色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

淺談終端安全接入

jf_73420541 ? 來源:jf_73420541 ? 作者:jf_73420541 ? 2023-09-22 10:22 ? 次閱讀

前言:隨著網(wǎng)絡(luò)的發(fā)展,現(xiàn)代企業(yè)大多都會部署企業(yè)的有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò),在傳統(tǒng)的企業(yè)網(wǎng)內(nèi),隨著越來越多的終端設(shè)備接入到公司網(wǎng)絡(luò),管理人員控制和審計外部用戶接入的企業(yè)辦公網(wǎng)的難度和工作量也越來越大。而如果允許外部用戶隨意使用企業(yè)網(wǎng)絡(luò),則可能在管理人員和系統(tǒng)維護人員毫不知情的情況下,某些惡意用戶侵入企業(yè)辦公網(wǎng)絡(luò),從而造成數(shù)據(jù)泄露、病毒木馬傳播、惡意勒索以及數(shù)據(jù)攻擊等嚴(yán)重問題。由此,針對企業(yè)網(wǎng)絡(luò)亟需一套能夠有效控制終端接入、審計以及分級管控的網(wǎng)絡(luò)部署架構(gòu)。
關(guān)鍵字:終端安全接入、802.1x、網(wǎng)絡(luò)管控

接入?yún)f(xié)議802.1x

1

802.1x協(xié)議介紹

802.1x協(xié)議起源于802.11協(xié)議,后者是IEEE的無線局域網(wǎng)協(xié)議, 制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證,只要用戶能接入局域網(wǎng)控制設(shè)備 (如LAN Switch)就可以訪問局域網(wǎng)中的設(shè)備或資源。

802.1x協(xié)議是基于客戶端/服務(wù)端的訪問控制和認(rèn)證協(xié)議,包括三個實體:客戶端、接入設(shè)備和認(rèn)證服務(wù)器。其可以限制未經(jīng)授權(quán)的用戶或者設(shè)備通過接入端口訪問LAN/WLAN。認(rèn)證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPOL協(xié)議幀,可隨時保證接收認(rèn)證請求者發(fā)出的EAPOL認(rèn)證報文;受控端口只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。在認(rèn)證通過之前,支持802.1x協(xié)議的交換設(shè)備只允許EAPOL(基于局域網(wǎng)的擴展認(rèn)證協(xié)議)數(shù)據(jù)報文通過終端連接的交換機端口;認(rèn)證通過后,用戶或者終端的其他數(shù)據(jù)報文才能順利地通過以太網(wǎng)端口進行后續(xù)的路由轉(zhuǎn)發(fā)等動作。

2

終端、交換設(shè)備以及認(rèn)證服務(wù)器需要滿足的要求

▎用戶終端

局域網(wǎng)用戶終端設(shè)備,但必須是支持EAPOL的設(shè)備,可通過啟動客戶端設(shè)備上安裝的802.1x客戶端軟件發(fā)起802.1x認(rèn)證。目前大部分的臺式機、筆記本以及手機都支持EAPOL。

▎交換設(shè)備端

支持802.1x協(xié)議的網(wǎng)絡(luò)交換設(shè)備(如交換機),對所連接的客戶端進行認(rèn)證。它為客戶端提供接入局域網(wǎng)的端口(物理端口或者邏輯端口)。

▎認(rèn)證服務(wù)器

為交換設(shè)備端802.1x協(xié)議提供認(rèn)證服務(wù)的設(shè)備,是真正進行認(rèn)證的設(shè)備,實現(xiàn)對用戶進行認(rèn)證、授權(quán)和計費,通常為RADIUS服務(wù)器。通過需要在交換設(shè)備上配置認(rèn)證服務(wù)器的IP端口信息

3

認(rèn)證方式

EAP協(xié)議可以運行在各種底層,包括數(shù)據(jù)鏈路層和上層協(xié)議(如UDP、TCP等),可以不需要IP地址。因此使用EAP協(xié)議的802.1X認(rèn)證具有良好的靈活性。在用戶終端與交換設(shè)備端之間,EAP協(xié)議報文使用EAPoL(EAP over LANs)封裝格式,直接承載于LAN環(huán)境中。

