网络接入控制解决方案目录1.前言 (4)2.网络接入控制的必要性 (5)3.某网络接入控制解决方案 (6)3.1.方案概述 (6)3.2.建设目标 (6)3.3.某网络接入控制方案实现 (7)3.3.1.网络接入控制流程 (7)3.3.2.基于802.1x协议的准入控制方案 (8)3.3.3.基于接入网关的准入控制方案 (17)3.3.4.基于EOU技术的准入控制方案 (27)3.3.5.基于VIFR技术的准入控制方案 (32)3.3.6.其他网络准入控制辅助技术 (34)4.方案总结 (37)1.前言技术的日益更新带来了动态而无定形的安全生态系统。

现今，复杂的网络环境需要具有较高动态性和可扩展性的安全解决方案，可以应对不同类型的威胁和黑客攻击。

安全技术解决方案现已紧密集成到网络的基础结构中。

研究人员发现大多数安全漏洞源于网络内部，在一段时间内并不能被检测出来。

安全漏洞可对机构造成破坏，如终端服务、损失收益、增加清除开销、机构名誉受损、客户满意度降低以及法律风险。

传统的安全产品和技术都是相互独立工作的，如防火墙、访问控制措施和入侵检测与防护系统，并不能提供充足的防御来抵抗内部的威胁。

因为这些产品和技术主要面向网络外部的攻击。

安全挑战不断增加，仅进行边界防御远远不够。

因为边界防御使用传统方法和独立的运行方式，已不能应对现今出现的安全挑战。

安全模型正快速的由被动模型向主动模式转变。

而网络接入控制则带来了新的安全时代。

从根本上说，网络接入控制限制谁能够进入这个网络以及一旦连接之后他们能够做什么。

它使用身份识别和共同安全策略规定用户能够访问哪里和能够访问哪些信息，同时还能够扫描适当的杀毒软件和其它网络威胁防护软件。

其核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。

2.网络接入控制的必要性当前企业内网缺乏必要的网络准入控制手段，无法确认连入内网的终端是否会给内网的带来安全风险，诸如：◆接入网络的终端自身安全性无法确认或者无法保证；◆外部非法计算机终端随意接入网络；◆内部合法计算机终端访问未授权网络资源；◆内部合法计算机终端滥用网络资源。

◆Windows 操作系统的安全漏洞，易被黑客或者病毒利用，比如造成蠕虫病毒泛滥◆员工安装非授权的危险软件，或者没有安装指定的安全软件（如杀毒软件）网络接入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。

网络准入控制最大的挑战在于网络环境的复杂性，主要归结为以下几方面：◆终端用户的多样性- 雇员、客户、供应商和合作伙伴；◆终端设备的多样性- 公司自有设备，家中的PC ，第三方人员笔记本；◆终端接入方式的多样性- 有线、无线、虚拟私有网(VPN) 和拨号。

由此可见，对终端设备的随意接入的管理是至关重要的，要想实现对内网的安全管理，首先需要从终端设备随意接入内网这个环节入手。

3.某网络接入控制解决方案3.1. 方案概述网络接入控制功能可以保护整个企业内部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。

利用某网络接入控制功能，企业能够强制提升他们终端安全的能力，保证企业网络保护机制不被间断，配置正确无误，以及补丁拥有最新的时效性，以防御网络安全威胁。

与此同时基于网络接入控制网关。

还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过某网络接入控制可以满足企业要求，将网络接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供某网络接入控制的执行。

某内网安全管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。

3.2. 建设目标为了保证内网的安全，某接入的方案在终端接入内网这个环节做好管理的同时，对该环节可能带来的潜在风险建立严格的防范控制体系。

某网络接入控制安全策略保证网络及终端整合杀毒、交换机、边界设备等其他安全技术，全面解决以上问题同时实现以下功能：企业安全策略的自动强制－取代传统低效的周期性安全审计，保证已经梳理过的安全问题不会重新抬头；◆网络的自动防御－自动实现对病毒和黑客软件的防、堵、围，减少网络瘫痪；◆网络的自动愈合－自动修复受损终端，无需消耗大量人力资源和时间去定位、隔离和修复这些系统；◆判断设备是否运行操作系统的授权版本；◆通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复；◆判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件；◆确保已打开并正在运行防病毒技术；◆判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件；◆检查设备的企业镜像是否已被修改或篡改。

3.3. 某网络接入控制方案实现3.3.1.网络接入控制流程3.3.2.基于802.1x协议的准入控制方案3.4.1.1.802.1x协议认证描述802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

网络访问技术的核心部分是PAE（端口访问实体）。

在访问控制流程中，端口访问实体包含3部分：1. 客户端。

安装在用户的终端上（集成在EDP Agent里），当用户有网络访问需求时，EDP Agent自动激活客户端程序通过认证，或由用户手动输入必要的用户名和口令通过认证。

