1、前言

　　網(wǎng)絡(luò)準(zhǔn)入控制(NAC)是一項(xiàng)由思科發(fā)起、多家廠商參加的計(jì)劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對(duì)企業(yè)安全造成危害。借助NAC，客戶可以只允許合法的、值得信任的終端設(shè)備(例如PC、服務(wù)器，PDA)接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。

　　2、網(wǎng)絡(luò)準(zhǔn)入的幾種方式

　　目前有四種網(wǎng)絡(luò)準(zhǔn)入控制：802.1x準(zhǔn)入控制、DHCP準(zhǔn)入控制、網(wǎng)關(guān)型準(zhǔn)入控制、ARP準(zhǔn)入控制。

　　802.1x準(zhǔn)入控制需要交換機(jī)支持802.1x協(xié)議，能夠真正的做到對(duì)網(wǎng)絡(luò)邊界的保護(hù)，但對(duì)于不支持802.1x協(xié)議的交換機(jī)無法實(shí)現(xiàn)準(zhǔn)入控制，同時(shí)交換機(jī)下接不啟用802.1x功能的交換機(jī)時(shí)，也無法對(duì)終端進(jìn)行準(zhǔn)入控制。

　　DHCP準(zhǔn)入控制與現(xiàn)有網(wǎng)絡(luò)兼容性較好，但控制力度不如802.1x準(zhǔn)入控制，需要支持DHCP服務(wù)的網(wǎng)絡(luò)環(huán)境。個(gè)人也可以通過指定IP跳過控制。網(wǎng)關(guān)型準(zhǔn)入控制不是一種真正意義上的準(zhǔn)入控制.它只控制了網(wǎng)絡(luò)的出口，沒有控制內(nèi)網(wǎng)的邊界接入。

　　ARP型準(zhǔn)入控制使用ARP欺騙和ARP攻擊對(duì)不合規(guī)的終端進(jìn)行攻擊，達(dá)到對(duì)網(wǎng)絡(luò)邊界進(jìn)行保護(hù)的目的。但ARP的欺騙和攻擊對(duì)裝有ARP防火墻的終端沒有作用。另外，ARP的攻擊會(huì)造成網(wǎng)絡(luò)堵塞，不利于大型網(wǎng)絡(luò)。從以上準(zhǔn)入形式看，802.1x準(zhǔn)入控制應(yīng)是未來準(zhǔn)入控制的方向。

　　3、支持802.1x協(xié)議的NAC系統(tǒng)組成

　　網(wǎng)絡(luò)準(zhǔn)入控制主要由終端安全檢查軟件、網(wǎng)絡(luò)接入設(shè)備和策略/AAA服務(wù)器構(gòu)成。終端安全檢查軟件主要負(fù)責(zé)對(duì)接入的終端進(jìn)行主機(jī)健康檢查和進(jìn)行網(wǎng)絡(luò)接入認(rèn)證。網(wǎng)絡(luò)接入設(shè)備是實(shí)施準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備，包括路由器，交換機(jī).無線接入點(diǎn)和安全設(shè)備。這些設(shè)備接受主機(jī)委托.然后將信息傳送到策略服務(wù)器.在那里實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制決策。網(wǎng)絡(luò)將按照客戶制定的策略實(shí)施相應(yīng)的準(zhǔn)入控制決策：允許、拒絕、隔離或限制。策略/AAA服務(wù)器負(fù)責(zé)評(píng)估來自網(wǎng)絡(luò)設(shè)備的端點(diǎn)安全信息，并決定應(yīng)該使用哪種接入策略(接入、拒絕、隔離或打補(bǔ)丁)。