在交換設(shè)備端與認(rèn)證服務(wù)器之間,用戶可以根據(jù)客戶端支持情況和網(wǎng)絡(luò)安全要求來決定采用的認(rèn)證方式。

▎EAP終結(jié)方式

EAP報文在設(shè)備端終結(jié)并重新封裝到RADIUS報文中,利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計費。在此方式下,不同的交換識別所能支持的認(rèn)證擴展協(xié)議可能會有很大的區(qū)別,例如,華為的交換機一般僅支持MD5-Challenge方式。在需要安全性更高的場景下,EAP終結(jié)方式就無法滿足要求。

▎EAP中繼方式

EAP報文被直接封裝到RADIUS報文中(EAP over RADIUS,簡稱為EAPoR),以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。

EAP中繼方式的優(yōu)點是設(shè)備端處理更簡單,支持更多的認(rèn)證方法,缺點則是認(rèn)證服務(wù)器必須支持EAP,且處理能力要足夠強。對于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三種認(rèn)證方式,EAP-TLS需要在客戶端和服務(wù)器上加載證書,安全性最高,EAP-TTLS、EAP-PEAP需要在服務(wù)器上加載證書,但不需要在客戶端加載證書,部署相對靈活,安全性較EAP-TLS低。

4

認(rèn)證過程

802.1X認(rèn)證有以下觸發(fā)方式:●客戶端發(fā)送EAPoL-Start報文觸發(fā)認(rèn)證●客戶端發(fā)送DHCP/ARP/DHCPv6/ND或任意報文觸發(fā)認(rèn)證●設(shè)備以組播形式發(fā)送EAP-Request/Identity報文觸發(fā)認(rèn)證

由于Windows系統(tǒng)自帶的802.1x認(rèn)證程序不主動發(fā)送EAPoL-Start報文,因此一般認(rèn)證的觸發(fā)主要是通過客戶端發(fā)送DHCP/ARP/DHCPv6/ND等報文觸發(fā)。

802.1x中繼方式的認(rèn)證過程如下圖所示:

wKgaomUM-lyAMd9UAAmkdMAZOJI185.png

上圖中認(rèn)證過程是由客戶端主動發(fā)起的,即采用EAPoL-Start報文觸發(fā)認(rèn)證。

認(rèn)證擴展協(xié)議

上文提到802.1x使用EAP進行驗證信息交互,EAP它本身不是一個認(rèn)證機制,而是一個通用架構(gòu),用來傳輸實際的認(rèn)證協(xié)議。EAP的優(yōu)點是當(dāng)一個新的認(rèn)證協(xié)議發(fā)展出來的時候,基礎(chǔ)的EAP機制不需要隨著改變。

EAP是一組以插件模塊的形式為任何EAP類型提供結(jié)構(gòu)支持的內(nèi)部組件,它的設(shè)計理念是滿足任何鏈路層的身份驗證需求,支持多種鏈路層認(rèn)證方式。EAP協(xié)議是IEEE802.1x認(rèn)證機制的核心,它將實現(xiàn)細(xì)節(jié)交由附屬的EAP Method協(xié)議完成,如何選取EAP method由認(rèn)證系統(tǒng)特征決定。這樣實現(xiàn)了EAP的擴展性及靈活性,如圖所示,EAP可以提供不同的方法分別支持PPP,以太網(wǎng)、無線局域網(wǎng)的鏈路驗證。

EAP可分為四層:EAP底層,EAP層,EAP對等和認(rèn)證層和EAP方法層。

wKgaomUM-miAZSHkAAeEKSKChks120.png

EAP底層負(fù)責(zé)轉(zhuǎn)發(fā)和接收被認(rèn)證端(peer)和認(rèn)證端之間的EAP幀報文;EAP層接收和轉(zhuǎn)發(fā)通過底層的EAP包;EAP對等和認(rèn)證層在EAP對等層和EAP認(rèn)證層之間對到來的EAP包進行多路分離;EAP方法層實現(xiàn)認(rèn)證算法接收和轉(zhuǎn)發(fā)EAP信息。基于EAP衍生了許多認(rèn)證協(xié)議,如EAP-MD5、EAP-TLS以及EAP-TTLS等。

