网络接入控制解决方案Word格式文档下载.docx
《网络接入控制解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络接入控制解决方案Word格式文档下载.docx(28页珍藏版)》请在冰点文库上搜索。
当前企业内网缺乏必要的网络准入控制手段,无法确认连入内网的终端是否会给内网的带来安全风险,诸如:
◆接入网络的终端自身安全性无法确认或者无法保证;
◆外部非法计算机终端随意接入网络;
◆内部合法计算机终端访问未授权网络资源;
◆内部合法计算机终端滥用网络资源。
◆Windows操作系统的安全漏洞,易被黑客或者病毒利用,比如造成蠕虫病毒泛滥
◆员工安装非授权的危险软件,或者没有安装指定的安全软件(如杀毒软件)
网络接入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络,或者规范用户接入网络的行为,从而铲除网络威胁的源头,避免事后处理的高额成本。
网络准入控制最大的挑战在于网络环境的复杂性,主要归结为以下几方面:
◆终端用户的多样性-雇员、客户、供应商和合作伙伴;
◆终端设备的多样性-公司自有设备,家中的PC,第三方人员笔记本;
◆终端接入方式的多样性-有线、无线、虚拟私有网(VPN)和拨号。
由此可见,对终端设备的随意接入的管理是至关重要的,要想实现对内网的安全管理,首先需要从终端设备随意接入内网这个环节入手。
3.某网络接入控制解决方案
3.1.方案概述
网络接入控制功能可以保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端。
利用某网络接入控制功能,企业能够强制提升他们终端安全的能力,保证企业网络保护机制不被间断,配置正确无误,以及补丁拥有最新的时效性,以防御网络安全威胁。
与此同时基于网络接入控制网关。
还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过某网络接入控制可以满足企业要求,将网络接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;
能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供某网络接入控制的执行。
某内网安全管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
3.2.建设目标
为了保证内网的安全,某接入的方案在终端接入内网这个环节做好管理的同时,对该环节可能带来的潜在风险建立严格的防范控制体系。
某网络接入控制安全策略保证网络及终端整合杀毒、交换机、边界设备等其他安全技术,全面解决以上问题同时实现以下功能:
◆企业安全策略的自动强制-取代传统低效的周期性安全审计,保证已经梳理过的安全问题不会重新抬头;
◆网络的自动防御-自动实现对病毒和黑客软件的防、堵、围,减少网络瘫痪;
◆网络的自动愈合-自动修复受损终端,无需消耗大量人力资源和时间去定位、隔离和修复这些系统;
◆判断设备是否运行操作系统的授权版本;
◆通过检查来查看操作系统是否安装了适当补丁,或完成了最新的热修复;
◆判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件;
◆确保已打开并正在运行防病毒技术;
◆判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件;
◆检查设备的企业镜像是否已被修改或篡改。
3.3.某网络接入控制方案实现
3.3.1.网络接入控制流程
3.3.2.基于802.1x协议的准入控制方案
1.
2.
3.
3.1.
3.2.
3.3.
3.4.
