1、引言

　　隨著企業(yè)信息化發(fā)展的不斷深入，企業(yè)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高，信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營(yíng)及管理活動(dòng)，甚至直接影響企業(yè)未來(lái)發(fā)展。目前，企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅，既有來(lái)自外部的，也有來(lái)自內(nèi)部的。外部威脅主要通過(guò)互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播等惡意行為。內(nèi)部威脅主要用戶安全意識(shí)薄弱，因存儲(chǔ)介質(zhì)、文件共享等途徑感染病毒風(fēng)險(xiǎn)。對(duì)于外部威脅，可使用防火墻、網(wǎng)關(guān)殺毒等設(shè)備進(jìn)行安全防護(hù)；對(duì)于內(nèi)部威脅作，則可通提升用戶信息安全意識(shí)、加強(qiáng)終端安全管理等措施進(jìn)行防護(hù)。

　　然而，隨著信息化建設(shè)的深入，作為信息化建設(shè)的基礎(chǔ)設(shè)施-計(jì)算機(jī)網(wǎng)絡(luò)，其規(guī)模也隨著信息化建設(shè)而不斷擴(kuò)大。企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大、信息接入點(diǎn)增多、分布范圍廣，使信息接入點(diǎn)管控難度大。從而容易出現(xiàn)非法用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)，其不但可以毫無(wú)限制的訪問(wèn)內(nèi)網(wǎng)資源，竊取企業(yè)內(nèi)部秘密信息，造成信息泄露，而且可能發(fā)起主動(dòng)攻擊或因攜帶病毒、蠕蟲(chóng)等因素而造成整個(gè)網(wǎng)絡(luò)與信息系統(tǒng)癱瘓的風(fēng)險(xiǎn)，對(duì)企業(yè)信息與網(wǎng)絡(luò)安全造成巨大威脅。IEEE802.1x是基于端口的訪問(wèn)控制協(xié)議，網(wǎng)絡(luò)端口啟用802.1x，采用主動(dòng)威脅防護(hù)，從源頭做起，在終端接入網(wǎng)絡(luò)之前，對(duì)終端進(jìn)行身份驗(yàn)證，同時(shí)檢查是否符合網(wǎng)絡(luò)接入安全策略要求；接入之后，同時(shí)對(duì)用戶進(jìn)行權(quán)限識(shí)別，根據(jù)身份認(rèn)證，確認(rèn)用戶對(duì)內(nèi)網(wǎng)資源的訪問(wèn)權(quán)限。

　　2、802.1x協(xié)議

　　IEEE802 LAN/WAN委員會(huì)為解決無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題，提出了802.1x協(xié)議。后來(lái)，隨著技術(shù)的發(fā)展，802.1x協(xié)議被廣泛應(yīng)用在以太網(wǎng)上，作為一種接入控制機(jī)制。

　　802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control protocol），即是指在接入設(shè)備的端口處對(duì)終端設(shè)備進(jìn)行認(rèn)證和控制，限制沒(méi)有權(quán)限的用戶或設(shè)備獲取未授權(quán)網(wǎng)絡(luò)訪問(wèn)權(quán)限。

　　用戶、終端設(shè)備在接入局域網(wǎng)，獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限之前，實(shí)施802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備會(huì)對(duì)接入的用戶或設(shè)備進(jìn)行權(quán)限認(rèn)證。網(wǎng)絡(luò)設(shè)備的端口此時(shí)處于關(guān)閉狀態(tài)，但允許EAPOL數(shù)據(jù)包通過(guò)。EAPOL是802.1X協(xié)議定義的一種報(bào)文封裝格式，主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報(bào)文，以允許EAP協(xié)議報(bào)文在LAN上傳送，從而將用戶認(rèn)證信息傳送至認(rèn)證服務(wù)器。

　　如果認(rèn)證通過(guò)，在交換機(jī)打開(kāi)端口，允許業(yè)務(wù)數(shù)據(jù)通過(guò)；如果認(rèn)真失敗，則保持端口關(guān)閉狀態(tài)，或者執(zhí)行其他安全策略，如打開(kāi)端口，并將該端口劃分至客戶vlan中。

　　2.1 802.1x協(xié)議的體系結(jié)構(gòu)

　　802.1x協(xié)議主要由三部分組成：客戶端(supplicant system)、認(rèn)證系統(tǒng)(authenticator system)、認(rèn)證服務(wù)器(authentication server system)。圖1描述了三者之間的關(guān)系以及互相之間的通信過(guò)程。
 

　　(1)客戶端一般為一個(gè)用戶終端，該終端一般安裝一個(gè)認(rèn)證軟件，用戶通過(guò)允許該軟件發(fā)起802.1x協(xié)議認(rèn)證。客戶端要求支持EAPOL協(xié)議，以實(shí)現(xiàn)基于端口的接入控制。

