深圳联软NAC方案.ppt
- 文档编号:2120899
- 上传时间:2022-10-27
- 格式:PPT
- 页数:47
- 大小:1.05MB
深圳联软NAC方案.ppt
《深圳联软NAC方案.ppt》由会员分享,可在线阅读,更多相关《深圳联软NAC方案.ppt(47页珍藏版)》请在冰豆网上搜索。
网络准入控制技术介绍深圳联软科技有限公司深圳联软科技有限公司27十月十月2022网络准入,不仅仅是802.1xAgendan一、准入控制技术概述一、准入控制技术概述n二、二、802.1x准入控制技术介绍准入控制技术介绍n三、三、CiscoNAC准入控制简介准入控制简介n四、四、DHCP准入控制技术简介准入控制技术简介n五、五、ARP干扰技术简介干扰技术简介n六、六、UniAccess准入控制解决方案准入控制解决方案为什么需要网络准入n病毒的爆发周期越来越短病毒的爆发周期越来越短n网络承载的业务越来越多,可靠性要求越来越高网络承载的业务越来越多,可靠性要求越来越高n网上的机密信息越来越多,信息的价值越来越高网上的机密信息越来越多,信息的价值越来越高n使用网络的人员越来越多,网络接入的接口越来越多使用网络的人员越来越多,网络接入的接口越来越多n网络的接入方式越来越多,无线、远程、网络的接入方式越来越多,无线、远程、VPNNAC系统架构访问请求者求者策略策略执行点行点策略决策点策略决策点网网络边界界PostureValidatorPostureValidator网络准入控制客客户端端代理代理网网络访问请求器求器网网络执行控制点行控制点网网络访问授授权器器服服务器端器端代理代理安全状安全状态检验12345678访问请求者求者策略部署控制点策略部署控制点策略决策点策略决策点PostureCollectorPostureCollector安全状安全状态收集收集网络准入n网络准入建立如下机制网络准入建立如下机制:
p终端注册终端注册p安全检测安全检测p安全隔离安全隔离p安全通知安全通知p安全修复安全修复网络准入的意义n防止病毒防止病毒/蠕虫蠕虫/间谍件间谍件/木马泛滥木马泛滥p不符合安全要求的终端不能直接访问不符合安全要求的终端不能直接访问p未符合安全要求的终端将被自动隔离未符合安全要求的终端将被自动隔离n对接入的设备进行验证,防止非法接入对接入的设备进行验证,防止非法接入p防止非法无线防止非法无线AccessPoint接入接入p没有合法账户无法接入没有合法账户无法接入p不是单位内的合法终端也无法接入不是单位内的合法终端也无法接入n让接入网络的终端都安装代理让接入网络的终端都安装代理p除非你为其单独设置例外除非你为其单独设置例外n其它更多好处其它更多好处pARPspoofing,IPspoofing比喻:
建立指纹识别网络门禁还可发现/并隔离感冒的员工!
