本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)接入認(rèn)證模式參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

摘要:網(wǎng)絡(luò)接入認(rèn)證是保障網(wǎng)絡(luò)整體安全的先決條件,也是其重要的一環(huán),目前在實(shí)際生產(chǎn)實(shí)踐活動(dòng)中可以在多個(gè)環(huán)節(jié)用不同的方式來(lái)保證網(wǎng)絡(luò)的安全,現(xiàn)就將在網(wǎng)絡(luò)接入環(huán)節(jié)闡述如何基于802.1X協(xié)議來(lái)把好網(wǎng)絡(luò)安全的入口關(guān)。
關(guān)鍵詞:接入認(rèn)證;分析;實(shí)現(xiàn)
網(wǎng)絡(luò)安全至關(guān)重要,現(xiàn)將介紹使用802.1X實(shí)施端口級(jí)的接入認(rèn)證。802.1X認(rèn)證,又稱(chēng)基于端口的訪問(wèn)控制協(xié)議認(rèn)證,是由IEEE提出的一個(gè)符合802協(xié)議集的局域網(wǎng)接入控制協(xié)議。802.1X最初是為無(wú)線局域網(wǎng)認(rèn)證設(shè)計(jì)的,但對(duì)有線網(wǎng)來(lái)說(shuō)只要接入交換機(jī)支持802.1X協(xié)議也是可行的。
在802.1X協(xié)議中,必須同時(shí)具備客戶(hù)端、接入認(rèn)證交換機(jī)和認(rèn)證服務(wù)器才能夠完成基于端口的訪問(wèn)控制的用戶(hù)認(rèn)證和授權(quán)。認(rèn)證過(guò)程如下:
(1)當(dāng)用戶(hù)有上網(wǎng)需求時(shí)客戶(hù)端將請(qǐng)求認(rèn)證的報(bào)文信息發(fā)給接入認(rèn)證交換機(jī),開(kāi)始啟動(dòng)一次全新的認(rèn)證過(guò)程。
(2)接入認(rèn)證交換機(jī)收到請(qǐng)求認(rèn)證的報(bào)文信息后,將發(fā)出一個(gè)請(qǐng)求幀要求用戶(hù)的客戶(hù)端程序?qū)⒂脩?hù)名送上來(lái)。
(3)客戶(hù)端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶(hù)名信息通過(guò)數(shù)據(jù)幀送給接入認(rèn)證交換機(jī),接入認(rèn)證交換機(jī)將客戶(hù)端發(fā)送過(guò)來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后傳送給認(rèn)證服務(wù)器進(jìn)行處理。
(4)認(rèn)證服務(wù)器收到接入認(rèn)證交換機(jī)傳送過(guò)來(lái)的用戶(hù)名信息后,將該信息與數(shù)據(jù)庫(kù)中的用戶(hù)名表相比對(duì),找到該用戶(hù)名對(duì)應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字傳送給接入認(rèn)證交換機(jī),由接入認(rèn)證交換機(jī)傳給客戶(hù)端程序。
(5)客戶(hù)端程序收到由接入認(rèn)證交換機(jī)傳過(guò)來(lái)的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理,并通過(guò)接入認(rèn)證交換機(jī)傳送給認(rèn)證服務(wù)器,此過(guò)程中的加密算法為不可逆算法,充分地保障了網(wǎng)絡(luò)上敏感信息的安全度。
(6)認(rèn)證服務(wù)器將送過(guò)來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行比對(duì),如果相同,則認(rèn)為該用戶(hù)為合法用戶(hù),反饋認(rèn)證通過(guò)的消息,并向交換機(jī)發(fā)出打開(kāi)端口的指令,允許用戶(hù)的數(shù)據(jù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持交換機(jī)端口的關(guān)閉狀態(tài)。
