网络准入控制.doc

网络准入控制.doc

ID:55612532

大小:48.00 KB

页数:7页

时间:2020-05-19

网络准入控制.doc_第1页
网络准入控制.doc_第2页
网络准入控制.doc_第3页
网络准入控制.doc_第4页
网络准入控制.doc_第5页
资源描述:

《网络准入控制.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络准入控制(NAC)目录1.网络准入概述12.准入方式12.1.802.1x准入控制22.1.1.802.1X的工作过程22.2.CISCO  EOU准入控制32.3.DHCP准入控制32.4.ARP准入控制42.5.网关型准入控制42.6.H3CPortal准入控制42.6.1.Portal系统组成42.6.2.Portal原理53.准入技术的比较51.网络准入概述网络准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。借助NAC,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。NAC系统组件:终端安全检查软件;网络接入设备(

2、接入交换机和无线访问点);策略/AAA服务器。NAC系统基本工作原理:当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、VPN等)进行交互通讯。然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后,策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。通过网络准入一般可以实现以下功能:u用户身份认证  从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全。u终端完整性检查  通过身份认证的用户还必须通过终端完整性检查,查看连

3、入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。u终端安全隔离与修补  对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。u非法终端网络阻断  能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。2.准入方式目前常用的准入控制:Ø802.1x准入控制ØCISCO  EOU准入控制ØDHCP准入控制ØARP准入控制Ø网关型准入控制ØH3CPortal准入控制1.1.802.1x准入控制802.1x准入控制:802.1x协议

4、是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。802.1x是一个二层协议,需要以太网交换机支持。802.1x的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。其中,不受控端口始终处于双向联通状态,主要用

5、于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的EAP根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。802.1x主要采用VLAN动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权客户端。802.1x目前的不足指出在于:由于是二层协议,同时802.1x在交换机上基本是端口插线加电即启动认证,所以在大多场合不支持,如VPN、WLAN、专线等环境,无法穿透三层网络环境。而且在H

6、UB的情况下VLAN无法切换和存在访问控制漏洞。1.1.1.802.1X的工作过程802.1X工作过程:(1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。(2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。(3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。(4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比

7、对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。(5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。