|
【PConline技术应用】在校园网、企业网、政府网,在这种大型网络中,如何确定用户的身份,禁止私接,如何确定用户发送的数据是否安全,这都涉及到一个网络的管理。安全的网络它从各个层面对用户的权限进行认证。并对不正常的数据包丢弃处理,今天我们就来说说如何一些常用的二层或三层管理功能。 只允许合法用户进入网络 在任何行业,任何场合,只要考虑到安全问题,首要考虑的就是安全准入的问题。比如国家安全首要考虑的就是在边防进行检查。网络也不例外,只有允许合法用户进入网络,才能进一步保障网络安全。
对网络而言,我们有很多手段来实现安全准入,然而每种手段都有自己的应用场合。怎样选择给应用场合选择合适的认证方式?下面两种认证手段,可以解决多数网络中的安全准入问题。 1、 接入层实现WebPortal认证 WebPortal认证以浏览器为依托实现认证,不需要改变用户原有使用习惯、降低管理难度而受到网络管理者的追捧。例如现在免费提供WI-FI无线上网热点的麦当劳,它们采用的就是WebPortal认证。这种认证方案还有一个好处可以在Web认证页面里值入广告,或与用户进行互动,增加服务亮点。
不过目前市面上销售的WebPortal认证设备多为出口网关设备,即使使用这种设备,内网还是处于完全不设防的状态中。只有当访问Internet时才需要认证,那么其实仍然无法实现入网即认证的思想。比如内网BBS上、论坛上出现过激言论,某IP攻击服务器等行为都无法跟踪。
基于此种情况,部分网络设备厂商已把将传统的出口WebPortal认证下移到接入交换机上去实现,也就是将出口认证变为入口认证。这种方式既保留了浏览器认证所带来的便利,也解决了内网安全问题,实现了管理与技术的平衡。
2、基于802.1x的接入认证 802.1x协议起源于802.11协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802协议定义的局域网并不提供接入认证,只要用户能接入局域网,就可以访问局域网中的设备或资源。这在早期有线LAN应用环境下并不存在明显的安全隐患。网络的规模越来越大,网络提供者就需要对用户的接入进行控制和配置。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based NetworkAccess Contro1)而定义的一个标准。
802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分。请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。 认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。 认证过程 (1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入; ----------------------------------------------------------------------------- 相关文章: 基于Wiwiz HotSpot Builder的麦当劳WiFi热点Web认证方案 Wiwiz安装与配置的具体步骤 - 免客户端设置方法 -----------------------------------------------------------------------------
|
