7.2 安全准入

7.2.1 安全准入概述

企业通过部署安全准入控制，主要解决传统网络的如下问题：

● 网络被随意接入，无法定位身份：企业网络可以被外部设备随意接入，外部病毒极易入侵，对企业网络安全造成巨大威胁。

● 非法外联不可控：终端连接互联网的方式众多，私接无线网卡、无线WiFi、4G手机代理等方式均可以绕过内网的监控直接连接外网，向外部敞开大门。

● 终端安全性无法保障：企业人员多，终端数量多，无法保障每台终端是否安装了补丁、防病毒软件等。

● 移动U盘随意使用，导致数据泄密：企业对移动存储介质无法管控，造成U盘泄密事件时常发生，无法跟踪管理。

7.2.2 安全准入技术

安全准入可粗略地分为基于网络的安全准入和基于主机的终端准入。基于网络的安全准入通常无须部署客户端。安全准入常用的技术包括 802.1X 准入、DHCP 准入、网关型准入、ARP准入、Cisco EOU准入、H3C Portal准入等。

1.802.1X准入

1）802.1X概述

802.1X协议起源于802.11协议，后者是IEEE的无线局域网协议，制定802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802ALN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备（如LAN Switch），就可以访问局域网中的设备或资源。

802.1X标准应用于连接到端口或其他设备（如Cisco Catalyst交换机或Cisco Aironet系列接入点）（认证方）的终端设备和用户（请求方）。认证和授权都通过授权服务器（如Cisco Secure ACS）后端通信实现。IEEE802.1X提供自动用户身份识别，集中进行授权、密钥管理和LAN连接配置。

（1）请求者系统

请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持 802.1X 认证的用户终端设备，用户通过启动客户端软件发起802.1X认证，后文的认证请求者和客户端二者表达相同含义。

（2）认证系统

认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持 802.1X 协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口，也可以是逻辑端口，一般在用户接入设备（如LAN Switch和AP）上实现802.1X认证。

（3）认证服务器系统

认证服务器是为认证系统提供认证服务的实体，建议使用 Radius 服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1X定义的EAP协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行 EAP 协议，EAP 帧中封装认证数据，将该协议承载在其他高层协议中（如 Radius），以便穿越复杂的网络到达认证服务器。当认证系统工作于终结方式时，认证系统终结 EAPOL 消息，并转换为其他认证协议（如Radius），传递用户认证信息给认证服务器系统。

认证系统的每个物理端口内部包含受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可随时保证接收认证请求者发出的 EAPOL认证报文，受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

2）802.1X认证流程（见图7-12）

（1）请求者发送一个EAPOL-Start报文发起认证过程。

（2）认证方收到 EAPOL-Start 后，发送一个 EAP-Request 报文响应请求者的认证请求，请求用户ID。

（3）请求者以一个 EAP-Response 报文响应 EAP-Request，将用户 ID 封装在 EAP 报文中发给认证方。

（4）认证方将请求者送来的EAP-Request报文与自己的NAS IP、NAS Port等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器（Authentication Server）。

（5）认证服务器收到RADIUS Access-Request报文后，将用户ID提取出来在数据库中进行查找。如果找不到该用户ID，则直接丢弃该报文；如果该用户ID存在，则认证服务器会提取出用户的密码等信息，用一个随机生成的加密字进行 MD5 加密，生成密文。同时，将这个随机加密字封装在一个EAP-Challenge Request报文中，再将该EAP报文封装在RADIUS Access-Challenge报文的EAP-Message属性中发给认证方。

（6）认证方收到 RADIUS Access-Challenge 报文后，将封装在该报文中的 EAP-Challenge Request报文发送给请求者。

（7）请求者用认证服务器发来的随机加密字对用户名、密码等信息进行相同的 MD5加密运算生成密文，将密文封装在一个EAP-Challenge Response报文中发给认证方。

（8）认证方收到EAP-Challenge Response报文后，将其封装在一个RADIUS Access-Request报文的EAP-Message属性中发给认证服务器。

（9）认证服务器拆开封装，将请求者发回的密文与自己在第（5）步中生成的密文进行对比。如果不一致，则认证失败，服务器将返回一条 RADIUS Access-Reject 信息，同时保持端口关闭状态；如果一致，则认证通过，服务器将一条 EAP-Success 消息封装在RADIUS Access-Accept报文的属性中发送给认证方。

（10）认证方在接到认证服务器发来的RADIUS Access-Accept之后，将端口状态更改为“已授权”，同时将RADIUS Access-Accept中的EAP-Success报文拆出来发送给请求者。

（11）认证方向认证服务器发送一个RADIUS Accounting-Request（Start）报文，申请开始计账。

（12）认证服务器开始记账，向认证方返回RADIUS Accounting-Response报文。

（13）用户下线时，请求者向认证方发送EAPOL-Logoff报文。

（14）认证方向认证服务器发送RADIUS Accounting-Request（Stop）请求。

（15）认证服务器收到认证方送来的停止记账请求后停止记账，同时发送一条RADIUS Accounting-Response响应。

（16）认证方发送一条EAPOL Failure消息给请求者，同时将端口状态置为“未授权”。

2.DHCP准入

1）DHCP准入原理

DHCP 服务有两个地址池，分为工作网段 DHCP 和访问网段 DHCP 两种，终端主机首先获取访客 DHCP 服务分配的 IP 地址，经过实名认证及准入认证通过后，再次通过工作DHCP服务分配授权的内网IP地址。

