网络准入控制技术与设计

来源:南粤论文中心 作者:张莉,齐锦,吕鲁宁, 发表于:2010-04-08 10:21  点击:
【关健词】准入控制;资源访问控制策略系统;802.1x认证;Porta
【摘要】网络准人控制技术是通过使用用户身份认证手段,对用户的接入设备进行状态评估,实现对用户属性,在 线状态、流量限制的全面管理与掌握。论文首先分析了网络准入控制技术,深入理解该技术的工作原理,并根据工 作流程展开系统部署以及组网方式。

 引言

在企业,机构网络环境中,由于缺乏有效的管理与控制, 网络安全形势日趋严峻,即使部署了防火墙、漏洞扫描系统、 入侵检测系统和防病毒软件等安全防线,攻击网络的现象仍
然层出不穷,网络的可用性难以保证。在众多的网络安全事

估,使每个接入点都具有较高的可信身份和基本的安全条件, 从而达到高效、安全,全方位地保护网络基础设施的目的。

1                系统组成与功能
网络准入控制技术采用模块化设计,平台化支撑的设计 思想,整个系统分为准入控制手段,控制支撑、控制决策和
件背后,普遍存在的事实是管理者不能及时掌握用户属性, 在线状态、流量使用情况等,网络用户若没有及时安装系统 补丁和升级病毒库,每个网络用户都可能成为网络攻击的发 起者,同时也是受害者。因此,我们采用网络准入控制技术, 通过用户身份认证手段,对用户的接入设备进行安全状态评
应用应接口用4个层接面,口系统[结二构如二图l二所示至。
控制决策

控翻支撑
三二]

 

收稿日期:2009一05一01 作者简介:张莉,1978年生,女,硕士,工程师,研究方向: 计算机网络规划与部署;齐锦.{971年生,女,硕士,高级 工程师,研究方向:计算机网络管理与规划;吕鲁宁。I 979 年生,男,硕士,工程师,研究方向:计算机网络接入控制 与部暑;柏新才.1  981年生,男,硕士,助理工程师,研究 方向:计算机网络接八控制与部署。

 

6。万方|凹数晒据叨。cis哪a口。④①皿。@固
控制手段


(1)控制手段:网络准入控制采用多种用户身份认证方 式,主要包括指纹、虹膜、用户名、密码、智能卡等,生物 识别认证需要与用户名、密码、智能卡相关联使用以提高安 全性。采用多种认证协议,主要包括802.1x协议、Portal协 议等,对接入网络的所有网络设备、安全设备,视频多媒体
通信技术
co巾mun{catlon嫩霉£b日olQg{襄妻毒黧黼

 

 


设备,终端类等设备进行身份识别与状态检查。
(2)控制支撑:包括基础信息数据库代理,终端安全策 略代理、网管代理、资源访问控制策略模块、防病毒代理、 补丁代理、DHcP代理等,为实现用户入网认证、状态评 估、补救修复、在线监控和流量限制等策略决策、策略调 度提供有力的支撑。
(5)控制决策:主要负责接入用户的安全状态评估,做出 允许或拒绝用户访问业务的判断完成策略上报、下发和自主 策略协同工作方式;完成与网络设备的联动,实施策略决策。
(4)应用接口:负责与应用业务系统的互通。 网络准入控制的核心是资源访问控制策略系统,它的主
要功能【1.21如下:
——具有身份认证功能:除了基于指纹、虹膜、用户名 和密码等身份认证外,系统还支持身份与接入终端的MAc 地址、IP地址、所在VLAN等信息进行绑定,同时支持智能 卡、数字证书认证,增强身份认证的安全性。
——具有基于身份的网络授权功能按照分组.分级,分
权限原则规范用户的网络使用行为。
——具有行为审计功能系统可以高效地收集用户使用 网络资源的数据,记录操作过程,分析用户上网行为,掌握 网络运行状态,并生成日志以备查用。
——具有网络状态查询功能系统能够实时监测用户在 线、离线状态,可以对接入用户进行直观管理,实时查看上 网用户信息、强制用户下线、执行安全检查等操作。
——具有安全状态评估功能准入用户可以进行的安全 认证检查和内容审计包括终端病毒库版本检查、终端补丁检 查,终端安装的应用软件检查、是否有代理、拨号配置等。
——具有日志管理功能对于用户及管理人员的所有操 作,包括登录,注销的时间、登录IP地址以及登录期间进行 的任何可能修改系统数据的操作,都会记录详细的日志。
——具有性能管理功能:能够实时查看到网络设备的 CPU利用率、流量等关键指标,支持实时性能监视,当链路 或端口的流量出现异常时,系统将会发送性能告警,使管理 人员可以及时了解网络中的隐患,及时消除隐患。同时为故 障定位提供手段。
——具有桌面资产管理功能系统能够对用户资产进行 全方位的监控和管理,不仅对终端软硬件使用、变更情况、 USB存储介质等外设使用情况进行监控,同时还支持终端资 产的配置管理和软件的统一分发,实现对资产的有效管理。

2工作原理和流程

网络准入控制以资源访问控制策略系统为核心,通过建
立用户区、联动设备区、策略控制区等来实现全方位的管理
与控制。首先,用户区的作业终端必须安装准入控制模块,由 它来发起身份认证、安全策略的检查以及和资源访问控制策 略系统之间联动进行用户管理与终端控制;其次,设备联动 区指对现有的交换机、路由器等传输层网络路由交换设备和 入侵检测系统(IDS)、防火墙等应用层网络检测设备进行改 造,使它们能够与资源访问控制策略系统联动,除了完成基 本的数据交换传输功能,还可以完成网络状态检测、上报功 能和策略接收、执行等功锯,起到强制用户入网认证、隔离 不合格终端、为合法用户提供网络服务的作用;第三,策略 控制区是以资源访问控制策略系统为核心,通过与基础信息 数据库、终端安全策略服务器、网管服务器、DHCP服务器、 防病毒服务器、补丁服务器等设备联动,负责身份认证、安 全评估、资源访问,内容审计、策略部署、策略下发等任务, 是网络准入控制中的管理与控制中心【m,如图2所示。


图2网络准入控制工作原理
用户试图接入网络时,安装在终端设备上的准入控制模 块首先搜集、评估用户端设备的安全特征,包括系统补丁、病 毒库版本等信息并把这些特征和用户信息上传至资源访问控 制策略系统,进行用户身份认证和安全策略对照根据对照结 果,非法用户将被资源访问控制策略系统拒绝接入网雪各;合法
用户、但接入计算机没有达到基本安全要求的将被隔离到隔离 医进入隔离区的用户可以根据网络控制策略,进行安装系统 补丁、升级病毒库、检查终端系统信息等操作,直到接入终端 符合网络控制策略,再重新发起认证合法、合格的接入终端 由DHcP服务器自动分配口地址,并根据系统部署的相应权 限正常访问网络,终端安全策略服务器会实时检查并记录用户 使用网络资源的情况。网络准入控制的工作流程如图3所示。(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)

顶一下
(0)
0%
踩一下
(0)
0%


版权声明:因本文均来自于网络,如果有版权方面侵犯,请及时联系本站删除.