　　4、NAG系統(tǒng)的基本工作原理

　　當(dāng)終端接入網(wǎng)絡(luò)時(shí)，首先由終端設(shè)備和網(wǎng)絡(luò)接入設(shè)備(如：交換機(jī)，無線AP、VPN等)進(jìn)行交互通訊。然后，網(wǎng)絡(luò)接入設(shè)備將終端信息發(fā)給策略/AAA服務(wù)器對(duì)接入終端和終端使用者進(jìn)行檢查。當(dāng)終端及使用者符合策略/AAA服務(wù)器上定義的策略后.策略/AAA服務(wù)器會(huì)通知網(wǎng)絡(luò)接入設(shè)備，對(duì)終端進(jìn)行授權(quán)和訪問控制。

　　5、SEP準(zhǔn)入控制系統(tǒng)

　　5.1通過域用戶認(rèn)證的Symantec網(wǎng)絡(luò)準(zhǔn)入控制

　　Symantec準(zhǔn)入選擇通過802.1x協(xié)議實(shí)現(xiàn)，802.1x的網(wǎng)絡(luò)準(zhǔn)入控制能夠真正做到對(duì)網(wǎng)絡(luò)邊界的保護(hù)。同時(shí)支持通過域用戶認(rèn)證來實(shí)現(xiàn)認(rèn)證環(huán)節(jié)。Symantec網(wǎng)絡(luò)準(zhǔn)入流程為：用戶用自己的域帳號(hào)登陸進(jìn)行802.1x認(rèn)證，認(rèn)證失敗則被拒絕接入網(wǎng)絡(luò)。認(rèn)證成功后打開交換機(jī)端口分配IP地址，然后進(jìn)行主機(jī)完整性檢查，主機(jī)完整性檢查不通過則被隔離掉，只能訪問特定的網(wǎng)站，主機(jī)完整性檢查通過后，應(yīng)用防火墻策略，允許用戶正常使用網(wǎng)絡(luò)。

　　目前Symantec網(wǎng)絡(luò)準(zhǔn)入控制采用的是Symantec SEP 11.0和擴(kuò)展Symantec SNAC 11.0，該系統(tǒng)包括如下幾個(gè)部分：Symantec EntERPrise Protection Manager(策略管理服務(wù)器)，以下簡稱SEPM。SNAC6100 LAN Enforcer(局域網(wǎng)準(zhǔn)入控制器)，以下簡稱LAN Enforcer。Symantec Endpoint Protection和Symantec Network Access Control(終端安全Symantec客戶端)，以下簡稱Symantec客戶端。

　　SEPM策略服務(wù)器實(shí)現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的管理、設(shè)定和監(jiān)控及symantec客戶端的管理，病毒庫的升級(jí)。

　　LAN Enforcer作為終端用戶接入網(wǎng)絡(luò)時(shí)的安全性認(rèn)證服務(wù)器，負(fù)責(zé)處理不同交換機(jī)的認(rèn)證請(qǐng)求.Symantec客戶端是整個(gè)企業(yè)網(wǎng)絡(luò)安全策略的執(zhí)行者，實(shí)現(xiàn)主機(jī)完整性檢查和防火墻策略的執(zhí)行。它安裝在網(wǎng)絡(luò)中的每一臺(tái)終端計(jì)算機(jī)上。

　　5.2通過域用戶認(rèn)證的Symantec網(wǎng)絡(luò)準(zhǔn)入存在的問題

　　Symantec網(wǎng)絡(luò)準(zhǔn)入無法實(shí)現(xiàn)windows域登陸和802.1x認(rèn)證同步，802.1x認(rèn)證通過后才能得到地址聯(lián)通網(wǎng)絡(luò)，而802.1x認(rèn)證必須在進(jìn)入桌面后才能進(jìn)行，造成新裝機(jī)電腦第一次開機(jī)無法聯(lián)通網(wǎng)絡(luò)域控制器進(jìn)入桌面，因而也就無法進(jìn)行802.1x認(rèn)證。

