网络访问控制技术介绍

1、网络访问控制技术介绍技术创新，变革未来网络访问控制是网络管理的重要内容通过安全策略阻止不符合安全要求的终端访问网络对WEB访问用户进行控制通过ACL过滤非法用户相关技术：EAD、PORTAL、ACL引入掌握EAD安全防御系统原理与配置掌握PORTAL认证原理与配置掌握以太网ACL的分类和使用课程目标学习完本课程，您应该能够：EAD解决方案PORTAL认证以太网访问控制列表目录EAD概述EAD（Endpoint Admission Defense，端点准入防御）是一种安全防御解决方案，能弥补传统的单点安全防御的不足服务器区域安全策略服务器防病毒服务器补丁服务器用户区域接入设备EAD工作原理安全客

2、户端安全联动设备安全策略服务器防病毒/补丁服务器用户访问网络前的身份验证对合法用户控制网络权限，下发安全策略与第三方桌面管理系统协同检查终端安全状态安全策略检查结果上报安全策略服务器根据检查结果控制访问权限安全检查不合格用户进入隔离区，进行系统修复和软件升级安全客户端平台防病毒客户端认证软件其他插件EAD配置配置策略服务器配置EAD快速部署免认证网段配置EAD快速部署重定向URLSWA-radius-name security-policy-server ip-addressSWA dot1x free-ip ip-address mask-address | mask-length SWA

3、dot1x url url-stringEAD配置示例InternetPCASWAWEB server/24服务器区域E1/0/1E1/0/2SWA-radius-name security-policy-server SWA dot1x free-ip 24SWA dot1x url SWA dot1xSWA interface ethernet1/0/1SWA-Ethernet1/0/1 dot1x安全策略服务器/24防病毒服务器通过配置EAD快速部署，使用户在通过认证前访问WEB服务器而下载客户端软件EAD解决方案PORTAL认证以太网访问控制列表目录PORTAL概述Portal认证通常

4、也称为WEB认证，是一种运营商常用的，通过强制用户到门户网站进行认证的方式主要包括认证客户端、接入设备、Portal服务器、认证/计费服务器、安全策略服务器安全策略服务器认证/计费服务器Portal服务器接入设备认证客户端PORTAL认证方式三层认证方式客户端与接入设备间有三层设备直接获得IP地址非三层认证方式客户端与接入设备间没有三层设备直接获得IP地址进行认证二次地址分配认证PORTAL直接认证方式的认证过程认证客户端Portal服务器接入设备安全策略 服务器认证/计费 服务器（1）发起连接（2）CHAP认证交互（3）认证请求（4）RADIUS协 议的认证交互（5）认证应答（6）通知用户

5、上线成功（7）认证应答确认（8）安全检测信息交互（9）授权定时器PORTAL二次地址分配方式的认证过程认证客户端Portal服务器接入设备认证/计费 服务器（1）发起连接（2）CHAP认证交互（3）认证请求（4）RADIUS协 议的认证交互（5）认证应答（6）认证成功（11）IP变化确认（12）安全检测信息交互（13）授权定时器（7）用户获得新IP（8）发现用户IP变化（9）检测用户IP变化（10）通知用户 上线成功安全策略 服务器PORTAL配置配置Portal服务器在接口下启用Portal协议并指定认证方式SWA portal server server-name ip ip-addres

6、s key key-string | port port-id | url url-string SWA-Vlan-interface100 portal server server-name method direct | layer3 | redhcp PORTAL配置示例 PCA /24SWA Eth1/0/2/24 Eth1/0/100/24Portal服务器11/24RADIUSl服务器12/24安全策略服务器13/24 SWA portal server newpt ip 11 key portal port 50100 url 11/portalSWA interface Eth

7、ernet 1/0/2SWA-Ethernet1/0/2 portal server newpt method directPortal服务器端口号为50100Portal认证方式为直接方式EAD解决方案PORTAL认证以太网访问控制列表目录ACL概述ACL（Access Control List，访问控制列表）通过配置对报文的匹配规则和处理操作来实现包过滤功能匹配条件源MAC地址、目的MAC地址源IP地址、目的IP地址端口号自定义ACL还可以应用在QoS、路由策略等方面ACL分类与构成根据ACL序号进行分类基本ACL：序号为20002999高级ACL：序号为30003999二层ACL：序号为

8、40004999用户自定义ACL：序号为50005999ACL的构成包括规则（rule）和时间段（time-range）ACL匹配顺序ACL支持两种匹配顺序（match-order）配置匹配（config）：按照用户配置规则的先后顺序进行规则匹配自动排序（auto）：按照“深度优先”的顺序进行规则匹配“深度优先”顺序判断原则基本ACL：比较源IP地址范围、规则ID高级ACL：比较协议范围、源IP/目的IP地址范围、四层端口号范围、规则ID二层ACL：比较源MAC/目的MAC范围、规则IDACL配置定义时间段创建ACL，并指定ACL序号与匹配顺序配置规则（以基本ACL为例）SWA acl num

9、ber acl-number name acl-name match-order auto | config SWA time-range time-name start-time to end-time days from time1 date1 to time2 date2 | from time1 to date1 to time2 date2 | to time2 date2 SWA-acl-basic-num rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any | time-range time-name ACL配置示例每天8:0018:00，禁止HostA访问工资查询服务器工资查询服务器SWAEth1/0/1Eth1/0/2 HostA 0011-0011-0011HostBSWA time-range test 8:00 18:00 dailySWA acl number 2000SWA-acl-basic-2000 rule 1 deny source 0 time-range testSWA-Ethernet1/0/1