如果現(xiàn)有的擴展方法無法滿足實際的應(yīng)用需求時,企業(yè)可以根據(jù)自己的需求開發(fā)自己的擴展方法,并以插件的方式融入到EAP中。如:在進行認(rèn)證時,認(rèn)證報文中,除了基本的身份認(rèn)證外,還可以攜帶終端的其他信息:病毒庫版本、漏洞修復(fù)情況、終端設(shè)備標(biāo)識以及終端所處網(wǎng)絡(luò)等信息,以供后續(xù)身份認(rèn)證使用。

網(wǎng)絡(luò)訪問授權(quán)

802.1x不僅可以用于認(rèn)證確認(rèn)嘗試接入網(wǎng)絡(luò)的終端設(shè)備是否合法,還可以使用授權(quán)功能指定通過認(rèn)證的終端所能擁有的網(wǎng)絡(luò)訪問權(quán)限,即用戶能訪問哪些資源。授權(quán)最常使用的基本授權(quán)參數(shù)有:VLANACL和UCL組。

1

VLAN

為了將受限的網(wǎng)絡(luò)資源與未認(rèn)證用戶隔離,通常將受限的網(wǎng)絡(luò)資源和未認(rèn)證的用戶劃分到不同的VLAN。用戶認(rèn)證成功后,認(rèn)證服務(wù)器將指定VLAN授權(quán)給用戶。此時,設(shè)備會將用戶所屬的VLAN修改為授權(quán)的VLAN,授權(quán)的VLAN并不改變接口的配置。但是,授權(quán)的VLAN優(yōu)先級高于用戶配置的VLAN,即用戶認(rèn)證成功后生效的VLAN是授權(quán)的VLAN,用戶配置的VLAN在用戶下線后生效。

2

ACL

用戶認(rèn)證成功后,認(rèn)證服務(wù)器將指定ACL授權(quán)給用戶,則設(shè)備會根據(jù)該ACL對用戶報文進行控制。

●如果用戶報文匹配到該ACL中動作為“允許”的規(guī)則,則允許其通過;●如果用戶報文匹配到該ACL中動作為“阻止”的規(guī)則,則將其丟棄。

ACL規(guī)則支持使用IPv4/IPv6報文的源地址、目的地址、I協(xié)議類型、ICMP類型、TCP源/目的端口、UDP源/目的端口號、生效時間段等來定義規(guī)則。如果需要更復(fù)雜的授權(quán)規(guī)則,則需要將用戶訪問流量通過路由表等方式引流到接入的管控設(shè)備上。

3

UCL

用戶控制列表UCL組(User Control List)是網(wǎng)絡(luò)成員的集合。UCL組里面的成員,可以是PC、手機等網(wǎng)絡(luò)終端設(shè)備。借助UCL組,管理員可以將具有相同網(wǎng)絡(luò)訪問策略的一類用戶劃分為同一個組,然后為其部署一組網(wǎng)絡(luò)訪問策略,滿足該類別所有用戶的網(wǎng)絡(luò)訪問需求。相對于為每個用戶部署網(wǎng)絡(luò)訪問策略,基于UCL組的網(wǎng)絡(luò)控制方案能夠極大的減少管理員的工作量。

除此之外,管理員還可以通過認(rèn)證服務(wù)端的計費/審計功能,查看用戶/終端設(shè)備的訪問記錄,以確定特定用戶有無越權(quán)訪問情況。

結(jié)語

綜上所述,企業(yè)可以根據(jù)不同的場景以及不同的安全需求,使用802.1x結(jié)合交換設(shè)備以及AAA認(rèn)證服務(wù)端實現(xiàn)用戶終端的安全驗證接入、網(wǎng)絡(luò)管控、日志審計等功能,從多維度保障企業(yè)的網(wǎng)絡(luò)安全以及數(shù)據(jù)安全。

審核編輯 黃宇

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 局域網(wǎng)
    +關(guān)注

    關(guān)注

    5

    文章

    751

    瀏覽量

    46277
  • 802.1x協(xié)議
    +關(guān)注

    關(guān)注

    0

    文章

    3

    瀏覽量

    5536
  • 終端接入
    +關(guān)注

    關(guān)注

    0

    文章

    2

    瀏覽量

    6420
收藏 人收藏

    評論

    相關(guān)推薦

    ZigBee接入EPA網(wǎng)絡(luò)的安全策略

    ZigBee接入EPA網(wǎng)絡(luò)的安全策略針對ZigBee技術(shù)的特點,結(jié)合EPA控制網(wǎng)絡(luò)的安全規(guī)范與工業(yè)現(xiàn)場實際應(yīng)用的需要,提出ZigBee接入EPA網(wǎng)絡(luò)的
    發(fā)表于 03-19 16:47

