企業網絡的安全接入

時間 2020-08-06

原文原文鏈接

隨着互聯網與網絡技術的不斷髮展與愈來愈普遍深刻的應用，以及網絡建設的複雜化，企業網絡寬帶的安全愈來愈受到人們的重視，在信息化時代的今天，企業網絡安全接入做爲企業網絡安全建設的一個重要方面，接入方式以及設備的好壞直接關係到內部網絡的安全和穩定。算法

一個重要的解決過程大體能夠描述爲，在傳統的802.1x協議的基礎上，綜合採用802.1x驗證，基於用戶的vlan劃分和ACL，交換機的二層安全機制，IP放盜用等安全措施，從驗證，受權，審計3個層面將安全防護措施擴展到邊緣接入層，從用戶的接入源頭進行安全防禦，從而有效構建企業信息安全的立體防護。
數據庫

一、邊緣信息系統的隔離windows

企業內部通常都會存在一些非信息中心管理的邊緣信息系統，這些系統缺少有效的隔離措施和安全保護，若是參照信息管理中心服務器的安全管理方式，則擴大了安全重點保護區域，相應的管理成本和管理難度也會增長。這對於中小型企業而言無疑是很是耗費資源的。
安全

缺少用戶問的隔離措施，不利於病毒的防範和隔離，不利於網絡的穩定運行。能夠經過二層交換機的端口隔離功能，端口隔離技術是一種實如今客戶端的端口間的足夠的隔離度以保證一個客戶端不會收到另一個客戶端的流量的技術。經過端口隔離技術，用戶能夠將須要進行控制的端口加入到一個隔離組中，經過端口隔離特性，用戶能夠將須要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層數據的隔離，使用隔離技術後隔離端口之間就不會產生單播、廣播和組播，病毒就不會在隔離計算機之間傳播，增長了網絡安全性，提升了網絡性能。服務器

二、用戶接入驗證網絡

用戶接人做爲安全威脅的源頭，首要控制措施是進行身份驗證，確保只有合法用戶才能接入網絡。較爲簡單的作法是能夠根據用戶工做站特徵(如MAC地址)進行驗證，經過在交換機接入端口上實施基於IP和MAC的ACL來實現。也能夠經過端口和IP地址的綁定來確保接入用戶的合法性。可是這種方法並不利於移動用戶和無線用戶的接入，咱們能夠採用另一種基於IP地址和MAC地址的綁定來防止IP地址的盜用，不過這些方法都有必定的侷限性和弊端：架構

A.管理複雜，工做量巨大；
ide

B.缺少靈活性，隨意的變更都須要手工修改才能生效；
oop

C.多用戶共用一臺工做站時沒法實施個性化的訪問控制；
性能

D.經過更改物理接入端口和MAC地址，能夠盜用合法的IP地址和MAC地址，且難以追查。

所以接入驗證應當考慮採用用戶名／口令、證書等與用戶相關聯的身份因素，而不該僅根據用戶工做站特徵(如MAC地址)進行驗證，採用這種方式的經常使用技術有PPPOE和DHCP+WEB，以及DHCP+，ssO，802．Ix等技術，從標準化程度、兼容性、安全性、可實施性等角度綜合考慮，802．1x技術是較爲安全、實用的一種選擇。

三、802.1x簡介

802.1x協議是基於Client/Server的訪問控制和認證協議。它能夠限制未經受權的用戶/設備經過接入端口(access port)訪問LAN/WLAN。在得到交換機或LAN提供的各類業務以前，802.1x對鏈接到交換機端口上的用戶/設備進行認證。在認證經過以前，802.1x只容許EAPoL（基於局域網的擴展認證協議）數據經過設備鏈接的交換機端口；認證經過之後，正常的數據能夠順利地經過以太網端口。網絡訪問技術的核心部分是PAE（端口訪問實體）。在訪問控制流程中，端口訪問實體包含3部分：認證者--對接入的用戶/設備進行認證的端口；請求者--被認證的用戶/設備；認證服務器--根據認證者的信息，對請求訪問網絡資源的用戶/設備進行實際認證功能的設備。以太網的每一個物理端口被分爲受控和不受控的兩個邏輯端。