3.4.1.1.802.1x协议认证描述
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制XX的用户/设备通过接入端口访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;
认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE(端口访问实体)。
在访问控制流程中,端口访问实体包含3部分:
1.客户端。
安装在用户的终端上(集成在EDPAgent里),当用户有网络访问需求时,EDPAgent自动激活客户端程序通过认证,或由用户手动输入必要的用户名和口令通过认证。
2.认证系统。
在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3.认证服务器。
通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
图1-2802.1x认证的体系结构
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。
对受控端口的访问,受限于受控端口的授权状态。
认证者的PAE根据认证服务器认证过程的结果,控制"
受控端口"
的授权/未授权状态。
处在未授权状态的控制端口将拒绝用户/设备的访问。
在802.1x协议中,具备了以下三个元素就能够完成基于端口的访问控制的用户认证和授权。
3.4.1.2.某接入认证功能详解
3.4.1.2.1.802.1X接入认证策略说明
11
1000
9
8
7
6
5
4
3
2
1
密码认证方式:
注释1、“单用户名密码认证”:
所接入的客户端会以该策略中指定的用户名和密码认证,不需要用户手工输入用户名和密码。
注释2、“多用户密码认证”:
所接入的客户端需要手工输入在Radius中建立的认证用户名和密码进行认证。
注释3、“域用户认证”在AD域环境下所接入的客户端在加入域后使用在策略中指定的域服务器的用户名和密码认证,该环境Radius服务器须加入到AD域成员中。
注释4、指定连续认证失败几次后进入GuestVlan。
注释5、指定密码验证类型,支持EAP-MD5和PEAP两种类型。
注释6、指定“当安检失败时,进入修复VLAN等选项”,进入修复VLAN使用指定的用户名和密码,并且指定在安检失败是延迟多少时间再进入修复VLAN。
注释7、DHCP动态IP环境认证用于DHCP环境,如果是DHCP环境该选项须选定。
认证失败后使用的用户名和密码用来在认证失败后自动进行重认证。
在使用华为认证服务器(CAMS)以及其IP绑定功能时须选定。
注释8、指定认证数据包的传输模式为组播或广播。
注释9、“过滤第三方终端认证”在接入第三方终端时是否对其认证数据包进行过滤。
注释10、“超级认证帐户”指定Radius服务器中的用户为超级认证帐户认证永远会通过。
注释11、“黑名单认证帐户”指定Radius服务器中的用户为黑名单认证帐户认证永远不会通过。
*某接入认证功能支持LAN,WAN以及VPN的802.1x认证
3.4.1.2.2.补丁与杀毒软件认证
工作原理:
杀毒软件安全检测是由本地客户端对本地系统内是否安装及运行杀毒软件进行检测,主要是检查注册表内是否有写入该几项杀毒软件的键值。
系统补丁安全检测是在用户注册客户端后,在客户端内包含一个的索引列表文件,客户端探头会根据该索引补丁列表与本地补丁进行核对来完成补丁安全检测。
设置说明:
●杀毒软件安全检测
注释1、启用“杀毒软件安全检测”:
对接入网络的计算机进行杀毒软件的安全检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装开启了杀毒软件。
注释2、“未运行杀毒软件时提示”:
当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息
注释3、“未运行杀毒软件执行(URL地址)”:
当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL地址,例如某个可以下载或者运行杀毒软件的地址。
注释4、选择“打开/下载URL地址”:
当检测到计算机没有运行杀毒软件的时候直接打开或者下载上边填写的URL地址;
选择“下载URL地址指定文件并安装”:
当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装,一般为杀毒软件;
注释5、“未运行杀毒软件时”:
当检测到计算机没有运行杀毒软件的时候执行以下操作;
“限制网络访问”:
计算机在网内只能与安全服务器列表中的IP地址通讯,禁止与其他计算机通讯;
“注销802.1认证”:
当未运行杀毒软件时,客户端将注销正常登录并进入修复vlan。
