网络准入控制

目录

前言

一、概述

1.存在问题

2. 概述

3. 基本原理

4. 策略授权

二、认证技术

1. 802.1X认证

① 认证方式(网络接入设备和认证服务器间)

② 认证流程

③ 接入控制方式

④基本配置命令

2. MAC地址认证

① 概述

② 应用场景

③ 配置命令

3. Portal认证

① 概述

② 认证方式

③ 应用场景

④ 优点

⑤ 认证流程     

基于Protal协议的认证

基于HTTP/HTTPS协议的认证

⑥ 配置外置Portal服务器

4. MAC旁路认证

5. MAC优先的Portal认证

①技术背景

②mac优先

③ 认证流程

三、用户授权与下线

1.认证授权

2. 用户下线

四、NAC配置

五、策略联动

1. 技术背景

①选择接入层设备作为认证点面临的问题

②上移面临问题

2. 策略联动

3.实现机制

总结


前言

        随着园区网络的应用和发展,病毒、木马、间谍软件、网络攻击等各种信息安全威胁也不断增加。在传统的园区网络建设思路中,一般认为园区内网是安全的,安全威胁主要来自外界。但是研究表明,80%的网络安全漏洞都存在于网络内部,他们导致的网络故障对网络的破坏程度和影响范围在持续扩大,经常引起业务系统崩溃、网络瘫痪。

        网络准入控制(NAC)从对接入网络的终端入手,将终端安全状况和网络准入控制结合在一起,通过检查、隔离、加固和审计等手段,加强网络用户终端的主动防御能力,保证园区中每个终端的安全性,进而保护园区网络的安全性。


一、概述

1.存在问题

  • 防病毒软件未实现集中管理,补丁管理混乱,企业即便购买了防病毒软件,很难保证所有终端其病毒特征库都是最新的,导致一旦某台终端感染病毒或恶意代码,很快会在内网泛滥。
  • 无法识别用户的身份,无法识别非法用户导致网络存在安全隐患。
  • 缺乏对接入终端的访问控制,只要用户接入网络,就能够*地访问整个网络。

2. 概述

        主导思想: 只有合法的用户、安全的终端才可以接入网络。

        用户终端:PC、手机、打印机、摄像头

        网络准入设备:终端网络的认证控制点,准入设备对接入用户进行认证,是园区安全策略的实施者,按照网络指定的安全策略实施响应的准入控制。 如:交换机、路由器、无线接入点、VPN网关等

        准入服务器:实现对用户的认证和授权,用于确认尝试接入网络的终端身份是否合法,还可以指定身份合法的终端所能拥有的网络访问权限。如:RADIU服务器和用户数据源服务器(存储用户的身份信息)。

3. 基本原理

4. 策略授权

       策略管控: 终端通过认证接入网络,也并不意味着可以访问网络内的所有资源,而是需要基于用户身份对其加以区分,分别赋予其不同的网络访问权限。

二、认证技术

1. 802.1X认证

        802.1X认证是一种基于端口的网络接入控制协议,即在接入设备的端口这一级验证用户身份并控制其访问权限。使用EAPol(局域网可扩展认证协议),实现客户端、设备端和认证服务器之间认证信息的交换。

        应用场景:对安全要求较高的办公用户认证场景。

① 认证方式(网络接入设备和认证服务器间

  • EAP终结       EAP报文在设备终端终结并重新封装到RADIU报文中,利用标准RADIUS协议完成认证、授权和计费。

  • EAP中继      EAP报文直接封装在RADIUS报文中,以便穿越复杂的网络到达认证服务器。

EAP中继

优点:设备端处理更简单,支持更多的认证方式

缺点:认证服务器必须支持EAP,且处理能力足够强

EAP终结

优点:  现有的RADIUS服务器基本均支持PAP和CHAP认证,无需升级服务器,

缺点:  设备端工作比较繁重 ,不仅要提取客户端信息,还要封装成RADIUS协议   

② 认证流程

③ 接入控制方式

  • 基于端口模式
        当采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源。但是当第一个用户下线后,其他用户也会被拒绝使用网络。

  • 基于MAC模式

        当采用基于MAC地址方式时,该端口下的所有接入用户均需要单独认证。当某一用户下线时,不影响其他用户接入网络。

④基本配置命令
  • 创建802.1x接入模板视图
[Huawei]dolt1x-access-profile name XXX
  • 配置802.1X用户的认证方式
[HuHuawei-dot1x-XXX]dot1x authentication-method  chap/pap/eap
  • 配置触发802.1X认证的报文类型
[Huawei-dot1x-XXX]authentication trigger-condition {dhcp | arp | dhcpv6 | any-l2-packet }
  • 配置802.1X认证报文二层透明传输功能
[Huawei]l2protocol-tunnel user-defined-protocol protocol-Name  protocol-mac protocol-mac group-mac group-mac
[Huawei-ge0/0/0]l2protocol-tunnel user-defined-protocol protocol-name enable
802.1X认证场景中,如果使能802.1X认证的接入设备和用户之间存在二层交换机,则 二层交换机上配置802.1X认证报文二层透明传输功能,否则用户无法认证成功。