    防爆電路如何接入安全

    轉(zhuǎn)載自中儀在線工況條件下,經(jīng)常會遇到電路中包含本安型防爆電磁閥、本安型防爆行程開關(guān)、防爆控制箱和安全柵,在這種情況下安全柵應(yīng)該怎么接入呢,是放在電磁閥的控制箱內(nèi)還是別的區(qū)域,下面是本人的一點見解:1
    發(fā)表于 12-25 15:14

    淺談FPGA在安全產(chǎn)品中有哪些應(yīng)用?

    淺談FPGA在安全產(chǎn)品中有哪些應(yīng)用?
    發(fā)表于 05-08 06:36

    關(guān)于無線接入安全機制的匯總

    介紹移動通信中的無線接入安全機制
    發(fā)表于 05-28 06:17

    怎么實現(xiàn)基于TC35模塊的無線接入終端設(shè)計?

    本文采用TC35模塊設(shè)計的無線接入終端具備與PSTN普通有人值守公話相同的功能,幫助移動運營商占領(lǐng)廣闊的固定電話公話市場。
    發(fā)表于 05-31 06:57

    基于TNC的安全接入系統(tǒng)的設(shè)計與實現(xiàn)

    為了保證網(wǎng)絡(luò)安全,將威脅隔離在受保護的網(wǎng)絡(luò)之外,需要在主機接入網(wǎng)絡(luò)以前對其進行健康狀況評估,只允許符合既定安全策略的主機接入網(wǎng)絡(luò)。針對上述問題,本文基于可信網(wǎng)絡(luò)連接T
    發(fā)表于 02-26 16:01 ?15次下載

    無線接入網(wǎng)關(guān)終端保持接入設(shè)計與實現(xiàn)

    分析了WiMax網(wǎng)絡(luò)架構(gòu)標(biāo)準(zhǔn)中現(xiàn)有的終端接入方案的缺陷,提出并實現(xiàn)了一種在終端保持的接入方案,即終端出現(xiàn)異常并在短時間內(nèi)重新接入時,
    發(fā)表于 02-23 14:43 ?10次下載
    無線<b class='flag-5'>接入</b>網(wǎng)關(guān)<b class='flag-5'>終端</b>保持<b class='flag-5'>接入</b>設(shè)計與實現(xiàn)

    寬帶無線接入終端的測試技術(shù)和分析

    無線接入 是指從交換節(jié)點到用戶終端之間,部分或全部采用了無線手段。典型的無線接入系統(tǒng)主要由控制器、操作維護中心、基站、固定用戶單元和移動終端等幾個部分組成。 控制器
    發(fā)表于 07-05 10:59 ?40次下載
    寬帶無線<b class='flag-5'>接入</b><b class='flag-5'>終端</b>的測試技術(shù)和分析

    淺談當(dāng)代安全驗證問題

    淺談當(dāng)代安全驗證問題
    發(fā)表于 09-07 10:55 ?3次下載
    <b class='flag-5'>淺談</b>當(dāng)代<b class='flag-5'>安全</b>驗證問題

    基于TrustZone的移動終端云服務(wù)安全接入方案

    可信云架構(gòu)為云計算用戶提供了安全可信的云服務(wù)執(zhí)行環(huán)境,保護了用戶私有數(shù)據(jù)的計算與存儲安全.然而在移動云計算高速發(fā)展的今天,仍然沒有移動終端接入可信云服務(wù)的安全解決方案,針對上述問題,提
    發(fā)表于 01-13 09:59 ?0次下載
    基于TrustZone的移動<b class='flag-5'>終端</b>云服務(wù)<b class='flag-5'>安全</b><b class='flag-5'>接入</b>方案