　　(2)認(rèn)證系統(tǒng)為通常為網(wǎng)絡(luò)設(shè)備，即網(wǎng)絡(luò)交換機(jī)，客戶端網(wǎng)絡(luò)設(shè)備接入局域網(wǎng)。認(rèn)證系統(tǒng)中支持兩種邏輯端口，受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi)，用于傳遞業(yè)務(wù)數(shù)據(jù)。非受控端口一直處于打開(kāi)狀態(tài)，用于收發(fā)EAPOL協(xié)議幀，通過(guò)非受控端口，用戶或設(shè)備能正常發(fā)送或接收認(rèn)證請(qǐng)求。

　　(3)認(rèn)證服務(wù)器一般為RADIUS服務(wù)器。在認(rèn)證服務(wù)器上保存用戶的帳號(hào)、密碼、以及用戶的權(quán)限等信息，主要實(shí)現(xiàn)對(duì)用戶進(jìn)行認(rèn)證、審計(jì)、授權(quán)、計(jì)費(fèi)等功能。

　　2.2 802.1x協(xié)議的認(rèn)證過(guò)程

　　802.1x協(xié)議的認(rèn)證過(guò)程有兩種，分別是EAP中繼模式和EAP終結(jié)模式，以下為簡(jiǎn)要說(shuō)明EAP中繼模式認(rèn)證過(guò)程：

　　(1)客戶端發(fā)送認(rèn)證請(qǐng)求報(bào)文到網(wǎng)絡(luò)交換機(jī)；

　　(2)交換機(jī)收到報(bào)文后，發(fā)送報(bào)文要求客戶端提供認(rèn)證信息；

　　(3)客戶端收到交換機(jī)報(bào)文后將用戶信息發(fā)送給交換機(jī)；交換機(jī)收到用戶信息，將其轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。

　　(4)認(rèn)證服務(wù)器收到交換機(jī)發(fā)送的報(bào)文后，根據(jù)用戶信息隨機(jī)產(chǎn)生的一個(gè)加密密碼，并將其發(fā)送給交換機(jī)，交換機(jī)再將該密碼發(fā)送個(gè)客戶端。

　　(5)客戶端收到加密密碼后對(duì)用戶的密碼進(jìn)行加密，然后通過(guò)交換機(jī)發(fā)送給認(rèn)證服務(wù)器。

　　(6)認(rèn)證服務(wù)器對(duì)客戶端發(fā)送的用戶名密碼進(jìn)行匹配，如果認(rèn)證成功，則發(fā)送認(rèn)證成功信息，通知交換機(jī)打開(kāi)受控端口，用戶獲取正常網(wǎng)絡(luò)訪問(wèn)權(quán)限；如果認(rèn)證失敗，則發(fā)送認(rèn)證失敗信息，交換機(jī)繼續(xù)關(guān)閉受控端口。

　　2.3 與802.1x配合使用的一些特性

　　(1)Vlan下發(fā)。當(dāng)認(rèn)證服務(wù)器配置下發(fā)vlan功能后，在認(rèn)證服務(wù)器端上配置用戶的vlan信息，當(dāng)服務(wù)器下發(fā)認(rèn)真信息時(shí)，包含vlan，將端口劃進(jìn)相應(yīng)vlan。此操作不更改交換機(jī)配置，當(dāng)用戶下線后，端口恢復(fù)原先配置。

　　(2)GUEST VLAN。在交換機(jī)端口上配置GUEST VLAN，當(dāng)用戶未通過(guò)認(rèn)證，或終端未安裝認(rèn)證客戶端時(shí)將端口劃分至GUEST VLAN。用戶進(jìn)入GUEST VLAN訪問(wèn)特地的資源。

　　(3)ACL下發(fā)。認(rèn)證服務(wù)器還可以配置想要用戶的ACL，認(rèn)證服務(wù)將ACL發(fā)送至交換機(jī)，對(duì)用戶執(zhí)行相應(yīng)的ACL，原理如同下發(fā)VLAN一樣。

　　3、實(shí)施基于802.1x網(wǎng)絡(luò)準(zhǔn)入控制的實(shí)施

　　802.1x準(zhǔn)入控制系統(tǒng)主要由認(rèn)證服務(wù)器、認(rèn)證系統(tǒng)、客戶端三部分組成。實(shí)施網(wǎng)絡(luò)準(zhǔn)入，首先要確保網(wǎng)絡(luò)的連通性，即認(rèn)證系統(tǒng)能與認(rèn)證服務(wù)器能正常通信、客戶端與認(rèn)證系統(tǒng)能實(shí)現(xiàn)必要的認(rèn)證報(bào)文傳輸。確定網(wǎng)絡(luò)連通性后，開(kāi)始逐步配置認(rèn)證服務(wù)器、認(rèn)證系統(tǒng)及客戶端。