●系统补丁安全检测
注释1、启用“系统补丁安全检测”:
对接入网络的计算机进行系统补丁的安全检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装了指定系统补丁;
注释2、“漏安装列表中指定的补丁时提示”:
当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息;
注释3、“漏安装列表中指定的补丁是打开(URL地址)”:
当检测到计算机没有安装列别中指定的补丁的时候给计算机定向到指定的URL地址,例如某个可以下载到指定补丁的地址;
注释4、“漏安装列表中补丁时”:
当检测到计算机没有安装列表中的补丁时执行以下操作;
当未安装指定安全补丁时,客户端将注销正常登录并进入修复vlan;
“检测补丁列表”:
通过补丁号添加补丁检测列表,当计算机接入网络的时候会检测计算机是否安装了此列表中列出的补丁;
注释5、“DHCP与静态IP切换”当计算机安检未通过而注销正常认证进入修复Vlan后的静态IP转换为动态的DHCP的IP地址分配方式,完成修复安检通过后会重新回到正常工作Vlan;
注释6、“限制网络访问后,允许安全服务器连通列表”:
填写EDPserver、补丁服务器等安全服务器,当计算机被限制网络访问后只能与这个列表中的IP地址通讯。
3.4.1.2.3.进程服务注册表认证
策略说明:
注释1、用于认证失败时提示
注释2、认证模块认证失败时给予指定的URL地址
注释3、对该URL地址执行打开/下载以及安装和指定安装路径
注释4、同上(补丁与杀毒软件认证)
注释5、同上
注释6、同上
3.4.1.3.802.1x特色功能介绍
3.4.1.3.1.GuestVlan强制注册管理功能
功能说明:
此功能可强制引导未注册用户进行注册,并可通过本系统定制用户接入注册管理的管理流程页面,页面如下图:
VRVGRS界面
3.4.1.3.2.802.1x环境中的防止第三方认证
防止第三方802.1x协议插件通过本单位外泄的用户名口令通过本单位接入认证。
3.4.1.3.3.802.1x内外网自动识别和认证程序切换
本功能针对如本单位人员需要接入外单位的802.1X网络,可以保证网络畅通。
3.4.1.3.4.用户异地网络漫游
本功能针对解决如本地用户需要接入外地本单位网络时所出现的管理问题。
3.4.1.3.5.无线接入认证管理
无线的802.1x的认证机制和有线认证机制是不一样的,还有就是无线的客户端认证程序很多种,但是无线网络是以后发展的一种必然的趋势,然而无线认证依然存在着和有线一样的问题,(用户名及密码的丢失,会造成非法人员随意登录导致对内部网络的不安全因素。
)
针对这个问题我们结合了防止第三方认证针对无线也做了同样的设置,对无线接入做了相应的处理,只有注册了我们客户端软件的客户端才能通过无线的802.1x的认证。
3.3.3.基于接入网关的准入控制方案
基于终端接入网关的互联网接入认证
3.4.2.
3.4.2.1.接入认证网关认证描述
某接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。
使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户及其机器进行验证、授权。
能够阻止未授权计算机越权访问网络资源。
某接入认证网关与某内网安全管理系统结合可以完成网络终端注册和网络访问授权等方案,使得未注册客户端无法访问受限网络。
使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权。
该安全产品能够:
1)对未注册终端进行访问网络权限控制,可进行HTTP、DNS等重定向强制注册。
重定向网关的功能完成需要网关配置和VRVEDP服务器的配置两方面配合完成。
2)确认用户、用户设备和他们在网络中的身份;
3)对于终端设备网络连接流量进行控制;
4)某接入认证网关能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。
3.4.2.2.接入认证网关功能详解
3.4.2.2.1.VRVEDP服务器的配置
1)网关接入管理配置
策略中心网关接入管理
进入以上界面后点击右侧“创建新建规则”可以创建新的规则,点击“修改”可以对当前规则进行修改。
点击“修改”如下图:
本例中网关地址为192.168.1.175,管理范围为192.168.1.1-192.168.1.254。
填写重定向网关地址
填写需要重定向的范围指DNS重定向范围
填写重定向网关目标地址即重定向到这个地址
填写需要重定向的范围指HTTP重定向范围
2)配置“接入用户管理”
在“接入用户管理”中可以增加和删除认证用户,这个用户名和密码会在“网关接入认证”策略中用到。
本例子中设置用户名是vrv密码是vrv。