　　6、802.1x接入認(rèn)證與域認(rèn)證結(jié)合存在的問題

　　Windows域登錄認(rèn)證要求用戶必須首先接入網(wǎng)絡(luò).建立用戶與域控制器間的網(wǎng)絡(luò)連接，然后才可以登錄并進(jìn)入桌面。而一般的802.1x認(rèn)證需要用戶首先進(jìn)入桌面.然后才可以進(jìn)行網(wǎng)絡(luò)接入認(rèn)證、建立網(wǎng)絡(luò)連接。兩種認(rèn)證之間的時(shí)序依賴關(guān)系產(chǎn)生了明顯的矛盾，導(dǎo)致使用802.1x進(jìn)行網(wǎng)絡(luò)接入認(rèn)證的用戶無法登錄到Windows域。

　　Windows域與802.1x認(rèn)證服務(wù)器各自擁有專用的用戶身份識(shí)別和權(quán)限控制信息，造成用戶接入網(wǎng)絡(luò)和登錄Windows域時(shí)需要使用兩套用戶名和密碼，給用戶的使用帶來不少操作上的麻煩。

　　7、EAD終端準(zhǔn)入控制

　　EAD是H3C公司開發(fā)的一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，其部署架構(gòu)也與SNAC相近，與SEP類似支持通過域用戶認(rèn)證的網(wǎng)絡(luò)準(zhǔn)入模式。通過對(duì)認(rèn)證中不同步問題的解決，實(shí)現(xiàn)與域用戶認(rèn)證的統(tǒng)一認(rèn)證。EAD使用LDAP功能實(shí)現(xiàn)用戶和Windows域用戶信息的同步，并通過H3C自主開發(fā)的iNode智能客戶端實(shí)現(xiàn)認(rèn)證流程的同步。

　　802.1x接入認(rèn)證階段：安裝有H3C iNode智能客戶端的用戶終端開機(jī)后進(jìn)入普通的域登錄界面，用戶按一般的域登錄流程輸入用戶名、密碼和域名，點(diǎn)擊登錄按鈕IiNode智能客戶端截獲Windows域登錄請(qǐng)求，使用域登錄輸入的用戶名、密碼同步發(fā)起802.1x認(rèn)證t802.1x認(rèn)證請(qǐng)求通過交換機(jī)轉(zhuǎn)發(fā)到EAD策略服務(wù)器，進(jìn)行802.1x接入身份認(rèn)證。

　　認(rèn)證轉(zhuǎn)發(fā)階段：EAD策略服務(wù)器將用戶認(rèn)證請(qǐng)求通過LDAP接口轉(zhuǎn)發(fā)到Windows 域控制器，進(jìn)行Windows 域用戶名、密碼驗(yàn)證；通過Windows域控制器的身份認(rèn)證后，再由EAD策略服務(wù)器向用戶終端授權(quán)網(wǎng)絡(luò)訪問權(quán)限。域認(rèn)證階段：認(rèn)證通過并獲得網(wǎng)絡(luò)訪問權(quán)限的用戶終端通過iNode客戶端的控制，繼續(xù)進(jìn)行域登錄認(rèn)證，Windows操作系統(tǒng)繼續(xù)完成普通的域登錄流程，獲取應(yīng)用資源訪問權(quán)限。

　　通過以上的統(tǒng)一認(rèn)證流程，用戶只需按照正常的域登錄操作.即可同時(shí)完成802.1x接入認(rèn)證和Windows域登錄認(rèn)證，達(dá)到了統(tǒng)一認(rèn)證和單點(diǎn)登錄的目的。

　　8、企業(yè)的選擇

　　對(duì)于較具規(guī)模并對(duì)信氮化依賴度高的企業(yè)，在應(yīng)用域管理用戶的同時(shí)可以參照與802.1x認(rèn)證相結(jié)合的方式，以達(dá)到網(wǎng)絡(luò)準(zhǔn)入的目的。各企業(yè)可根據(jù)選擇產(chǎn)品的不同，選擇適合自身實(shí)際的認(rèn)證過程.以保證系統(tǒng)的兼容、好用和投資效益。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：支持802.1x的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在企業(yè)中的應(yīng)用

本文網(wǎng)址：http://www.oesoe.com/html/support/11121510907.html