1、引言

　　隨著企業(yè)信息化發(fā)展的不斷深入，企業(yè)對信息系統(tǒng)的依賴程度越來越高，信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營及管理活動，甚至直接影響企業(yè)未來發(fā)展。目前，企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅，既有來自外部的，也有來自內(nèi)部的。外部威脅主要通過互聯(lián)網(wǎng)進行網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播等惡意行為。內(nèi)部威脅主要用戶安全意識薄弱，因存儲介質(zhì)、文件共享等途徑感染病毒風(fēng)險。對于外部威脅，可使用防火墻、網(wǎng)關(guān)殺毒等設(shè)備進行安全防護；對于內(nèi)部威脅作，則可通提升用戶信息安全意識、加強終端安全管理等措施進行防護。

　　然而，隨著信息化建設(shè)的深入，作為信息化建設(shè)的基礎(chǔ)設(shè)施-計算機網(wǎng)絡(luò)，其規(guī)模也隨著信息化建設(shè)而不斷擴大。企業(yè)網(wǎng)絡(luò)規(guī)模的擴大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。從而容易出現(xiàn)非法用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)，其不但可以毫無限制的訪問內(nèi)網(wǎng)資源，竊取企業(yè)內(nèi)部秘密信息，造成信息泄露，而且可能發(fā)起主動攻擊或因攜帶病毒、蠕蟲等因素而造成整個網(wǎng)絡(luò)與信息系統(tǒng)癱瘓的風(fēng)險，對企業(yè)信息與網(wǎng)絡(luò)安全造成巨大威脅。IEEE802.1x是基于端口的訪問控制協(xié)議，網(wǎng)絡(luò)端口啟用802.1x，采用主動威脅防護，從源頭做起，在終端接入網(wǎng)絡(luò)之前，對終端進行身份驗證，同時檢查是否符合網(wǎng)絡(luò)接入安全策略要求；接入之后，同時對用戶進行權(quán)限識別，根據(jù)身份認證，確認用戶對內(nèi)網(wǎng)資源的訪問權(quán)限。

　　2、802.1x協(xié)議

　　IEEE802 LAN/WAN委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了802.1x協(xié)議。后來，隨著技術(shù)的發(fā)展，802.1x協(xié)議被廣泛應(yīng)用在以太網(wǎng)上，作為一種接入控制機制。

　　802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control protocol），即是指在接入設(shè)備的端口處對終端設(shè)備進行認證和控制，限制沒有權(quán)限的用戶或設(shè)備獲取未授權(quán)網(wǎng)絡(luò)訪問權(quán)限。

　　用戶、終端設(shè)備在接入局域網(wǎng)，獲取網(wǎng)絡(luò)訪問權(quán)限之前，實施802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備會對接入的用戶或設(shè)備進行權(quán)限認證。網(wǎng)絡(luò)設(shè)備的端口此時處于關(guān)閉狀態(tài)，但允許EAPOL數(shù)據(jù)包通過。EAPOL是802.1X協(xié)議定義的一種報文封裝格式，主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報文，以允許EAP協(xié)議報文在LAN上傳送，從而將用戶認證信息傳送至認證服務(wù)器。

　　如果認證通過，在交換機打開端口，允許業(yè)務(wù)數(shù)據(jù)通過；如果認真失敗，則保持端口關(guān)閉狀態(tài)，或者執(zhí)行其他安全策略，如打開端口，并將該端口劃分至客戶vlan中。

　　2.1 802.1x協(xié)議的體系結(jié)構(gòu)

　　802.1x協(xié)議主要由三部分組成：客戶端(supplicant system)、認證系統(tǒng)(authenticator system)、認證服務(wù)器(authentication server system)。圖1描述了三者之間的關(guān)系以及互相之間的通信過程。
 

　　(1)客戶端一般為一個用戶終端，該終端一般安裝一個認證軟件，用戶通過允許該軟件發(fā)起802.1x協(xié)議認證�？蛻舳艘�求支持EAPOL協(xié)議，以實現(xiàn)基于端口的接入控制。

　　(2)認證系統(tǒng)為通常為網(wǎng)絡(luò)設(shè)備，即網(wǎng)絡(luò)交換機，客戶端網(wǎng)絡(luò)設(shè)備接入局域網(wǎng)。認證系統(tǒng)中支持兩種邏輯端口，受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞業(yè)務(wù)數(shù)據(jù)。非受控端口一直處于打開狀態(tài)，用于收發(fā)EAPOL協(xié)議幀，通過非受控端口，用戶或設(shè)備能正常發(fā)送或接收認證請求。

　　(3)認證服務(wù)器一般為RADIUS服務(wù)器。在認證服務(wù)器上保存用戶的帳號、密碼、以及用戶的權(quán)限等信息，主要實現(xiàn)對用戶進行認證、審計、授權(quán)、計費等功能。

　　2.2 802.1x協(xié)議的認證過程

　　802.1x協(xié)議的認證過程有兩種，分別是EAP中繼模式和EAP終結(jié)模式，以下為簡要說明EAP中繼模式認證過程：

　　(1)客戶端發(fā)送認證請求報文到網(wǎng)絡(luò)交換機；

　　(2)交換機收到報文后，發(fā)送報文要求客戶端提供認證信息；

　　(3)客戶端收到交換機報文后將用戶信息發(fā)送給交換機；交換機收到用戶信息，將其轉(zhuǎn)發(fā)給認證服務(wù)器。

　　(4)認證服務(wù)器收到交換機發(fā)送的報文后，根據(jù)用戶信息隨機產(chǎn)生的一個加密密碼，并將其發(fā)送給交換機，交換機再將該密碼發(fā)送個客戶端。