2. 认证系统。

在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

3. 认证服务器。

通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

图1-2 802.1x认证的体系结构以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

对受控端口的访问，受限于受控端口的授权状态。

认证者的PAE根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。

处在未授权状态的控制端口将拒绝用户/设备的访问。

在802.1x协议中，具备了以下三个元素就能够完成基于端口的访问控制的用户认证和授权。

3.4.1.2. 某接入认证功能详解3.4.1.2.1.接入认证策略说明密码认证方式：注释1、 “单用户名密码认证”：所接入的客户端会以该策略中指定的用户名和密码认证，不需要用户手工输入用户名和密码。

注释2、 “多用户密码认证”：所接入的客户端需要手工输入在Radius 中建立的认证用户名和密码进行认证。

注释3、 “域用户认证”在AD 域环境下所接入的客户端在加入域后使用在策略中指定的域服务器的用户名和密码认证，该环境Radius 服务器须加入到AD 域成员中。

注释4、 指定连续认证失败几次后进入Guest Vlan 。

23456 7 89 1011注释5、指定密码验证类型，支持EAP-MD5和PEAP两种类型。

注释6、指定“当安检失败时，进入修复VLAN等选项”，进入修复VLAN使用指定的用户名和密码，并且指定在安检失败是延迟多少时间再进入修复VLAN。

注释7、D HCP动态IP环境认证用于DHCP环境，如果是DHCP环境该选项须选定。

认证失败后使用的用户名和密码用来在认证失败后自动进行重认证。

在使用华为认证服务器（CAMS）以及其IP绑定功能时须选定。

注释8、指定认证数据包的传输模式为组播或广播。

注释9、“过滤第三方终端认证”在接入第三方终端时是否对其认证数据包进行过滤。

注释10、“超级认证帐户”指定Radius服务器中的用户为超级认证帐户认证永远会通过。

注释11、“黑名单认证帐户”指定Radius服务器中的用户为黑名单认证帐户认证永远不会通过。

*某接入认证功能支持LAN，WAN以及VPN的802.1x认证3.4.1.2.2.补丁与杀毒软件认证工作原理：杀毒软件安全检测是由本地客户端对本地系统内是否安装及运行杀毒软件进行检测，主要是检查注册表内是否有写入该几项杀毒软件的键值。

系统补丁安全检测是在用户注册客户端后，在客户端内包含一个的索引列表文件，客户端探头会根据该索引补丁列表与本地补丁进行核对来完成补丁安全检测。

设置说明：杀毒软件安全检测注释1、启用“杀毒软件安全检测”：对接入网络的计算机进行杀毒软件的安全检测，检查其健康度是否符合网络要求标准，检测内容包括计算机是否安装开启了杀毒软件。

注释2、“未运行杀毒软件时提示”：当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息注释3、“未运行杀毒软件执行（URL地址）”：当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL地址，例如某个可以下载或者运行杀毒软件的地址。

注释4、选择“打开/下载URL地址”：当检测到计算机没有运行杀毒软件的时候直接打开或者下载上边填写的URL地址；选择“下载URL地址指定文件并安装”：当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装，一般为杀毒软件；注释5、“未运行杀毒软件时”：当检测到计算机没有运行杀毒软件的时候执行以下操作；“限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯；“注销802.1认证”：当未运行杀毒软件时，客户端将注销正常登录并进入修复vlan。

系统补丁安全检测注释1、启用“系统补丁安全检测”：对接入网络的计算机进行系统补丁的安全检测，检查其健康度是否符合网络要求标准，检测内容包括计算机是否安装了指定系统补丁；注释2、“漏安装列表中指定的补丁时提示”：当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息；注释3、“漏安装列表中指定的补丁是打开（URL地址）”：当检测到计算机没有安装列别中指定的补丁的时候给计算机定向到指定的URL地址，例如某个可以下载到指定补丁的地址；注释4、“漏安装列表中补丁时”：当检测到计算机没有安装列表中的补丁时执行以下操作；“限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯；“注销802.1认证”：当未安装指定安全补丁时，客户端将注销正常登录并进入修复vlan；“检测补丁列表”：通过补丁号添加补丁检测列表，当计算机接入网络的时候会检测计算机是否安装了此列表中列出的补丁；注释5、“DHCP与静态IP切换”当计算机安检未通过而注销正常认证进入修复Vlan后的静态IP转换为动态的DHCP的IP地址分配方式，完成修复安检通过后会重新回到正常工作Vlan；注释6、“限制网络访问后，允许安全服务器连通列表”：填写EDPserver、补丁服务器等安全服务器，当计算机被限制网络访问后只能与这个列表中的IP地址通讯。