常见的网络准入控制技术nNetworkDeviceEnforcementp802.1x,多网络厂商支持,网络交换机和无线,多网络厂商支持,网络交换机和无线AP上实现上实现pCiscoNAC,NAC支持多种准入技术,包括支持多种准入技术,包括802.1x准入准入nDHCPEnforcement/IPSecEnforementpMicrosoftvista,还有美国的一些小厂商,还有美国的一些小厂商nGatewayEnforcementp主要是防火墙厂商采用该方法主要是防火墙厂商采用该方法nARP干扰干扰p许多中国国内厂商采用该方法许多中国国内厂商采用该方法Agendan一、准入控制技术概述一、准入控制技术概述n二、二、802.1x准入控制技术介绍准入控制技术介绍n三、三、CiscoNAC准入控制简介准入控制简介n四、四、DHCP准入控制技术简介准入控制技术简介n五、五、ARP干扰技术简介干扰技术简介n六、六、UniAccess准入控制解决方案准入控制解决方案IEEE802.1x认证服务器认证服务器23802.1x是一个是一个client-server-based的访问控制和认证协议,的访问控制和认证协议,用于限制非授权的设备直接连接到可被公共访问的用于限制非授权的设备直接连接到可被公共访问的LAN网络端口网络端口411用户激活网线用户激活网线(例如:
启动例如:
启动PC,接上网线,接上网线)2交换机向认证服务器发送请求,询问是否允许用户访问网络交换机向认证服务器发送请求,询问是否允许用户访问网络34认证服务器返回认证结果认证服务器返回认证结果如果是授权用户,交换机打开如果是授权用户,交换机打开controlledport,允许用户访问,允许用户访问LANIEEE802.1x的3个组件
(2)端口访问端口访问认证器认证器AuthenticatorPAE(SwitchorRouter)
(1)端口访问请求者端口访问请求者SupplicantPAE(PortAccessEntity)EAPOLEAPOLEAPoverLAN(3)认证服务器认证服务器EAP:
ExtensibleAuthenticationProtocol802.1xHeaderEAPPayload802.1x工作原理每一个每一个802.1x交换机端口,交换机都为其创建两个虚拟接口交换机端口,交换机都为其创建两个虚拟接口
(1)ControlledPort只在通过只在通过802.1x认证后才被导通认证后才被导通
(2)Uncontrolledport:
仅仅仅仅用于传输用于传输EAP包包(EAPOL)EAPOLControlledPortUncontrolledPort应用服务器区后台资源Radius认证服务器802.1x网络准入控制技术n外来电脑(无外来电脑(无Agent)p进入进入GuestVLANn不符合安全的桌面电脑不符合安全的桌面电脑p进入修复区进行自我修复进入修复区进行自我修复n合法且符合安全要求的合法且符合安全要求的p进入工作区进入工作区n通过在网络设备上限制通过在网络设备上限制VLAN的访问权限,从而的访问权限,从而实现终端的访问控制实现终端的访问控制Radius访客区VLAN工作区修复区VLAN身份安全状态802.1X802.1x准入控制接入过程示例应用服务器区后台资源补丁服务器防病毒服务器应用服务器Radius认证服务器登录请求登录信息检查安全策略登录成功应用接入策略这是姚明,把他设置到VLAN5支持支持802.1x的的终端接入网络终端接入网络将端口设置到将端口设置到VLAN5交换机应用策略并交换机应用策略并Enable端口端口n通过认证之前:
终端不能与其它网络资源通信通过认证之前:
终端不能与其它网络资源通信姚明可以访问网络了802.1x交换机端口认证模式n802.1x交换机端口认证模式交换机端口认证模式pSinglehost模式模式一个端口只能连接一台终端一个端口只能连接一台终端pMulti-host模式模式一个端口下可以连接多台终端,只需要一台终端通过认证,其它的终端便一个端口下可以连接多台终端,只需要一台终端通过认证,其它的终端便可以访问网络可以访问网络pMulti-Auth模式模式一个端口下可以连接多台终端,每台终端都通过认证才能访问网络一个端口下可以连接多台终端,每台终端都通过认证才能访问网络Huawei-3com的多数型号交换机支持的多数型号交换机支持CiscoCatalyst6500系列支持系列支持802.1x基于Port的准入控制组网
(1)应用服务器准入控制服务器(主)合法用户(符合安全要求)合法用户(不符合安全要求)准入控制服务器(备)准入控制交换机支持802.1X非法接入拒绝接入自动隔离SingleHost认证控制方案802.1xMulti-Auth认证组网方案