　　(5)客戶端收到加密密碼后對用戶的密碼進行加密，然后通過交換機發(fā)送給認證服務(wù)器。

　　(6)認證服務(wù)器對客戶端發(fā)送的用戶名密碼進行匹配，如果認證成功，則發(fā)送認證成功信息，通知交換機打開受控端口，用戶獲取正常網(wǎng)絡(luò)訪問權(quán)限；如果認證失敗，則發(fā)送認證失敗信息，交換機繼續(xù)關(guān)閉受控端口。

　　2.3 與802.1x配合使用的一些特性

　　(1)Vlan下發(fā)。當認證服務(wù)器配置下發(fā)vlan功能后，在認證服務(wù)器端上配置用戶的vlan信息，當服務(wù)器下發(fā)認真信息時，包含vlan，將端口劃進相應(yīng)vlan。此操作不更改交換機配置，當用戶下線后，端口恢復(fù)原先配置。

　　(2)GUEST VLAN。在交換機端口上配置GUEST VLAN，當用戶未通過認證，或終端未安裝認證客戶端時將端口劃分至GUEST VLAN。用戶進入GUEST VLAN訪問特地的資源。

　　(3)ACL下發(fā)。認證服務(wù)器還可以配置想要用戶的ACL，認證服務(wù)將ACL發(fā)送至交換機，對用戶執(zhí)行相應(yīng)的ACL，原理如同下發(fā)VLAN一樣。

　　3、實施基于802.1x網(wǎng)絡(luò)準入控制的實施

　　802.1x準入控制系統(tǒng)主要由認證服務(wù)器、認證系統(tǒng)、客戶端三部分組成。實施網(wǎng)絡(luò)準入，首先要確保網(wǎng)絡(luò)的連通性，即認證系統(tǒng)能與認證服務(wù)器能正常通信、客戶端與認證系統(tǒng)能實現(xiàn)必要的認證報文傳輸。確定網(wǎng)絡(luò)連通性后，開始逐步配置認證服務(wù)器、認證系統(tǒng)及客戶端。

　　3.1 認證服務(wù)器配置

　　802.1x網(wǎng)絡(luò)準入的實施要結(jié)合企業(yè)的具體需求。對于大型企業(yè)，由于用戶較多，為方便管理維護，一般都會實施域管理。802.1x與域相結(jié)合，是大部分實施域控企業(yè)的選擇。搭建認證服務(wù)器時，可直接連接域控服務(wù)器，使用域賬戶對用戶進行認證、授權(quán)、審計。

　　連接域之后，從安全性和靈活性考慮，大部分企業(yè)采取的準入控制流程為：

　　(1)對主機完整性檢查，檢查終端是否已經(jīng)入域，并檢查終端時候安裝準入客戶端。如檢查通過，則進入下一步檢查，否則將認證服務(wù)器通知認證系統(tǒng)，打開網(wǎng)絡(luò)端口，并將終端進行隔離，即將網(wǎng)絡(luò)端口劃分至客戶vlan�？蛻魐lan只有有限的資源提供給終端訪問，終端可以在客戶vlan進行修復(fù)，修復(fù)完成后，重新進行主機完整性檢查。

　　(2)通過主機完整性檢查后，準入客戶端獲取終端的域賬戶，然后對賬戶進行認證。如通過認證，則通知交換機打開工作端口，讓終端在正常的工作vlan上工作，訪問所以該賬戶能訪問的資源；如未通過認證，則認證服務(wù)器通知認證系統(tǒng)，打開網(wǎng)絡(luò)端口，并將端口劃分進客戶vlan。

　　以上認證策略既能保證非授權(quán)終端訪問非授權(quán)網(wǎng)絡(luò)資源，保障內(nèi)網(wǎng)安全；又能提供一定了靈活性，讓不滿足條件的可信終端進行修復(fù)，使其能正常接入網(wǎng)絡(luò)。

　　認證服務(wù)器除虛配置與域控連接、認證策略外，還需認證系統(tǒng)進行授權(quán)。為此需將認證系統(tǒng)（如交換機）的IP地址、密碼等信息配置進認證服務(wù)器。

　　3.2 認證系統(tǒng)配置

　　認證系統(tǒng)通常為網(wǎng)絡(luò)交換機，在此以思科交換機(IOS 12.2)為例說明認證系統(tǒng)配置：

　　(1)啟用aaa
 

　　交換機登錄方式為none，802.1x認證方式為radius，授權(quán)方式也為radius

　　(2)配置radius服務(wù)器 
 

　　配置服務(wù)器的地址、認證端口、審計端口及相應(yīng)的密碼，認證端口默認為1812，審計默認端口為1813

　　(3)交換機端口配置
 

　　認證方式為pae，采用多終端模式，配置客戶vlan為1000

　　(4)全局啟用802.1x
 

　　3.3 客戶端配置

　　企業(yè)802.1x認證系統(tǒng)一般集成一個客戶端軟件。用戶只需在終端上安裝準入客戶端，輸入帳號、密碼，或采用單點登錄方式，即可發(fā)送認證請求。

　　4、總結(jié)

　　終端準入控制是確保網(wǎng)絡(luò)與信息安全的重要措施，通過使用802.1x協(xié)議對接入終端進行身份認證，能有效的控制非法終端的接入。且802.1x具有簡潔高效、安全可靠、應(yīng)用靈活、易于運營，且采用行業(yè)標準等優(yōu)勢，在網(wǎng)絡(luò)準入控制方面得到廣泛的應(yīng)用。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：基于802.1x的企業(yè)網(wǎng)絡(luò)準入控制技術(shù)

本文網(wǎng)址：http://www.oesoe.com/html/support/11121510931.html