基於以太網端口認證的802.1x協議有以下特色：IEEE802.1x協議爲二層協議，不須要到達三層，對設備的總體性能要求不高，能夠有效下降建網成本；借用了在RAS系統中經常使用的EAP（擴展認證協議），能夠提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容；802.1x的認證體系結構中採用了"可控端口"和"不可控端口"的邏輯功能，從而能夠實現業務與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上經過可控端口進行交換，經過認證以後的數據包是無需封裝的純數據包；可使用現有的後臺認證系統下降部署的成本，並有豐富的業務支持；能夠映射不一樣的用戶認證等級到不一樣的VLAN；可使交換端口和無線LAN具備安全的認證接入功能。

802.1x的工做過程以下：

1）、當用戶有上網需求時打開802.1X客戶端程序，輸入已經申請、登記過的用戶名和口令，發起鏈接請求。此時，客戶端程序將發出請求認證的報文給交換機，開始啓動一次認證過程；

2）、交換機收到請求認證的數據幀後，將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來；

3）、客戶端程序響應交換機發出的請求，將用戶名信息經過數據幀送給交換機。交換機將客戶端送上來的數據幀通過封包處理後送給認證服務器進行處理；

4）、認證服務器收到交換機轉發上來的用戶名信息後，將該信息與數據庫中的用戶名錶相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序；

5）、客戶端程序收到由交換機傳來的加密字後，用該加密字對口令部分進行加密處理（此種加密算法一般是不可逆的），並經過交換機傳給認證服務器；

6）、認證服務器將送上來的加密後的口令信息和其本身通過加密運算後的口令信息進行對比，若是相同，則認爲該用戶爲合法用戶，反饋認證經過的消息，並向交換機發出打開端口的指令，容許用戶的業務流經過端口訪問網絡。不然，反饋認證失敗的消息，並保持交換機端口的關閉狀態，只容許認證信息數據經過而不容許業務數據經過。

802.1x認證的優勢：

1）、簡潔高效：純以太網技術內核，保持了IP網絡無鏈接特性，不須要進行協議間的多層封裝，去除了沒必要要的開銷和冗餘；消除網絡認證計費瓶頸和單點故障，易於支持多業務和新興流媒體業務。

2）、容易實現：可在普通L三、L二、IPDSLAM上實現，網絡綜合造價成本低，保留了傳統AAA認證的網絡架構，能夠利用現有的RADIUS設備。

3）、安全可靠：在二層網絡上實現用戶認證，結合MAC、端口、帳戶、VLAN和密碼等；綁定技術具備很高的安全性，在無線局域網網絡環境中802.1x結合EAP－TLS，EAP－TTLS,能夠實現對WEP證書密鑰的動態分配，克服無線局域網接入中的安全漏洞。

4）、行業標準：IEEE標準，和以太網標準同源，能夠實現和以太網技術的無縫融合，幾乎全部的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟WindowsXP操做系統內置支持，Linux也提供了對該協議的支持。

5）、應用靈活：能夠靈活控制認證的顆粒度，用於對單個用戶鏈接、用戶ID或者是對接入設備進行認證，認證的層次能夠進行靈活的組合，知足特定的接入技術或者是業務的須要。

6）、易於運營：控制流和業務流徹底分離，易於實現跨平臺多業務運營，少許改造傳統包月制等單一收費制網絡便可升級成運營級網絡，並且網絡的運營成本也有望下降。

802.1x的認證模式：

1）、端口認證模式：該模式下只要鏈接到端口的某個設備經過認證，其餘設備則不須要認證，就能夠訪問網絡資源。

2）、 MAC認證模式：該模式下鏈接到同一端口的每一個設備都須要單獨進行認證。

802.1x的認證方式：

類型代碼	身份驗證協議	說明
4	MD5 challenge	EAP中相似於CHAP的認證方式
6	GTC	本來打算與RSA SecurID之類的令牌卡一塊兒使用
13	EAP-TLS	以數字證書相互認證
18	EAP-SIM	以移動電話的SIM卡（用戶識別模塊卡）進行身份驗證
21	TTLS	隧道式TLS；以TLS加密保護較弱的身份驗證方式
25	PEAP	防禦型EAP；以TLS加密保護較弱的EAP認證方式
29	MS-CHAP-V2	微軟的經加密的密碼身份驗證，與windows域兼容

