浅谈8021X协议的网络准入控制技术.doc

浅谈802.1X协议的网络准入控制技术摘要：首先对部分大型企业的信息安全建设现状、终端安全问题作现状分析，然后针对现状作需求分析。设定企业加强计算机终端接入网络的管控，控制网络病毒、蠕虫的蔓延的建设目标。针对建设目标，作可行性分析，并给出详细的基于802.1x网络准入控制技术的解决方案。关键词：802.1x网络准入控制 symanteccisco0引言目前，企业的办公和生产对信息化的依赖程度越来越高，对信息网络安全要求也越来越高。企业的信息网络规模越庞大，信息接入点就越多，难以杜绝不符合安全规范的终端接入网络中，这些终端都将成为传播病毒的源头和被病毒感染的对象，影响企业内部信息网络和终端的可利用率。为防止非授权终端和用户接入网络，消除不符合企业安全策略的终端接入网络所带来的安全隐患，建立一套网络准入控制系统，能够有效保证只有合法的用户在经过授权、并且使用符合安全策略的终端上才可以接入企业的内部信息网，从而实现接入内部信息网的终端和用户都是合法的、安全的、可控的，对于不符合安全要求的终端，只能接入到隔离网络进行安全修复。1、需求分析（1）设备准入控制建立内部信息网接入网络准入控制改造，实现基于mac地址授权的设备准入控制，只有经过授权的终端才可以接入内部信息网络。（2）用户准入控制基于交换机端口802.1x的用户准入控制，通过与ad域结合，实现只有合法用户才可以接入内部信息网络。（3）系统安全合规性准入控制消除不符合企业安全策略的终端接入网络带来的安全隐患，实现只有符合公司安全接入策略的终端才能接入企业内部信息网络。2、产品选型：目前主流的主机安全合规性检查产品入产品主要有symantec 网络访问控制产品、cisco 网络访问控制产品、forescout网络准入控制产品，下面对主流的网络准入产品进行比较。详见表一。3、综合对比：优点：（1）symantec nac技术比较成熟，功能比较完善，稳定性较好。与symantec防病毒系统、端点保护系统无缝集成，是一套完整的桌面终端安全保护和网络准入方案，带有完整的端点保护功能：防病毒、主机防火墙、主机ips、程序控制等保护功能，无需再安装额外的端点防护软件。（2）juniper uac可使用802.1x将其部署在l2，或使用防火墙的部署方法将其部署在l3。也可使用混合模式来设置uac，将802.1x 用于网络准入控制并将l3 设置用于资源接入控制。采用混合模式来可以取得较高的控制强度。终端管理简单方便，可选择免安装agent方式。（3）cisco nac 多种方案供选择和部署方式多样化。处理工作倚重硬件完成，性能较好。使用轻量agent，对客户端资源消耗小。缺点：（1）symantec nac客户端功能全，对客户端消耗资源较大。不支持使用网络防火墙作为接入控制。（2）juniper uac 采用802.1x+防火墙的混合控制方式，需要在每台接入交换机处安装juniper防火墙，耗资较大。不支持除juniper外其他网络防火墙作为接入控制。终端无防病毒系统和端点防护系统，需配合其他品牌产品使用。（3）cisco nac方案过于复杂分散、组件过多，对日后运行维护复杂，管理较困难。终端无防病毒系统和端点防护系统，需配合其他品牌产品使用。从产品的稳定性、功能完善性、维护管理简易度的角度，以及产品的日志系统、报表系统等角度分析，symantec nac准入控制系统在主机安全合规性检查产品相当大的优势。所以在本次网络准入中采用symantec nac准入控制系统在主机安全合规性检查。4、总体实现设计4.1总体实现设计说明：（1）meta ip dhcp服务器对接入到网络提出ip地址申请的设备进行mac地址认证，非授权接入的设备一律拒绝分配ip地址；（2）赛门铁克lan enforcer设备会对分配了ip地址而对交换机提出802.1x认证请求的设备进行有关的终端合规性检查。对于不符合安全策略的终端根据策略执行不同的处理，可以将其置于隔离区；（3）对于不符合安全策略的终端，可以分配到受限组并令其限时修复；也可以只是对其进行提示，还可以有其他多种的处理方法；（4）所有终端设备（除了极少数设备没有dhcp功能而需要在交换机上设置例外放行规则之外）都必须通过合法dhcp服务器来获得正确的ip地址，否则接入交换机会利用dhcp snooping+dai特性禁止其进入；（5）在接入交换机的上级三层汇聚交换机上启用dhcp snooping+dai特性，交换机检查记录所有的dhcp请求以及返回地址分配信息、ip地址租用时间，对ip地址、mac地址、交换机物理端口进行动态绑定，在ip地址租用时间范围内符合以上绑定信息的通信才可以通过交换机端口，也就是说满足以上绑定条件才能进入网络；（6）安全策略检查、文件审计、访问限制等策略的执行，一般由sep客户端实现； lan enforcer也可以对终端进行扫描以检查其是否符合策略；（7）安装了sep客户端能够自动判别使用环境的不同，而执行不同的安全强制策略。赛门铁克lan enforcer 802.1x 是带外802.1x radius 代理解决方案，它与支持802.1x 标准的所有主要交换供应商协同工作。几乎所有有线以太网和无线以太网交换机制造商都支持ieee 802.1x 准入控制协议。lan enforcer 使用该链接级协议评估端点遵从性，提供自动问题修复并允许遵从系统进入企业网络。在实施期间，端点上的赛门铁克代理使用802.1x 将遵从信息传送到网络交换机上，然后将此信息中继到lan enforcer。如果端点不遵从策略，lan enforcer 会将其放入隔离网络，在此对其进行修复，而不会影响任何遵从端点。symantec network access control 补救端点并将其转换到遵从状态后，802.1x 协议将试图对用户重新进行身份验证，并为其授予网络访问权限。lan enforcer 可以参与现有aaa 身份管理架构以便对用户和端点进行身份验证，对于只要求进行端点遵从验证的环境，也可以充当独立的radius 解决方案（也称为透明模式，本项目采用此方式）。在透明模式下，管理员只需将交换机配置为使用lan enforcer 作为radius 服务器，就能让设备根据遵从所定义策略的情况对端点进行身份验证。在透明模式下运行lan enforcer 无需额外基础架构，并且是一种实施基于vlan 交换的安全网络准入控制解决方案的简单方法。4.2针对cisco交换机相关配置针对常用cisco 2950交换机，在此给出相关的配置命令，同时交换机的ios版本需要cisco ios release 12.2(50)se 以上版本来支持关键特性。全局配置：aaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radiusdot1x system-auth-controlradius-server host 192.168.0.1 auth-port 1812 acct-port 1813 test username rootidle-time 1 key 123456radius-server retransmit 3备注：其中192.168.0.1为赛门铁克lan enforcer的服务器ip地址。端口配置：switchport mode accessdot1x port-control autodot1x timeout quiet-period 30dot1x timeout reauth-period 30dot1x timeout supp-timeout 2dot1x max-reauth-req 1dot1x guest-vlan 2spanning-tree portfastdot1x reauthentication隔离vlan配置：vlan 2name guset_vlan最终交换机802.1x认证特性流程图如下图二所示：图二最终交换机802.1x认证特性流程图5、结语本文详细介绍了一种基于802.1x协议的网络准入控制技术在企业实现的技术方案。本文的技术方案可作为规模相近、有类似终端安全问题的企业在网络准入控制方面参考之用。在运用网络准入控