终端主机先获取到准入分配的访客网段的 IP，网关指向准入设备，并且获取的 IP 有租用时间，设置得很短（如 60s），在这个时间段内打开 IE 时，准入会让其跳转到认证网页，通过实名/证书认证及内网管理软件等合规认证后，下一个租用周期准入设备会让这个主机获取到工作网段的 IP，这时主机的网关指向三层网关，不再指向准入网关。如果该主机在隔离网段第一个租用时间内没有完成认证过程，则准入会再提示认证，直到认证成功为止。

2）DHCP准入流程（见图7-13）

（1）接入主机可以设置成固定IP地址或DHCP动态获取IP地址，一般建议服务器或特权主机设定为固定IP地址，其他主机动态分配IP地址。

（2）对于固定 IP 地址的主机，系统检查其 MAC 地址、IP 地址、主机名、网卡类型、对应交换机端口等信息，如果是非法主机，系统将阻止其入网。此类主机一般无须实名认证或健康检查。

（3）对于固定 IP 地址的主机，如果需要进行实名认证或桌面准入，需将接入终端的网关指向准入设备的接口地址。

（4）对于 DHCP 动态获取 IP 地址的主机，首先系统会临时分配一个隔离网段 IP 地址，允许它访问隔离网段服务器（如杀毒服务器、补丁服务器、实名认证服务器等）。

（5）如果系统启动了实名认证模块，接入主机获取动态IP地址后，打开IE浏览器访问外网时，系统会自动推送实名认证网页，要求其输入管理员分配的用户名及密码，如果身份认证未通过，系统将不会分配内网 IP 地址，接入终端也无法访问内网任何资源。如果身份认证通过，并且系统没有启动健康检查模块，接入主机将获取管理员分配的内网合法IP地址，根据隔离安全策略来确定接入终端访问内网应用服务器资源的权限。

（6）如果系统启动了健康检查/桌面管理模块，接入主机实名认证通过后，系统在其打开 IE 浏览器访问外网时，会自动推送健康检查/桌面管理客户端下载网页，当其安装完健康检查客户端后，接入主机将获取管理员分配的内网合法 IP 地址，根据隔离安全策略来确定接入终端访问内网应用服务器资源的权限。

（7）系统运行过程中，将自动收集当前限制主机、允许主机、离线主机、在线主机列表，每台主机的当前使用 MAC 地址、IP 地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等信息，管理员可实时查看到对应交换机上接入主机的信息，并可手动/自动关闭其端口，完全隔离非法主机。

3.网关型准入

网关型准入控制简单来说就是通过网络限制、网关认证等方式授权客户端访问网络。此方案一般由防火墙厂家推出。区别于传统的防火墙，网关型准入防火墙通常需要支持实名ID认证，具有准入控制功能，能基于认证策略动态实施访问控制。

4.ARP准入

一些网管软件通过ARP欺骗的方式实现网络准入控制，其原理与ARP木马的工作原理类似。网管软件通过向局域网终端发送ARP欺骗数据包，修改网关IP地址的MAC地址应答，由于局域网终端学习到的网关 MAC 地址为虚假的 MAC 地址，导致终端发送到网关的通信不会被接收，从而不能连接到网关。

需要注意的是，由于 ARP 地址表会定期刷新，因此必须以一定的频率反复发送 ARP欺骗包，从而保证控制效果。在实际应用中，发送频率通常为秒级，如 5～10s，才能确保压制的效果。

5.Cisco EOU准入

Cisco EOU准入控制技术EAP OVER UDP是思科公司私有的准入控制技术。Cisco 3550以上设备支持。传说此技术是 Cisco 为了解决 HUB 环境下多设备认证而提出的，当然不可能仅限于此目的；EOU技术工作在3层，采用UDP封装，客户端开放UDP 21862端口。

Cisco EOU准入控制技术同时分为二层EOU和三层EOU，即IPL2和IPL3。两者不同点在于：二层 EOU 是指运行在交换设备上的（三层交换机也包括）；二层 EOU 是靠ARP 和 DHCP 触发认证的，所以在客户端和认证网络设备 Authenticator System（设备端）之间必须可以让ARP和DHCP包能够通过；三层EOU L3IP_EOU是工作在路由器上的，其靠包转发来触发认证，所以支持各种接入环境。二层 EOU 和三层 EOU 除认证触发和运行设备外其他无区别。

6.H3C Portal准入

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其他信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。Portal系统主要由以下5个部分组成：

（1）认证客户端：安装于用户终端的客户端系统，为运行 HTTP/HTTPS 协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测通过Portal客户端和安全策略服务器之间的信息交流完成。

（2）接入设备：交换机、路由器等接入设备的统称，主要有以下3个方面的作用。

① 在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。

② 在认证过程中，与 Portal 服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

③ 在认证通过后，允许用户访问被管理员授权的互联网资源。

（3）Portal 服务器：接收 Portal 客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。

（4）认证/计费服务器：与接入设备进行交互，完成对用户的认证和计费。

（5）安全策略服务器：与 Portal 客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。

7.2.3 安全准入技术对比

安全准入技术对比见表7-2。