　　3.1 認(rèn)證服務(wù)器配置

　　802.1x網(wǎng)絡(luò)準(zhǔn)入的實(shí)施要結(jié)合企業(yè)的具體需求。對(duì)于大型企業(yè)，由于用戶較多，為方便管理維護(hù)，一般都會(huì)實(shí)施域管理。802.1x與域相結(jié)合，是大部分實(shí)施域控企業(yè)的選擇。搭建認(rèn)證服務(wù)器時(shí)，可直接連接域控服務(wù)器，使用域賬戶對(duì)用戶進(jìn)行認(rèn)證、授權(quán)、審計(jì)。

　　連接域之后，從安全性和靈活性考慮，大部分企業(yè)采取的準(zhǔn)入控制流程為：

　　(1)對(duì)主機(jī)完整性檢查，檢查終端是否已經(jīng)入域，并檢查終端時(shí)候安裝準(zhǔn)入客戶端。如檢查通過(guò)，則進(jìn)入下一步檢查，否則將認(rèn)證服務(wù)器通知認(rèn)證系統(tǒng)，打開(kāi)網(wǎng)絡(luò)端口，并將終端進(jìn)行隔離，即將網(wǎng)絡(luò)端口劃分至客戶vlan。客戶vlan只有有限的資源提供給終端訪問(wèn)，終端可以在客戶vlan進(jìn)行修復(fù)，修復(fù)完成后，重新進(jìn)行主機(jī)完整性檢查。

　　(2)通過(guò)主機(jī)完整性檢查后，準(zhǔn)入客戶端獲取終端的域賬戶，然后對(duì)賬戶進(jìn)行認(rèn)證。如通過(guò)認(rèn)證，則通知交換機(jī)打開(kāi)工作端口，讓終端在正常的工作vlan上工作，訪問(wèn)所以該賬戶能訪問(wèn)的資源；如未通過(guò)認(rèn)證，則認(rèn)證服務(wù)器通知認(rèn)證系統(tǒng)，打開(kāi)網(wǎng)絡(luò)端口，并將端口劃分進(jìn)客戶vlan。

　　以上認(rèn)證策略既能保證非授權(quán)終端訪問(wèn)非授權(quán)網(wǎng)絡(luò)資源，保障內(nèi)網(wǎng)安全；又能提供一定了靈活性，讓不滿足條件的可信終端進(jìn)行修復(fù)，使其能正常接入網(wǎng)絡(luò)。

　　認(rèn)證服務(wù)器除虛配置與域控連接、認(rèn)證策略外，還需認(rèn)證系統(tǒng)進(jìn)行授權(quán)。為此需將認(rèn)證系統(tǒng)（如交換機(jī)）的IP地址、密碼等信息配置進(jìn)認(rèn)證服務(wù)器。

　　3.2 認(rèn)證系統(tǒng)配置

　　認(rèn)證系統(tǒng)通常為網(wǎng)絡(luò)交換機(jī)，在此以思科交換機(jī)(IOS 12.2)為例說(shuō)明認(rèn)證系統(tǒng)配置：

　　(1)啟用aaa
 

　　交換機(jī)登錄方式為none，802.1x認(rèn)證方式為radius，授權(quán)方式也為radius

　　(2)配置radius服務(wù)器 
 

　　配置服務(wù)器的地址、認(rèn)證端口、審計(jì)端口及相應(yīng)的密碼，認(rèn)證端口默認(rèn)為1812，審計(jì)默認(rèn)端口為1813

　　(3)交換機(jī)端口配置
 

　　認(rèn)證方式為pae，采用多終端模式，配置客戶vlan為1000

　　(4)全局啟用802.1x
 

　　3.3 客戶端配置

　　企業(yè)802.1x認(rèn)證系統(tǒng)一般集成一個(gè)客戶端軟件。用戶只需在終端上安裝準(zhǔn)入客戶端，輸入帳號(hào)、密碼，或采用單點(diǎn)登錄方式，即可發(fā)送認(rèn)證請(qǐng)求。

　　4、總結(jié)

　　終端準(zhǔn)入控制是確保網(wǎng)絡(luò)與信息安全的重要措施，通過(guò)使用802.1x協(xié)議對(duì)接入終端進(jìn)行身份認(rèn)證，能有效的控制非法終端的接入。且802.1x具有簡(jiǎn)潔高效、安全可靠、應(yīng)用靈活、易于運(yùn)營(yíng)，且采用行業(yè)標(biāo)準(zhǔn)等優(yōu)勢(shì)，在網(wǎng)絡(luò)準(zhǔn)入控制方面得到廣泛的應(yīng)用。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：基于802.1x的企業(yè)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/11121510931.html