3)配置“网关接入认证”策略
只有接收到“网关接入认证”策略并且成功认证的客户端才能不被HTTP重定向,“使用默认用户登陆”选中即表示客户端在认证的时候不用手工输入用户名密码就可以认证,此用户名和密码是在“接入用户管理”中配置好的;
不选中的话表示客户端在认证的时候需要手工输入用户名和密码进行认证,用户名和密码也必须是“接入用户管理”存在的。
“用户名密码认证”:
指客户端到网关处进行用户名和密码的匹配认证。
“终端特征认证”:
指客户端到EDP服务器进行客户端特征的认证。
“混合认证”:
指以上两种认证方式同时使用。
3.4.2.2.2.区域管理器的配置
在VRVEDP服务器上的区域管理上做重定向配置如下图:
目前HTTP重定向地址格式必须为:
IP地址:
8008例如本例中的HTTP重定向地址是192.168.1.220:
8008。
DNS重定向地址为:
IP地址例如本例中的DNS重定向地址是192.168.1.220也可以是其他地址不一定要和HTTP重定向地址相同。
如上图所示
3.4.2.2.3.重定向网关的配置
1)登陆重定向网关的方式
重定向网关的配置界面有两种方式:
基于web的图形方式和基于CLI的命令行方式。
两种方式均可以通过网络接口或串口进行配置。
注意:
在此我们只介绍重定向网关基于Web图形方式的快速安装。
重定向网关的有关出厂设置为:
•只允许从LAN2访问。
•LAN2的IP为10.255.255.254。
•默认的用户名admin,默认的密码123456。
•客户机的IP必须在允许的登陆范围(10.0.0.0-192.255.255.255)之内。
用https:
//10.255.255.254登陆网关后可以对相关配置进行修改,本例中将网关的地址为192.168.1.175。
2)定义要使用的地址和管理范围
定义地址,可以添加要管理的地址和地址范围,本例中要管理的地址范围是192.168.1.0/255.255.255.0,用到的VRVEDPSERVER地址为192.168.1.220。
3)制定通讯策略
序号为0的策略只有是拓扑类型一的结构时才会用到;
序号为1的策略指的是网关的四个透明口之间的双向通讯。
4)填写“EDP服务器”
“EDP服务器”指某内网安全管理服务器地址;
本例中EDP服务器的地址为192.168.1.220。
此处的策略在不启动的时候网关设备在网络中是透明的,网关下的设备可以连通网关以上是设备,只有此策略启动后并且“连接状态”为“已连接”的时候,接在网关下边的设备才会被控制,此时接在网关下的设备只能和网关通,表现为客户端不能上外网。
“状态”列表中会显示当前连接到网关的设备信息。
5)修改网关地址
此策略的意义为:
网关上的四个通讯口之间的通讯为透明,点击“编辑”可以修改网关的登陆地址此例中网关的地址为192.168.1.175。
网关中所有的改动在修改完后必须点“保存”当前的修改才能保存到配置中,否则网关在重启后配置会还原。
3.4.2.2.4.DNS认证网关
说明:
DNS认证网关的功能是将监听到的不合法的DNS请求交给VRVEDP服务器来处理,实现DNS的重定向,所谓不合法的DNS请求是指没有注册安全客户端的计算机发出的DNS请求包,只要注册了安全客户端的计算机DNS请求则不会被重定向
DNS认证网关在网络中的位置比较灵活,可以是VRVEDP服务器装在一起,也可以是单独一台机器接在网关下和客户端同级或者和VRVEDP服务器同级
用法:
1)将Setup文件夹放到电脑的D盘根目录(由于只是测试程序目前必须这么做,做成安装程序后就不用这样了),运行un.bat然后再运行setup.bat,如下图
2)运行文件夹中的AuthGate.exe,就会看到DNS认证网关的界面,做相应配置;
3)管理器地址指VRVEDP服务器上的区域管理器的地址。
4)管理器端口统一为188,只要VRVEDP服务器上的区域管理器端口没有改变过这个端口就不用变。
5)启动DNS认证网关,下边会显示“DNS认证网关启动成功”。
6)此时DNS认证网关配置完毕,当有客户端的DNS请求被重定向后DNS认证网关中会有相应显示信息。
7)setup文件夹中的VrvDnsTest.exe仅用于测试DNS是否能被重定向如下图。
8)其作用就是向制定“DNS服务器”发DNS请求包然后看“结果”即返回值。
注:
●当客户端可以正常上外网不被重定向的时候返回结果应该是正常的域名相对应的IP地址。
●当客户端在被重定向的情况下不管“请求域名”中填写什么域名,返回的结果都应该是DNS重定向的地址,本例中返回结果是192.168.1.220。
●勾选“VRV封装”表示对客户端发出的DNS请求加安全标识,勾选“VRV封装”后此客户端被认为是注册过的安全客户端,DNS不再被重定向,返回结果应该为与域名相对应的IP地址。
3.3.4.基于EOU技术的准入控制方案
3.4.3.