2. MAC地址认证

① 概述

        MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。

② 应用场景

  • 不需要用户安装任何客户端软件
  • 适用于IP电话、打印机等哑终端接入

③ 配置命令

  • 创建MAC接入模板视图
[Huawei]mac-access-profile name access-profile-name
  • 配置MAC认证用户的认证方式
[Huawei-mac-access-profile]mac-authen authentication-method {chap |  pap}
  • 配置能够触发MAC认证的报文类型
[Huawei-access-profile-profilename]authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet }
  • mac认证用户采用的用户名形式
[Huawei-mac-access-profileName]mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen | without-hyphen } [ password cipher password ] ]}

3. Portal认证

① 概述

        Portal认证也称为Web认证。用户可以通过Web认证页面,输入用户账号和密码信息,实现对终端用户身份的认证。

② 认证方式

  • 主动认证: 通过浏览器主动访问Portal认证网站
  • 重定向认证: 用户输入的访问地址不是Portal认证网站地址,被接入设备强制访问Portal认证网站。

③ 应用场景

        Protal认证不需要安装专门的客户端软件,因此主要用于无客户端软件要求的接入场景访客接入场景。

④ 优点

  • 一般情况下,客户端不需要安装额外的软件,直接在网页上认证,简单方便
  • 便于运营,可以在网页上进行广告发布、企业宣传等业务拓展
  • 技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络
  • 部署位置灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证

⑤ 认证流程     

基于Protal协议的认证

基于HTTP/HTTPS协议的认证

⑥ 配置外置Portal服务器

Ⅰ.开启HTTP/HTTPS协议的Portal对接功能

[Huawei]portal web-authen-server { https | http ssl-policy policy-name } [port port-name]

Ⅱ. 创建/进入Portal服务器模板

[Huawei]web-auth-server server-name

Ⅲ. 配置Portal认证时所使用的协议

[Huawei-web-auth-server-ServerName]protocol {http [password-encrypt] {none | uam }| portal }

Ⅳ.基于Portal协议的Portal服务器参数配置

[Huawei-web-auth-server-ServerName] server-ip server-ip-address
[Huawei-web-auth-server-ServerName] source-ip ip-address
[Huawei-web-auth-server-ServerName] shared-key cipher key-string
[Huawei-web-auth-server-ServerName] url url-string

 Ⅴ. 基于HTTTP/HTTPS协议的Portal服务器参数配置

[Huawei-web-auth-server-ServerName] url url-string

⑦ 配置Portal接入模板

Ⅰ. 创建/进入Portal接入模板

[Huawei] portal-access-profile name access-profile-name

Ⅱ. 配置Portal接入模板使用的Portal服务器模板

[Huawei-portal-acces-profile-ProfileName] web-auth-server server-name  { direct | layer3 }

4. MAC旁路认证

        当接入设备接口下同时存在PC和打印机/传真机等哑终端时,可以通过MAC旁路认证功能,使不具备802.1x认证功能的哑终端能够通过MAC认证方式接入网络。

5. MAC优先的Portal认证

①技术背景

        用户进行Portal认证成功后,如果断开网络,重新连接时需要再次输入用户名、密码,体验差。

②mac优先

        用户进行Portal认证成功后,在一定时间内断开网络重新连接,能够直接通过MAC认证接入,无需输入用户名、密码重新认证。

③ 认证流程

三、用户授权与下线

1.认证授权

       vlan: 为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的vlan。

        acl: 用户认证成功后,认证服务器将指定ACL授权给用户,则设备会根据该ACL对用户报文进行控制。

        UCL: User Control List,用户控制列表,是网络成员的集合。

2. 用户下线

  • 客户端主动下线
  • 接入设备控制用户下线
  • 服务器控制用户下线

四、NAC配置

        用户接入认证配置思路

五、策略联动

1. 技术背景

①选择接入层设备作为认证点面临的问题

  • 接入层设备数量多,配置工作量大,运维难度大
  • 接入层设备数量多,增加AAA服务器的负担
  • 用户必须在固定位置接入网络

②上移面临问题

  • 接入层设备需透传BPDU报文,否则用户的802.1X认证将失败
  • 准入管控太高,同一层接入设备上相同vlan用户之间的访问不受控制
  • 用户接入的具体位置无法感知、不易于故障定位
  • 网关设备无法实时感知用户下线

2. 策略联动

        通过在网关设备上统一管理用户的访问策略,并且在网关设备和接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。

        认证控制点与认证执行点之间建立CAPWAP隧道,完成设备之间用户关联、消息通信、用户授权策略下发、用户同步等处理。

3.实现机制

典型场景:

  • 用户接入:  认证执行点建立用户关联表,用户与认证控制点之间进行认证交互,认证成功后认证控制点下发授权信息到认证执行点。
  • 用户离开: 用户断开与接入设备连接,认证执行点实时通过CAPWAP隧道通知认证控制点,认证执行点清除用户表项。
  • 用户移动:用户连接到新的网络之后,重新完成认证操作。

总结

对比项

802.1X认证

Portal认证

MAC认证

客户端软件需求

必须安装

不需要

不需要

优点

安全性高

部署灵活

无需安装客户端

缺点

部署不灵活

安全性不高

需登记MAC地址,管理复杂

适用场景

新建网络、用户集中、信息安全要求严格的场景

用户分散、用户流动性大的场景

打印机、传真机等哑终端接入认证的场景

上一篇:Python中的`drop`和`index[1:]`用法详解


下一篇:科技赋能投资:正大智能策略助力市场新机遇