    電力終端通信接入網(wǎng)運行

    電力終端通信接入網(wǎng)服務(wù)于電網(wǎng),為電網(wǎng)提供可靠通道支撐,有助于提升電網(wǎng)服務(wù)質(zhì)量。電力終端通信接入網(wǎng)是電力系統(tǒng)主干傳輸網(wǎng)的重要組成部分,用于滿足配用電業(yè)務(wù)的通信需求。目前的電力
    發(fā)表于 02-05 10:40 ?1次下載

    淺談電源轉(zhuǎn)換裝置逆變器的安全性考核

    淺談電源轉(zhuǎn)換裝置逆變器的安全性考核
    的頭像 發(fā)表于 08-21 16:53 ?2450次閱讀

    新形勢下的網(wǎng)絡(luò)終端安全挑戰(zhàn),為終端安全一體化打造“新基建”

    網(wǎng)絡(luò)準(zhǔn)入(NAC)并不是一個年輕的概念,隨著技術(shù)的進步,我們可以把不同的人員,各種接入方式,多樣的終端,應(yīng)用服務(wù)器以及業(yè)務(wù)數(shù)據(jù)都納入到IT運維的“棋盤”上來,實現(xiàn)終端安全一體化防護。另
    的頭像 發(fā)表于 10-21 14:13 ?4411次閱讀

    基于基于GPRS/CDMA和CSP實現(xiàn)移動IPSec VPN安全接入終端系統(tǒng)的設(shè)計

    由于移動公網(wǎng)的廣泛發(fā)展和手機PDA 的大力普及,移動終端作為固網(wǎng)上業(yè)務(wù)服務(wù)器的訪問接入終端也變得越來越常見。然而,移動終端通過基于GPRS/CDMA的移動公網(wǎng)
    的頭像 發(fā)表于 03-29 10:28 ?2264次閱讀
    基于基于GPRS/CDMA和CSP實現(xiàn)移動IPSec VPN<b class='flag-5'>安全</b><b class='flag-5'>接入</b><b class='flag-5'>終端</b>系統(tǒng)的設(shè)計

    基于MPC823微處理器和Linux實現(xiàn)視頻網(wǎng)絡(luò)接入終端的設(shè)計

    世界已經(jīng)進入了Internet時代,嵌入式系統(tǒng)接入Internet已成為網(wǎng)絡(luò)接入重要的基礎(chǔ)信息設(shè)施。嵌入式的網(wǎng)絡(luò)接人設(shè)備系統(tǒng)廣泛應(yīng)用在工業(yè)的控制系統(tǒng)中、交通監(jiān)控系統(tǒng)、銀行證券操作與安全監(jiān)控、智能儀器
    的頭像 發(fā)表于 05-22 09:20 ?2395次閱讀
    基于MPC823微處理器和Linux實現(xiàn)視頻網(wǎng)絡(luò)<b class='flag-5'>接入</b><b class='flag-5'>終端</b>的設(shè)計
    主站蜘蛛池模板: 亚洲中文无码AV在线观看| 大胸美女脱内衣黄网站| 精品国产乱码久久久久久乱码| 日本学生VIDEOVIDEOS更新| 91久久精品一区二区三区| 精品一区二区三区免费毛片| 亚洲spank男男实践网站| 成人在线观看国产| 人C交ZZZ0OOZZZ000| 亚洲AV永久无码精品老司机蜜桃| 中文字幕99香蕉在线| 国产SUV精品一区二区69| 老师机影院| 亚洲精品一卡二卡三卡四卡2021| 91青青草原| 国产午夜精品理论片在线| 欧美在线亚洲综合国产人| 亚洲午夜AV久久久精品影院色戒| 成人18视频在线| 美女张开腿让男生桶动态图| 亚洲免费在线观看| 国产51麻豆二区精品AV视频| 欧美18videosex初次| 伊人网伊人网| 久久99精品国产自在自线| 午夜在线观看免费完整直播网 | 国产亚洲视频中文字幕| 星空无限传媒视频在线观看视频 | 精品无人区麻豆乱码1区2| 人人碰79免费视频| 91天仙tv嫩模福利| 久久re视频这里精品09首页| 午夜伦午夜伦锂电影| 国产成人一区二区三中文| 日韩做A爰片久久毛片A片毛茸茸| 97资源站超碰在线视频| 久久伊人青青| 伊人久久精品99热超碰| 麻豆人妻无码性色AV| 好男人WWW免费高清视频在线| 99热在线免费观看|