3.4.3.1.功能详解描述
EAPOU的工作原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时,汇聚层EAPOU设备将要求终端设备进行EAP认证。
EAP认证包封装在UDP包内,在EAP认证的内容中,身份认证其实并不重要,重要的是安全状态认证。
如果安全状态不符合企业策略,汇聚层EAPOU设备将从策略服务器上下载ACL,限制不安全的客户端的网络访问,并对其进行修复。
EAPOU基本上是Cisco的专有协议或独家技术。
EAPOU是CiscoNAC技术的第一个实现版本,最早是在2003年在Cisco的路由器上实现,后来在Cisco的3层交换机上也实现了EAPOU。
EAPOL是在网络的接入层进行准入控制,而EAPOU是在网络的汇聚层或核心层进行准入控制。
3.4.3.2.EOU实现方法
1)网络准入系统(NAC)系统至少需要包含以下组件:
●主机组件(通常是指端点设备):
包括集成到NAC中的应用和端点共存的CiscoTrustAgent,能够为网络提供NAC通信信道。
●网络接入设备(NAD):
特别是CiscoIOS路由器,作为准入控制第一阶段的组成部分,可以触发准入控制程序,是策略执行设备。
准入控制的第二阶段应当包括交换机。
●认证服务器:
某VRVRadius,是执行状态报告检查(从主机应用程序确认信息)并根据评估确定授权的决策点。
●状态验证服务器(PVS)可以是能够将状态报告集授权给一组或多组属性值对(AVP)的任何服务器。
尽管AAA服务器是PVS的一个实例,但该术语通常用于描述能协助授权特定域的状态报告的代表服务器。
例如,抗病毒服务器可以用作PVS,做出特定抗病毒状态决策,因为抗病毒服务器熟悉最新的扫描引擎和签名文件版本。
2)设备接入控制流程
3.4.3.2.1.软件配置
3)部门配置,填写“部门名称”并选择“协商方式”。
图2-1-1部门设置
4)用户设置,“添加用户”并填写基本信息,如802.1X时需要填写“高级信息”中的相关内容,配置EOU时,不需要填写“高级信息”。
图2-1-2用户设置
5)添加NAD设备,设置IP地址为接入层或或汇聚层设备,共享密钥需跟设备密钥一致。
图2-1-3设置NAD设备
6)参数设置,在安装VRVRadius时,会自动安装并导入证书,不需要做其他任何操作。
图2-1-4安装证书
7)ACL设置,ACL控制大概可以分为成功ACL、隔离ACL和无客户端ACL,成功ACL可以访问网络任何位置,无限制。
图2-1-5成功ACL
8)隔离ACL设置,当终端未满足安全策略时,需要做相应限制,根据企业实际情况做控制。
无客户端ACL可以根据具体情况由网络管理员设置。
图2-1-6隔离ACL
3.3.5.基于VIFR技术的准入控制方案
3.4.4.
3.4.4.1.功能详解描述
虚拟隔离强制注册(VIFR)技术原理在于,在局域网内,通过已注册且开机终端监听网内TCP、DHCP、DNS、ARP、HTTP等协议;
从而对未注册的计算机进行干扰,并通过重定向的方式让未注册计算机进行智能强制安装客户端。
强制计算机注册后,对接入网络的计
升级会员 