1、前言

　　網絡準入控制(NAC)是一項由思科發起、多家廠商參加的計劃，其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。借助NAC，客戶可以只允許合法的、值得信任的終端設備(例如PC、服務器，PDA)接入網絡，而不允許其它設備接入。

　　2、網絡準入的幾種方式

　　目前有四種網絡準入控制：802.1x準入控制、DHCP準入控制、網關型準入控制、ARP準入控制。

　　802.1x準入控制需要交換機支持802.1x協議，能夠真正的做到對網絡邊界的保護，但對于不支持802.1x協議的交換機無法實現準入控制，同時交換機下接不啟用802.1x功能的交換機時，也無法對終端進行準入控制。

　　DHCP準入控制與現有網絡兼容性較好，但控制力度不如802.1x準入控制，需要支持DHCP服務的網絡環境。個人也可以通過指定IP跳過控制。網關型準入控制不是一種真正意義上的準入控制.它只控制了網絡的出口，沒有控制內網的邊界接入。

　　ARP型準入控制使用ARP欺騙和ARP攻擊對不合規的終端進行攻擊，達到對網絡邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火墻的終端沒有作用。另外，ARP的攻擊會造成網絡堵塞，不利于大型網絡。從以上準入形式看，802.1x準入控制應是未來準入控制的方向。

　　3、支持802.1x協議的NAC系統組成

　　網絡準入控制主要由終端安全檢查軟件、網絡接入設備和策略/AAA服務器構成。終端安全檢查軟件主要負責對接入的終端進行主機健康檢查和進行網絡接入認證。網絡接入設備是實施準入控制的網絡設備，包括路由器，交換機.無線接入點和安全設備。這些設備接受主機委托.然后將信息傳送到策略服務器.在那里實施網絡準入控制決策。網絡將按照客戶制定的策略實施相應的準入控制決策：允許、拒絕、隔離或限制。策略/AAA服務器負責評估來自網絡設備的端點安全信息，并決定應該使用哪種接入策略(接入、拒絕、隔離或打補丁)。

　　4、NAG系統的基本工作原理

　　當終端接入網絡時，首先由終端設備和網絡接入設備(如：交換機，無線AP、VPN等)進行交互通訊。然后，網絡接入設備將終端信息發給策略/AAA服務器對接入終端和終端使用者進行檢查。當終端及使用者符合策略/AAA服務器上定義的策略后.策略/AAA服務器會通知網絡接入設備，對終端進行授權和訪問控制。

　　5、SEP準入控制系統

　　5.1通過域用戶認證的Symantec網絡準入控制

　　Symantec準入選擇通過802.1x協議實現，802.1x的網絡準入控制能夠真正做到對網絡邊界的保護。同時支持通過域用戶認證來實現認證環節。Symantec網絡準入流程為：用戶用自己的域帳號登陸進行802.1x認證，認證失敗則被拒絕接入網絡。認證成功后打開交換機端口分配IP地址，然后進行主機完整性檢查，主機完整性檢查不通過則被隔離掉，只能訪問特定的網站，主機完整性檢查通過后，應用防火墻策略，允許用戶正常使用網絡。

　　目前Symantec網絡準入控制采用的是Symantec SEP 11.0和擴展Symantec SNAC 11.0，該系統包括如下幾個部分：Symantec EntERPrise Protection Manager(策略管理服務器)，以下簡稱SEPM。SNAC6100 LAN Enforcer(局域網準入控制器)，以下簡稱LAN Enforcer。Symantec Endpoint Protection和Symantec Network Access Control(終端安全Symantec客戶端)，以下簡稱Symantec客戶端。

　　SEPM策略服務器實現所有安全策略、準入控制規則的管理、設定和監控及symantec客戶端的管理，病毒庫的升級。

　　LAN Enforcer作為終端用戶接入網絡時的安全性認證服務器，負責處理不同交換機的認證請求.Symantec客戶端是整個企業網絡安全策略的執行者，實現主機完整性檢查和防火墻策略的執行。它安裝在網絡中的每一臺終端計算機上。

　　5.2通過域用戶認證的Symantec網絡準入存在的問題

　　Symantec網絡準入無法實現windows域登陸和802.1x認證同步，802.1x認證通過后才能得到地址聯通網絡，而802.1x認證必須在進入桌面后才能進行，造成新裝機電腦第一次開機無法聯通網絡域控制器進入桌面，因而也就無法進行802.1x認證。

　　6、802.1x接入認證與域認證結合存在的問題

　　Windows域登錄認證要求用戶必須首先接入網絡.建立用戶與域控制器間的網絡連接，然后才可以登錄并進入桌面。而一般的802.1x認證需要用戶首先進入桌面.然后才可以進行網絡接入認證、建立網絡連接。兩種認證之間的時序依賴關系產生了明顯的矛盾，導致使用802.1x進行網絡接入認證的用戶無法登錄到Windows域。

　　Windows域與802.1x認證服務器各自擁有專用的用戶身份識別和權限控制信息，造成用戶接入網絡和登錄Windows域時需要使用兩套用戶名和密碼，給用戶的使用帶來不少操作上的麻煩。

　　7、EAD終端準入控制

　　EAD是H3C公司開發的一套網絡準入系統，其部署架構也與SNAC相近，與SEP類似支持通過域用戶認證的網絡準入模式。通過對認證中不同步問題的解決，實現與域用戶認證的統一認證。EAD使用LDAP功能實現用戶和Windows域用戶信息的同步，并通過H3C自主開發的iNode智能客戶端實現認證流程的同步。

　　802.1x接入認證階段：安裝有H3C iNode智能客戶端的用戶終端開機后進入普通的域登錄界面，用戶按一般的域登錄流程輸入用戶名、密碼和域名，點擊登錄按鈕IiNode智能客戶端截獲Windows域登錄請求，使用域登錄輸入的用戶名、密碼同步發起802.1x認證t802.1x認證請求通過交換機轉發到EAD策略服務器，進行802.1x接入身份認證。

　　認證轉發階段：EAD策略服務器將用戶認證請求通過LDAP接口轉發到Windows 域控制器，進行Windows 域用戶名、密碼驗證；通過Windows域控制器的身份認證后，再由EAD策略服務器向用戶終端授權網絡訪問權限。域認證階段：認證通過并獲得網絡訪問權限的用戶終端通過iNode客戶端的控制，繼續進行域登錄認證，Windows操作系統繼續完成普通的域登錄流程，獲取應用資源訪問權限。

　　通過以上的統一認證流程，用戶只需按照正常的域登錄操作.即可同時完成802.1x接入認證和Windows域登錄認證，達到了統一認證和單點登錄的目的。

　　8、企業的選擇

　　對于較具規模并對信氮化依賴度高的企業，在應用域管理用戶的同時可以參照與802.1x認證相結合的方式，以達到網絡準入的目的。各企業可根據選擇產品的不同，選擇適合自身實際的認證過程.以保證系統的兼容、好用和投資效益。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：支持802.1x的網絡準入系統在企業中的應用

本文網址：http://www.guhuozai8.cn/html/support/11121510907.html