基于RADIUS方式的IAS認(rèn)證服務(wù)器+Foundry接入交換機(jī)的模式來(lái)描述整個(gè)認(rèn)證系統(tǒng)的基本設(shè)置過(guò)程。
1IAS的安裝配置過(guò)程
第一步:在DC上安裝IAS服務(wù)。
第二步:定義認(rèn)證客戶(hù)端。在IAS管理界面中,在客戶(hù)端上右擊,選擇創(chuàng)建新的客戶(hù)端為交換機(jī)輸入名稱(chēng)及其IP地址或DNS名稱(chēng)在客戶(hù)端-供應(yīng)商中選擇“RADIUSStandard”,輸入用于識(shí)別交換機(jī)的共享密碼,這個(gè)密碼必須與交換機(jī)中確定RADIUS服務(wù)器的密碼一致,勾選“請(qǐng)求必須包括消息消息驗(yàn)證程序?qū)傩浴薄?/p>
第三步:創(chuàng)建遠(yuǎn)程訪問(wèn)策略實(shí)施訪問(wèn)管理。在IAS管理界面中,右擊“遠(yuǎn)程訪問(wèn)策略”,創(chuàng)建新的遠(yuǎn)程訪問(wèn)策略并選擇連接類(lèi)型雙擊新建的策略,添加“Day-and-Time-Restriction”設(shè)置許可訪問(wèn)的時(shí)段。
第四步:開(kāi)啟遠(yuǎn)程訪問(wèn)記錄。在IAS管理界面中選擇“遠(yuǎn)程訪問(wèn)記錄”,打開(kāi)“本地文件”屬性。
在“設(shè)置”頁(yè)中選擇需要記錄的信息;在“日志文件”頁(yè)卡中,設(shè)置文件格式為IAS格式,選擇創(chuàng)建新日志時(shí)間。第五步:設(shè)置可逆加密格式的密碼來(lái)支持EAP-MD5。在DC上選擇“ActiveDirectory用戶(hù)和計(jì)算機(jī)”,在AD域名上右鍵選擇屬性。
選擇“組策略”頁(yè),編輯“默認(rèn)域策略”。
在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/帳戶(hù)策略/密碼策略”樹(shù)中,啟用“用可還原的加密來(lái)存儲(chǔ)密碼”項(xiàng)。
第六步:為用戶(hù)設(shè)置撥入和可逆加密密碼許可。用戶(hù)帳號(hào)屬性中選擇“撥入”頁(yè),勾選“允許撥入”項(xiàng)選擇“帳戶(hù)”頁(yè),勾選“使用可逆的加密保存密碼”選項(xiàng)
2接入認(rèn)證交換機(jī)的配置過(guò)程
接入認(rèn)證交換機(jī)的配置可以使用CLI、Telnet、超級(jí)終端撥入以及瀏覽器訪問(wèn)等多種方法。瀏覽器訪問(wèn)方式最便捷:登陸交換機(jī)的管理界面,在左側(cè)樹(shù)形管理菜單中的安全設(shè)置菜單項(xiàng)中設(shè)定認(rèn)證順序、服務(wù)器地址、端口、共享的密碼、傳輸數(shù)和超時(shí)時(shí)間,并對(duì)各端口信息進(jìn)行逐一設(shè)定。
3客戶(hù)端訪問(wèn)網(wǎng)絡(luò)的驗(yàn)證過(guò)程
基于802.1x的認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過(guò)RADIUS協(xié)議傳送認(rèn)證信息,由于EAP協(xié)議的可擴(kuò)展性,基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法,如EAP-MD5,EAP-TLS,EAP-TTLS,PEAP以及LEAP等認(rèn)證方法。
802.1x認(rèn)證協(xié)議已經(jīng)得到了很多軟件廠商的重視,紛紛推出了大量的認(rèn)證客戶(hù)端軟件,微軟也不例外,在WindowsXPSP2中已經(jīng)整合了802.1x客戶(hù)端軟件,無(wú)需再另外安裝客戶(hù)端軟件,只要網(wǎng)絡(luò)連接的屬性中啟用此網(wǎng)絡(luò)的802.1x驗(yàn)證即可。設(shè)置完成的客戶(hù)端再次接入交換機(jī)時(shí),系統(tǒng)會(huì)提示需要用戶(hù)名和密碼,只有合法用戶(hù)才可以正常訪問(wèn)網(wǎng)絡(luò)資源。
至此為止,完成了整套認(rèn)證系統(tǒng)的分析與設(shè)置,可以使得網(wǎng)絡(luò)的安全性得到了更深層次的保障。