大中型企业内网防非法接入系统的应用
大中型企业内部局域网是一个完全独立于Internet网的局域网。对于这样的局域网,来自Internet的攻击危害较小,其安全威胁来自于网络内部。最主要的是不明身份人员,擅自连接到局域网内,窃取企业内部信息,造成网内信息泄密。
随着基于以太业务应用的日益广泛,迫切需要一种能适应以太网多业务承载需求,且兼顾以太接入灵活性和扩展性好的特点,并能确保以太网接入安全性、支持网络管理员对接入用户进行控制和管理的接入认证技术.
 |
以太技术和接入认证技术的结合要求网络接入控制完成以下功能:
1、网络的接入控制与网络提供的业务类型无关,采用一个通用的接入认证解决方案。
2、网络接入要求对用户身份进行严格的控制和管理,包括控制用户对网络的访问,用户身份识别。
3、对于用户来说,只需要面对单一的认证界面,用户可以实现在多种网络接入业务间漫游。
系统组成
内网防非接入系统如图5-1所示,该系统由三部分组成,网络认证服务器、网络接入设备、网络客户机。
网络接入设备是内网防非法接入系统的核心,所有参加安全接入认证的网络设备需具备网络安全特性,也就是在其端口上,可以实现端口-IP-MAC的绑定、802.1x认证或动态VLAN认证。
网络认证服务器上运行着防非接入认证系统及认证数据库系统,它为全网提供网络安全接入认证服务。为所有网络用户提供接入凭证。
网络客户机,是指全网内通过网络设备进行网络连接的网络客户端系统,可以是windows或linux系统的微型计算机或UNIX系统的工作站以及其它相关的网络设备等。网络客户机的网络登录凭证可以是其网卡的物理地址或是基于用户和口令的认证。
工作流程
* 网络接入客户机连接上网后,以网卡地址或用户口令作为入网认证凭证;
* 网络接入设备接收到客户机上网信息后,向网络认证服务器转交客户机认证凭证;
* 网络认证服务器随时监听来自网络设备的认证申请信息;
* 接收到认证信息后,通过查询认证数据库,以确认网络客户机身份的合法性,并将日志记录到数据库中以备查询;
* 认证服务器对认证申请进行认证后,
> 如果通过认证,则认证服务器向网络接入设备发布允许上网策略,即允许网络设备的物理端口打开,客户机可正常上网;
> 如果认证未通过,则认证服务器向网络设备发布禁止上网策略,即关闭网络设备的物理端口或将该端口分配到指定的虚拟网中,以备网管人员进行监控和管理。
内网防非接入系统的工作流程,如图5-2 所示。
 |
