，需要管理员手工解除账号绑定。用户端需要安装专用的认证软件，此外，软件的分发、软件的使用故障等问题都增加了用户的上网难度计费方式比较单一：计时或包月。对用户上网的上传下传流量难以控制，在出口增加了流量控制设备，控制BT等点到点应用需要二层接入交换机支持802.1X协议，不同厂家设备的802.1X扩展功能不一样，缺乏通用性。在 VPN、WLAN、专线等环境,无法穿透三层网络；而且在HUB的情况下VLAN无法切换和存在访问控制漏洞。802.1x准入控制的缺点H3C Portal准入控制Portal的扩展功能主要是指通过强制接入终端实施补丁

6、和防病毒策略，加强网络终端对病毒攻击的主动防御能力。在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等用户通过身份认证后仅仅获得访问部分互联网资源的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。Portal的扩展功能:Portal的系统组成1.认证客户端安装于用户终端的客户端系统，

7、为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。2.接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。在认证通过后，允许用户访问被管理员授权的互联网资源。3.Portal服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。4

8、.认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。5.安全策略服务器与Portal客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。4321Portal原理未认证用户访问网络时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；若需要使用Portal的扩展认证功能，则用户必须使用Portal客户端。用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备；然后接入设备再与认证/计费服务器通信进行认证和计费；认证通过后，如果未对用户采用安全策略，

9、则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。CISCO EOU准入控制EAPOVERUDP,是思科公司私有的准入控制技术；CISCO3550以上设备支持，EOU技术工作在三层，采用UDP封装，客户端开放UDP21862端口，由于是三层所以在很多地方比二层协议更灵活，如在灾备，设备例外，认证放行等特性上都较为灵活。CISCOEOU准入控制技术，同时分为二层EOU和三层EOU即：IPL2，IPL3。两者不同的在于：二层EOU是指运行在交换设备

10、上的（三层交换机也包括），二层EOU认证是靠ARP和DHCP触发认证的，所以在客户端和认证网络设备之间AuthenticatorSystem（设备端）之间必须可以让ARP和DHCP包能够通过；三层的EOUL3IP_EOU，是工作在路由器上的，他是靠包转发来触发认证，所以支持各种接入环境。二层EOU和三层EOU除了认证触发和运行设备有区别外其他无区别。DHCP准入控制终端设备接入，分配一个临时IP然后后台检测接入终端的信息，如果信息合法则给予分配一个合法的IP地址供正常接入到网络中，否则将拒绝分配IP，防止非法设备接入到网络中。DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议

11、的控制力度强，而且存在无法防御那些可修改MAC地址信息或修改为静态IP的终端的缺陷，除非安装相关产品控件。ARP准入控制通过ARP欺骗和干扰技术实现对网络接入终端在线信息收集以及对非法终端的防卫，通过ARP协议收集网络内在线终端IP/MAC信息，检测其是否合法，对于非法接入到网络的终端则采取ARP欺骗以及干扰。由于越来越多的终端安装的ARP防火墙，ARP准入控制在遇到这种情况下，则不能起作用。网关型准入控制通过网络限制，网关认证等方式授权客户端访问网络。网关型准入控制只控制了网络的出口，没有控制内网的边界接入，通过检查网络出口的数据包得到在线用户的信息，从而根据制定的上网策略加以控制。准入技术

12、的对比对比802.1xCiscoEOUDHCPARP干扰网关型H3CPortal技术特点非授权终端不能访问任何网络资源，不能对网络产生任何破坏性影响非授权终端不能访问任何网络资源，不能对网络产生任何破坏性影响终端可以通过自行IP等手段，绕开DHCP准入控制终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制非授权终端不能访问受网关保护的网络资源。但终端之间可以直接相互访问未认证用户强制登录到特定站点，可以免费访问其中的服务。认证通过后才可以使用互联网资源部署要求无须调整网络结构；要求网络设备支持802.1x思科公司私有的准入控制技术；CISCO 3550 以上设备支持无需调整网络结构；需在每个网段部署专用DHCP服务器无需调整网络结构；需要在每个网段设置ARP干扰器需要调整网络结构；需要专门的网关H3C私有，至少需要认证客户端、接入设备、Portal服务器（、认证/计费服务器和安全策略服务器）。性能影响不会降低网络的可靠性、性能不会降低网络的可靠性、性能不会降低网络的可靠性、性能过多的ARP广播包会给网络带来诸多性能、故障问题会给网络带来可靠性、性能问题不会降低网络的可靠性、性能适合对象所有规模的网络用户所有规模的网络用户中小网络小网络不适合大规模组网所有规模的网络用户标准化国际标准主流技术国际标准非标准非标准主流技术结束语结束语谢谢大家聆听！谢谢大家聆听！17