返回
浅谈8021x协议的网络准入控制技术

浅谈8021x协议的网络准入控制技术

ID:21304642

大小:78.50 KB

页数:7页

时间:2018-10-21

浅谈8021x协议的网络准入控制技术_第1页
浅谈8021x协议的网络准入控制技术_第2页
浅谈8021x协议的网络准入控制技术_第3页
浅谈8021x协议的网络准入控制技术_第4页
浅谈8021x协议的网络准入控制技术_第5页
资源描述:

《浅谈8021x协议的网络准入控制技术》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、浅谈802.IX协议的网络准入控制技术摘要:首先对部分大型企业的信息安全建设现状、终端安全问题作现状分析,然后针对现状作需求分析。设定企业加强计算机终端接入网络的管控,控制网络病毒、蠕虫的蔓延的建设目标。针对建设目标,作可行性分析,并给出详细的基于802.lx网络准入控制技术的解决方案。关键词:802.lx网络准入控制symanteccisco0引言目前,企业的办公和生产对信息化的依赖程度越来越高,对信息网络安全要求也越来越高。企业的信息网络规模越庞大,信息接入点就越多,难以杜绝不符合安全规范的终端接入网络中

2、,这些终端都将成为传播病毒的源头和被病毒感染的对象,影响企业内部信息网络和终端的可利用率。为防止非授权终端和用户接入网络,消除不符合企业安全策略的终端接入网络所带来的安全隐患,建立一套网络准入控制系统,能够有效保证只有合法的用户在经过授权、井且使用符合安全策略的终端上才可以接入企业的内部信息网,从而实现接入内部信息网的终端和用广都是合法的、安全的、可控的,对于不符合安全要求的终端,只能接入到隔离网络进行安全修复。1、需求分析(1)设备准入控制建立内部信息网接入网络准入控制改造,实现基于mac地址授权的设备准入

3、控制,只存经过授权的终端才可以接入内部信息网络。(1)用户准入控制基于交换机端口802.lx的用户准入控制,通过与ad域结合,实现只有合法用户才可以接入内部信息网络。(2)系统安全合规性准入控制消除不符合企业安全策略的终端接入网络带来的安全隐患,实现只有符合公司安全接入策略的终端才能接入企业内部信息网络。2、产品选型:目前主流的主机安全合规性检查产品入产品主要有Symantec网络访问控制产品、cisco网络访问控制产品、forescout网络准入控制产品,下面对主流的网络准入产品进行比较。详见表一。3、综合

4、对比:优点:(1)Symantecna.c技术比较成熟,功能比较完善,稳定性较好。与Symantec防病毒系统、端点保护系统无缝集成,是一套完整的桌面终端安全保护和网络准入方案,带有完整的端点保护功能:防病毒、主机防火墙、主机ips、程序控制等保护功能,无需再安装额外的端点防护软件。(2)juniperua.c可使用802.lx将其部署在12,或使用防火墙的部署方法将其部署在13。也可使用混合模式来设置uac,将802.lx用于络准入控制并将13设置用于资源接入控制。采用混合模式来可以取得较高的控制强度。终端

5、管理简单方便,可选择免安装agent方式。(2)cisconac多种方案供选择和部署方式多样化。处理工作倚秉硬件完成,性能较好。使用轻量agent,对客户端资源消耗小。缺点:(1)Symantecnac客户端功能全,对客户端消耗资源较大。不支持使用网络防火墙作为接入控制。(2)juniperuac采用802.lx+防火墙的混合控制方式,需要在每台接入交换机处安装juniper防火墙,耗资较大。不支持除juniper外其他网络防火墙作为接入控制。终端无防病毒系统和端点防护系统,需配合其他品牌产品使用。(3)ci

6、sconac方案过于复杂分散、组件过多,对日后运行维护复杂,管理较困难。终端无防病毒系统和端点防护系统,需配合其他品牌产品使用。从产品的稳定性、功能完善性、维护管理简易度的角度,以及产品的口志系统、报表系统等角度分析,Symantecnac准入控制系统在主机安全合规性检查产品相当大的优势。所以在本次网络准入中采用Symantecnac准入控制系统在主机安全合规性检查。4、总体实现设计4.1总体实现设计说明:(1)metaipdhcp服务器对接入到网络提出ip地址申请的设备进行mac地址认证,非授权接入的设备一

7、律拒绝分配ip地址;(2)赛门铁克lanenforcer设备会对分配了ip地址而对交换机提出802.lx认证请求的设备进行有关的终端合规性检查。对于不符合安全策略的终端根据策略执行不同的处理,可以将其置于隔离区;(1)对于不符合安全策略的终端,可以分配到受限组并令其限时修复;也可以只是对其进行提示,还可以有其他多种的处理方法;(2)所有终端设备(除了极少数设备没有dhcp功能而需要在交换机上设置例外放行规则之外)都必须通过合法dhcp服务器來获得正确的ip地址,否则接入交换机会利用dhcpsnooping+d

8、ai特性禁止其进入;(3)在接入交换机的上级三层汇聚交换机上启用dhcpsnooping+dai特性,交换机检査记录所有的dhcp请求以及返回地址分配信息、ip地址租用时间,对ip地址、mac地址、交换机物理端口进行动态绑定,在ip地址租用时间范围内符合以上绑定信息的通信才可以通过交换机端U,也就是说满足以上绑定条件才能进入网络;(4)安全策略检查、文件审计、访问限制等策略的执行,一般1+1sep客

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。