(2)应用服务器准入控制服务器(主)合法用户(符合安全要求)合法用户(不符合安全要求)准入控制服务器(备)准入控制交换机支持802.1X非法接入拒绝访问安全修复服务器受限访问Multi-Auth认证控制方案1.无法做VLAN动态切换2.只有:
允许和拒绝两种状态3.只能对服务器进行保护4.自动安全修复服务器部署复杂802.1x准入控制优缺点n优势优势p802.1x是一个国际标准,多个厂商支持是一个国际标准,多个厂商支持p通过动态通过动态VLAN切换,实现对不安全终端的隔离切换,实现对不安全终端的隔离p不会影响网络的性能不会影响网络的性能n缺陷缺陷p一个交换机端口下面只能接一台终端一个交换机端口下面只能接一台终端p只有通过只有通过LAN接入才能做准入控制,接入才能做准入控制,VPN/Wirelesss不行不行p许多网络交换机、许多网络交换机、HUB不支持不支持802.1x协议协议p许多无线许多无线AP支持支持802.1x,但是不支持动态,但是不支持动态VLAN切换切换p不同厂商在不同厂商在802.1x协议实现上有差别,存在兼容性问题协议实现上有差别,存在兼容性问题Agendan一、准入控制技术概述一、准入控制技术概述n二、二、802.1x准入控制技术介绍准入控制技术介绍n三、三、CiscoNAC准入控制简介准入控制简介n四、四、DHCP准入控制技术简介准入控制技术简介n五、五、ARP干扰技术简介干扰技术简介n六、六、UniAccess准入控制解决方案准入控制解决方案CiscoNAC系统架构Policy(AAA)ServerVendorServer尝试接入网络尝试接入网络的主机的主机网络访问设备网络访问设备NAD访问控制访问控制策略服务器策略服务器CredentialsCredentialsEAP/UDP,EAP/802.1xRADIUSCredentialsHTTPSAccessRightsNotificationCiscoTrustAgent124562aComply?
Enforcement3管理和监控系统管理和监控系统CiscoWorksVMSCiscoWorksSIMSNAC安全管理的挑战安全管理的挑战:
如何管理众多终端上的Agent?
如何获得访问控制的全面应用情况?
如何自动分发策略?
NAC安全管理安全管理:
管理软件Agent以保护桌面终端监视和管理访问设备的性能和运行状况监控端点、访问设备、策略服务器和防病毒产品集中策略管理,确保接入设备符合管理策略CiscoNACnNAC实现准入控制的三种方式实现准入控制的三种方式pNAC-L2-802.1xpNAC-L2-IP(EAPoverUDP)pNAC-L3-IP(EAPoverUDP)nNAC-L2-802.1xp与其它网络设备厂商的方式一致与其它网络设备厂商的方式一致nNAC-L2/3-IPpCisco设备专有设备专有NAC三种部署技术特性对比nNACL3IPEAPoverUDP安全状安全状态检查(RoutersandVPN)nNACL2IPEAPoverUDP安全状安全状态检查(L2交交换机端口机端口)nNACL2802.1xEAPover802.1x(L2交交换机端口机端口)特性特性NACL2802.1xNACL2IPNACL3IP触发机制触发机制链路激活链路激活DHCP或或ARP转发数据包转发数据包终端身份识别终端身份识别(UniAccess)(UniAccess)(UniAccess)(UniAccess)用户身份识别用户身份识别(UniAccess)(UniAccess)(UniAccess)(UniAccess)终端安全状态检查终端安全状态检查VLAN分配分配URL重定向重定向(UniAccess)(UniAccess)下载下载ACL只在只在65006500上支持上支持安全状态询查安全状态询查802.1x安全状态变更安全状态变更NAC-L2-802.1xn完全符合完全符合IEEE802.1x标准标准n主要特性主要特性p终端身份和安全状态的认证检查终端身份和安全状态的认证检查p交换机端口动态交换机端口动态VLAN设置设置p动态下载动态下载ACLp交换机端口支持两种模式交换机端口支持两种模式SingleHost/Multi-hostn支持的设备支持的设备pCatalyst6500系列系列(Sup2/32/720),NativeIOS暂时不支暂时不支持持pCatalyst4000/4500系列系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深圳 NAC 方案