四、用戶接入受權

受權是用戶接入管理的核心，驗證只完成了用戶身份識別，接人訪問控制主要是依靠受權來完成的。在接人交換機上可實施的主要受權措施包括VLAN和per—user ACL，相關輔助措施有DHCPSnooping，IP source guard，Dynamic ARP inspection，private VLAN等。

1）、基於用戶的vlan劃分

傳統的VIAN劃分有基於端口的VLAN和基於MAC的VLAN。基於端口的VLAN因爲配置相對固定，而沒法處理移動用戶動態劃分VLAN的需求。基於MAC的VIAN在用戶較多的企業存在管理複雜、工做量大的缺陷，而且這2種方法都沒法處理多用戶共用1臺工做站的狀況。基於802．Ix驗證按照用戶進行VLAN劃分的方案，能夠有效解決上述問題，實現靈活、細粒度的動態VLAN劃分。

實施基於用戶的VLAN劃分方案的關鍵點是按照用戶類別和訪問權限定義儘量細緻的VLAN，以便採用IP地址做爲基本控制措施的網絡資源和應用能充分利用VIAN信息進行必要的訪問控制。能夠爲外來人員或臨時人員定義一個公用帳戶並劃人獨立的VLAN，接合per—user ACI，限制其只可訪問特定資源。

2）、基於用戶的ACL（per—user ACL）

基於用戶的ACL能夠爲802．Ix驗證用戶提供個性差別化的網絡控制服務，當用戶驗證經過時RADIUS服務器根據用戶識別信息將預約義的ACL發送給交換機，交換機將ACL應用到該用戶鏈接的端口，當端口驗證失效時，交換機再移除該ACL。

在實際部署時，應當對用戶訪問需求進行仔細調查，這是實施基於用戶的VLAN和ACL的成敗關鍵。根據實際訪問需求，建議將相同訪問需求的用戶劃分爲組，創建基於組的ACL，以簡化管理。利用嚴格的、細粒度的per--user ACI。能夠有效地在網絡接人端都署訪問控制措施，從而保護全網資源，甚至包括用戶問的隔離。

3）、DHCP Snooping

爲統一管理企業1P資源，同時減小用戶端配置工做量，簡化用戶網絡接人，大部分企業都採用了集中化管理的DHCP解決方案。因爲全部用戶的IP地址分配都由DHCP完成，這就要求DHCP服務具有很高的安全性。爲防止用戶有意或無心非法啓用DHCP服務，可在交換機上啓用DHCP Snooping。DHCP Snooping是交換機上監測DHCP包的安全機制，非信任區的DHCP服務應答會被DHCPSnooping所有丟棄，從而禁止非信任區DHCP服務的接人。DHCP Snooping最重要的做用在於構建並維護DHCP Snooping binding database，此數據庫可進一步提供給Dynamic ARP inspection和IP sourceguard使用。DHCP Snooping binding database包括MAC地址、IP地址、租約時聞、VLAN信息、端口等。

4）、Dynamic ARP inspection

Dynamic ARP inspection是交換機檢查ARP包合法性的安全機制，它使用DHCP Snooping bind—ing database中的信息對全部非信任端口的ARP請求和響應進行檢查，丟棄IP，MAC信息與DHCP Snooping binding database不一致的ARP包。啓用Dynamic ARP inspection能夠防範ARP「中間人」***，並可利用ARP阻斷來禁止不使用DHCP分配地址而手動設定地址的用戶，可在必定程度上防範IP假裝。

5）、IP source guard

Dynamic ARP inspection僅僅檢查ARP包，IP source guard則使用DHCP Snooping binding database和手工配置的IP source bindings檢查全部IP包，只容許binding表中的源IP經過，從而徹底阻止IP假裝行爲。

可是對於成對僞造IP和MAC，以上這些方法都不能有效地進行防範，可是因爲採用了基於用戶的VLAN和ACL，極大地減小了僞造IP和MAC的利用價值，同時配臺完善的網絡審計措施，能夠基本消除僞造IP和MAC所可能存在的安全隱患。

6）、部署用戶接入受權實例（AAA）

設備選用：H3C防火牆FW-100系列一臺，Quidway s2000交換機一臺，windows2003服務器一臺（AAA服務器和DHCP服務器）

拓撲圖：