局域网防非法接入的常用技术比较
企业内部局域网防非法接入技术分两类,一类是基于网络代理服务器的技术,另一类是基于网络层的技术。
基于代理服务器的技术
这类技术是指在局域网内部核心服务器群前端,安装接入服务器或接入网关,结合客户端登录认证,实现C/S模式的安全接入认证系统。其实现功能如下:防止基于proxy服务器非法上网;防止基于NAT的代理服务器非法上网;防止通过修改IP和MAC地址非法接入。这种技术可有效的控制非法机器对局域网内重要服务器群的非法访问,但对于企业局域网内部重要客户端机器,则无法进行有效保护。
基于网络层的防非法接入技术
这类技术是基于网络互联设备的安全特性来实现的。目前可网管的交换机上基本都具有下述安全机制。
基于端口绑定的防非法接入技术
该技术是通过对交换机的物理端口,进行MAC和IP地址绑定设置,有效的控制网内主机对局域网的访问。该技术的优点是对非法接入的控制, 安全高效,缺点是不适合大中型网络的使用,其端口设置固定,客户机无法灵活移动。
基于IEEE802.1x协议的防非法接入技术
基于IEEE802.1x协议的认证机制,是一种基于用户ID来进行交换机端口通讯的身份认证,被称为“基于端口的访问控制协议”。802.1x认证系统由申请者、认证者以及Radius认证服务器组成。提供基于端口监听的网络接入控制技术,在网络设备的物理接入层对接入设备进行认证和控制。它将网络设备接入端口逻辑上分为可控端口和不可控制端口。根据用户帐号和密码,由认证服务器认证,以决定该端口是否打开,对于非法用户接入或没有用户接入时,则该端口处于关闭状态。接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。当用户断网后,如果需要再次连网,则需要进行二次认证。
IEEE802.1x身份认证过程如下:
* 终端计算机尝试通过非控制端口连接到网络上。(由于此时终端计算机还没有通过身份验证,因此它无法使用所连接的网络端口)。该被连接的网络设备向申请终端发送一个纯文本质询。
* 作为响应,终端计算机提供自己的身份证明。
* 网络接入设备将来自申请者的身份信息通过网络转发给RADIUS认证服务器。
* RADIUS 服务器对凭证进行验证;如果通过验证,则将身份验证密钥发送给网络接入设备。这个密钥是加密的,因此网络接入设备要对其进行解密。
* 网络接入设备对密钥进行解密,并用它来为申请终端计算机创建一个新的密钥。这个新的密钥将被发送给终端计算机,它被用来加密终端计算机的全局身份验证密钥。
* 定期的,网络接入设备会生成新的全局身份验证密钥,并将其发送给客户端。
该认证机制,是目前较为流行的一种网络接入认证机制,其优点是:简洁高效、容易实现、应用灵活,是适用于大中型局域网的一种接入认证方式。缺点是:该机制是基于用户及口令的认证,对于大中型局域网来说,网络用户数多,人员复杂,多用户多口令的安全性不能有效得到保证,因此从管理角度来说,口令泄密而导致非法接入用户无法有效控制。